Seguridad Información y Auditoría UTN

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION
ADMINISTRACIN DE RECURSOS
UNIDAD NRO. 2
SEGURIDAD DE LA INFORMACIN
Y AUDITORIA
El objetivo de esta unidad es introducir al alumno en el manejo de los conceptos del Seguridad
de la Informacin y adquirir conocimientos, metodologas y herramientas para la implementacin y
control de medidas de seguridad de la informacin de acuerdo con estndares internacionales.
Objetivos especficos:
Comprender los riesgos a los que estn afectados los recursos a gestionar en reas de sistemas y
tecnologas de informacin
Conocer marcos metodolgicos actuales referentes a la Gestin de Riesgos de TI
Conocer normas actuales referidas a la Seguridad de la Informacin
Comprender la necesidad de los procesos de auditora en reas de Sistemas y Tecnologas de la
Informacin
Bibliografa utilizada:
Gua de los Fundamentos de la Direccin de Proyectos (PMBOK). Cuarta Edicin. Project

Management Institute. Ao 2009. Captulo 11.
MAGERIT V.2: Metodologa Automatizada de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin de las Administraciones Pblicas. Ministerio de Administracin Pblica de Espaa.
Junio de 2006 disponible en: http://administracionelectronica.gob.es
SERIE ISO 27000. Portal de ISO 27001 disponible en http://www.iso27000.es/
COBIT V.4.1.: IT Governance Institute Information Systems Audit and Control Association
(ISACA) y el IT Governance Institute (ITGI). Estados Unidos. Ao 2007. Disponible en:
http://www.isaca.org/spanish/Pages/default.aspx
Recursos de Control - Seguridad Informtica. Apunte para la Ctedra de Administracin de
Recursos. Ing. Jorge Sessa. Ao 2005.
Publicaciones de diversos autores disponibles en: http://www.segu-info.com.ar/
Plataforma educativa de ESSET Latinoamrica: http://edu.eset-la.com/
Informes del Ing. Carlos Ormella Meyer disponibles en:
http://www.angelfire.com/la2/revistalanandwan/
Capability Maturity Model Integration, Versin 1.3. Software Engineering Institute. Carnegie
Mellon University. Noviembre de 2010. Disponible en
http://www.sei.cmu.edu/cmmi/tools/cmmiv1-3/
Lic. Fabiana Mara Riva
Junio de 2011
Unidad 2: Seguridad de la Informacin y Auditora
CAPTULO 1:
Junio de 2011
Seguridad de la Informacin
INDICE
SEGURIDAD DE LA INFORMACIN ...........................................................5
SEGURIDAD INFORMTICA .................................................................................. 6
MARCO CONCEPTUAL DE LA GESTIN DE RIESGOS .......................................7

DEFINICIONES Y REFERENCIAS A RIESGOS ............................................................... 7
EL PROCESO DE GESTIN DE RIESGOS ....................................................9

PLANIFICACIN DE LA GESTIN DE RIESGOS ............................................................. 9
IDENTIFICACIN DE RIESGOS .............................................................................. 9
ANLISIS DE RIESGOS .................................................................................... 10
ANLISIS CUALITATIVO DE RIESGOS ........................................................................... 10
ANLISIS CUALITATIVO DEL IMPACTO Y LA PROBABILIDAD .......................................................... 11
PRIORIZACIN DE RIESGOS ............................................................................................. 11
ANLISIS CUANTITATIVO DE RIESGOS ......................................................................... 12
PLANIFICACIN DE LA RESPUESTA A LOS RIESGOS .................................................... 12

ESTRATEGIAS DE RESPUESTA A RIESGOS NEGATIVOS (AMENAZAS) ....................................... 12
ESTRATEGIAS DE RESPUESTA A RIESGOS POSITIVOS (OPORTUNIDADES) ................................. 13
COSTO DE LA GESTIN DE RIESGOS ............................................................................ 13
SEGUIMIENTO Y CONTROL DE RIESGOS ................................................................. 14
GESTIN DE RIESGOS EN SEGURIDAD DE LA INFORMACIN ........................... 15

AMENAZAS Y VULNERABILIDADES EN SEGURIDAD INFORMTICA .......................................... 18
CLASIFICACIN DE ACTIVOS, DIMENSIONES Y CRITERIOS DE VALORACIN .......................... 21
REQUERIMIENTOS DE SEGURIDAD Y CONTROLES ...................................................... 23

SEGURIDAD FSICA ........................................................................................ 23
PROTECCIN CONTRA AMENAZAS CLIMATOLGICAS ......................................................... 23
PROTECCIN CONTRA INCENDIOS............................................................................... 24
CONTROL DE ACCESOS ........................................................................................... 24
SEGURIDAD LGICA ....................................................................................... 26

CONTROL DE ACCESOS ........................................................................................... 26
IDENTIFICACIN Y AUTENTIFICACIN .................................................................................. 26
EFICIENCIA EN LA AUTENTICACIN ..................................................................................... 27
CONTRASEAS SEGURAS ................................................................................................. 28
LMITES SOBRE LA INTERFAZ DE USUARIO ............................................................................ 28
TRANSMISIN Y ALMACENAMIENTO SEGURO DE INFORMACIN ............................................ 28

TCNICAS CRIPTOGRFICAS ............................................................................................. 29
APLICACIONES DE LA CRIPTOGRAFA ................................................................................... 30
SEGURIDAD PERIMETRAL ......................................................................................... 31

FIREWALLS................................................................................................................. 32
DETECCIN DE INTRUSIONES ........................................................................................... 32
PRUEBAS DE PENETRACIN .............................................................................................. 33
CONFIGURACIONES DE LA INFRAESTRUCTURA TECNOLGICA .............................................. 33

ADMINISTRACIN DEL PERSONAL Y USUARIOS ............................................................... 34
SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SGSI) ............. 35
CICLO DE CALIDAD PARA EL SGSI ...................................................................... 38

ESTABLECER EL SGSI ............................................................................................ 38
POLTICA Y OBJETIVOS DE SEGURIDAD ................................................................................ 38
METODOLOGA DE EVALUACIN DEL RIESGO .......................................................................... 39
SELECCIN DE LOS OBJETIVOS DE CONTROL Y CONTROLES ........................................................ 39
DECLARACIN DE APLICABILIDAD ...................................................................................... 40
IMPLANTAR Y UTILIZAR EL SGSI ................................................................................ 40

MONITORIZAR Y REVISAR EL SGSI ............................................................................. 41
MANTENER Y MEJORAR EL SGSI ................................................................................ 41
Junio de 2011
DOCUMENTOS DE UN SGSI............................................................................... 42
MANUAL DE SEGURIDAD DE LA INFORMACIN ................................................................ 43
PROCEDIMIENTOS ................................................................................................. 45
INSTRUCCIONES, FORMULARIOS Y CHECKLISTS .............................................................. 45
REGISTROS ......................................................................................................... 45
ANEXO I: MARCO NORMATIVO ............................................................ 46
SERIE ISO 27000 ........................................................................................ 46

MAGERIT V.2 ............................................................................................ 49
Junio de 2011
La seguridad de la informacin es el proceso de planear, organizar, coordinar, dirigir y
controlar las actividades relacionadas a asegurar la integridad, confidencialidad y
disponibilidad de la informacin de un sistema y sus usuarios y resguardar los activos de
la organizacin.
En esta definicin se hace referencia a:
Informacin: conjunto de datos organizados en poder de una entidad que posean valor para
la misma, independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organizacin o de
fuentes externas) o de la fecha de elaboracin.
Integridad de la Informacin: que la misma solo pueda ser modificada por las entidades
autorizadas y minimizando las posibilidades de corrupcin por fallas fsicas o lgicas, de hardware o
software, malware o alteraciones causadas por usuarios internos o intrusos con el fin de causar dao
o sin intencin. Es decir, mantenimiento de la exactitud y completitud de la informacin y
sus mtodos de proceso.
Confidencialidad de la Informacin: es la caracterstica en cuanto a su almacenamiento y
transmisin que posibilita que la misma sea conocida slo por personas autorizadas. Una falla
en la confidencialidad de la informacin puede dar lugar a graves daos para la organizacin, tales
como: prdidas de clientes, usurpacin de diseos de nuevos productos, etc.
Asegurar la confidencialidad de la informacin implica:
Control de accesos requiere que el acceso a los recursos (informacin, capacidad de clculo,
nodos de comunicacin, etc.) sea controlado y limitado, protegindolos frente a usos no
autorizados o manipulacin.
Autenticacin de origen caracterstica de un proceso de transmisin que posibilita tener una
certeza razonable del origen de la informacin.
No Repudio ofrece proteccin a una persona frente a que otra persona niegue posteriormente
que en realidad se realiz cierta comunicacin. Esta proteccin se efecta por medio de una
coleccin de evidencias irrefutables que permitirn la resolucin de cualquier disputa. El no
repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje,
mientras que el no repudio de recepcin protege al emisor de que el receptor niegue haber
recibido el mensaje. Las firmas digitales constituyen el mecanismo ms empleado para este fin.
Disponibilidad de la informacin, capacidad de estar siempre operativa para ser utilizada.
Requiere que los recursos (informacin y sistemas de tratamiento o almacenamiento de la misma)
sean accesibles y utilizables por individuos, entidades o procesos autorizados cuando los
requieran.
Se debe proponer un proceso que apunte a mantener la Continuidad Segura del Negocio
definiendo una estructura que mantenga presente los conceptos anteriores. Hablar de Continuidad
Junio de 2011
Segura significa prepararse formalmente a atender a las contingencias que pueden ocurrir
en un grado acorde a la criticidad del negocio.
SEGURIDAD INFORMTICA
Cuando hablamos de seguridad informtica muchas veces creemos que es lo mismo que
seguridad de la informacin debido a que los trminos se usan muchas veces de forma indistinta.
Sin embargo vale aclarar sus diferencias.
La seguridad informtica (si) se encarga de la proteccin de los sistemas informticos,

entendindose esto como la conjuncin de la informacin almacenada en medios magnticos, las
aplicaciones (software), los equipos que soportan la informacin (hardware) y las personas que
hacen uso de la misma (usuarios).
La seguridad de la informacin (SI) es un proceso mucho ms amplio que implica la

proteccin no solo de la informacin almacenada en los sistemas informticos sino que tambin
asegure la informacin sin discriminar donde se encuentra.
Junio de 2011
MARCO CONCEPTUAL DE LA GESTIN DE RIESGOS

Para atender a las contingencias que puedan presentarse en cuanto a la seguridad de la
informacin, es imprescindible conocer los riesgos a los que nos enfrentamos para poder
gestionarlos.
Las Organizaciones interactan en un ambiente donde clientes, regulaciones gubernamentales,
competencia y tecnologa cambian constantemente, hecho ste que las obliga a estar preparadas
para adaptarse a estos cambios. En este contexto el anlisis de riesgos se considera una
herramienta bsica para la toma de decisiones y para la elaboracin del plan de auditora de la
empresa, en el cual se determina la cantidad y extensin de los exmenes o procedimientos de
auditora a ser aplicados a los efectos de contar con un adecuado sistema de Control Interno.
DEFINICIONES Y REFERENCIAS A RIESGOS

Segn el diccionario de la Real Academia Espaola
(Del italiano risico o rischio, y este del rabe clsico rizq, lo que depara la providencia).
1. m. Contingencia o proximidad de un dao.
2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro
Un riesgo pude verse tambin como una variacin de los resultados esperados, donde esa
variacin es de carcter aleatorio y en muchas ocasiones fuera del control del tomador de decisiones
generndose el problema de la incertidumbre.
En el contexto de Proyectos, y segn el PMI, el riesgo est relacionado con las Oportunidades
(resultados positivos) y las Amenazas (resultados negativos). Los objetivos de la Gestin de los
Riesgos del Proyecto son aumentar la probabilidad y el impacto de los eventos positivos, y
disminuir la probabilidad y el impacto de los eventos adversos para el proyecto.
El SEI (Software Engineering Institute), adems de incluir la Gestin de Riesgos
en su
Modelo de Madurez de capacidades (CMMi) como hemos visto en la Unidad Nro. 1, ha desarrollado
un mtodo de evaluacin de riesgos denominado OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation) cuya ltima versin es
OCTAVE Allegro y adems provee un mtodo
sistemtico de identificacin de riesgos basados en taxonomas. En el contexto del SEI un riesgo se

define como la posibilidad de prdida y como el precursor de un problema, en funcin de:
Probabilidad de que ocurra un evento adverso.
Impacto, manifestado en una combinacin de prdida econmica, retraso temporal y prdida de

rendimiento
Junio de 2011
En MAGERIT V2. (del Ministerio de Administracin Pblica de Espaa) se tiene en cuenta que:
Riesgo: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms
activos causando daos o perjuicios a la organizacin.
Anlisis de riesgos: proceso sistemtico para estimar la magnitud de los riesgos a que est
expuesta una organizacin.
Gestin de riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados.
Tipos de Activo: La metodologa tiene en cuenta la tipificacin de los siguientes activos: Datos e
Informacin, aplicaciones (software), soportes de Informacin, equipos Informticos (hardware),
redes de comunicaciones, personal, instalaciones, equipamiento auxiliar y servicios
Las tareas de anlisis y gestin de riesgos no son un fin en s mismas sino que encuadran en la
actividad continua de Gestin de la Seguridad. El anlisis de riesgos permite determinar cmo es,
cunto vale y cmo de protegidos se encuentran los activos. En coordinacin con los objetivos,
estrategia y poltica de la organizacin, las actividades de gestin de riesgos permiten elaborar un
Plan de Seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de
riesgo que acepta la Direccin.
La Serie ISO/IEC 27000 provee por un lado una Norma certificable1 de Seguridad de la
Informacin y por otro una Gua de Buenas prcticas2 donde presenta una lista de controles de
seguridad recomendados y que, en la prctica,
se seleccionan en base a una valorizacin de
riesgos.
COBIT es un estndar que combina la investigacin el desarrollo y la promocin de un conjunto

actualizado de objetivos de control para las tecnologas de la informacin para el uso por parte de
gerentes y auditores. Asegura que las tecnologas de la informacin estn alineadas con los
objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de
forma apropiada. Organiza los objetivos de control en Dominios que responden a procesos dentro
de la organizacin. Para cada dominio define los requerimientos del negocio que satisface, los
estados del control que facilitan la satisfaccin de los objetivos y los elementos
que se pueden
considerar al evaluar. En cuanto a la Gestin de Riesgos de TI, la misma est especificada en el

Dominio: Planear y Organizar y Proceso: P09. Evaluar y Administrar los Riesgos de TI.
ITIL V.3. contempla el proceso de Gestin de la Continuidad del Servicio enunciando actividades
y funciones relacionadas directamente con la Gestin de Riesgos como hemos visto en el capitulo
anterior.
Ver anexo: Normas Serie ISO/IEC 27000
Ver anexo: SOA - Declaracin de Aplicabilidad
Junio de 2011
EL PROCESO DE GESTIN DE RIESGOS

La Gestin de Riesgos es un proceso interactivo e iterativo basado en el conocimiento,
evaluacin y manejo de los riesgos y sus impactos, con el propsito de mejorar la toma de
decisiones organizacionales. Aplicable a cualquier situacin donde un resultado no deseado o
inesperado pueda ser significativo o donde se identifiquen oportunidades.
Se pueden resumir, de los marcos mencionados anteriormente, los siguientes procesos
involucrados en la gestin de riesgos:
1. Planificacin de la Gestin de Riesgos: decidir cmo enfocar, planificar y ejecutar las
actividades de gestin de riesgos.
2. Identificacin de Riesgos: determinar los riesgos existentes y documentar sus caractersticas.
3. Anlisis Cualitativo de Riesgos: priorizar los riesgos para realizar otros anlisis o acciones
posteriores, evaluando y combinando su probabilidad de ocurrencia y su impacto.
4. Anlisis Cuantitativo de Riesgos: analizar numricamente el efecto de los riesgos
5. Planificacin de la Respuesta a los Riesgos: desarrollar opciones y acciones para mejorar las
oportunidades y reducir las amenazas.
6. Seguimiento y Control de Riesgos: realizar el seguimiento de los riesgos identificados,
supervisar los riesgos residuales, identificar nuevos riesgos, ejecutar planes de respuesta a los
riesgos y evaluar su efectividad.
PLANIFICACIN DE LA GESTIN DE RIESGOS

Objetivo: Cmo sern abordadas y planeadas las actividades de referidas a riesgos.
Resultado a obtener: El Plan de Gestin de Riesgos, que documente cmo sern
estructurados y realizados los procesos de identificacin, anlisis cualitativo, cuantitativo, planeacin
de respuesta, monitoreo y control de riesgos. La empresa debe tener estandarizado el proceso para
acumular experiencia. El Plan de Gestin de Riesgos deber incluir: Enfoque, herramientas y
fuentes de datos, los roles y las responsabilidades, el presupuesto, el calendario de manejo de
riesgos, mtodos de evaluacin e interpretacin, los criterios de umbrales de riesgos sobre los
cuales se acta y el formatos de los reportes.
IDENTIFICACIN DE RIESGOS
El tratar de identificar riesgos es un criterio proactivo que busca identificar posibles factores de
riesgo y tomar medidas de aseguramiento o planes de contingencia para contrarrestarlos a ellos y a
sus efectos.
Objetivo: Determinar los riesgos y documentar sus caractersticas.
Resultados a obtener:
Junio de 2011
Relacin de Riesgos: Definiciones de eventos o condiciones inciertas que si ocurriesen tendran
efectos negativos (o positivos).
Disparadores: Las seales de advertencia indicativas de que el riesgo se ha materializado o
est a prximo a ocurrir.
Las siguientes herramientas pueden ser utilizadas para identificar o analizar los riesgos:
Revisiones de Documentacin: en caso de proyectos: acta de proyecto, cronograma, tcnicas

utilizadas para estimacin de tiempos y costos, recursos asignados, en caso de adquisicin: el
plan de compras y procesos asociados,
en caso de servicios: los modelos de rendimiento de
procesos y productos.
Tcnicas de Recopilacin de Informacin: Brainstorming, Tcnica Delphi, discusiones de grupo,

entrevistas estructuradas y cuestionarios, anlisis FODA, etc.
Anlisis mediante Check Lists: por ej. de inspecciones fsicas y auditorias anteriores
Anlisis de asunciones o escenarios
Tcnicas de Diagramacin: Diagramas Causa-Efecto, de sistemas, de influencias
Experiencia personal de los involucrados
Taxonomas de Riesgos
ANLISIS DE RIESGOS
Los diferentes estndares formulan que la Gestin de Riesgos tiene 2 dimensiones, la primera se
refiere a la incertidumbre, ya que un riesgo es algo que todava no ha ocurrido y que bien puede
ocurrir o no (PROBABILIDAD), la segunda es acerca de lo que sucedera si el riesgo ocurriese, ya
que los riesgos se definen en trminos de su efecto en los objetivos o las prdidas (IMPACTO).
Cuando se evala el significado de un riesgo en particular, es necesario considerar ambas
dimensiones. Los procesos de gestin de riesgos incluyen tcnicas para determinar la importancia de
un riesgo, basado tanto en la probabilidad como en su impacto.
Estableceremos el estado de riesgo, exposicin o SEVERIDAD como PROBABILIDAD de
ocurrencia del riesgo por el IMPACTO que causa si sucede.
Aunque se puede desarrollar un marco que permita la evaluacin del impacto, sin lugar a
ambigedades, el clculo de la probabilidad es mucho ms confuso ya que muchas veces se
identifican riesgos cuyos detalles son desconocidos (dependen de influencias externas), no existen
registros anteriores y esto lleva a que solo es posible realizar una estimacin de la misma.
ANLISIS CUALITATIVO DE RIESGOS

Realizar el Anlisis Cualitativo de Riesgos es por lo general un medio rpido y econmico de
establecer prioridades para la planificacin de la respuesta a los riesgos y sienta las bases para
realizar el anlisis cuantitativo de riesgos, si se requiere.
Objetivo: Realizar un anlisis cualitativo y condiciones de los riesgos para priorizar sus efectos
sobre los activos de la organizacin o los objetivos del proyecto.
Junio de 2011
10
Resultado a obtener: Actualizar el registro de riesgos, realizado en la etapa de identificacin,
determinando una lista priorizada de riesgos en funcin del impacto y probabilidad estimados,
riesgos agrupados en categoras, causas de riesgos o reas que requieran mayor atencin.
ANLISIS CUALITATIVO DEL IMPACTO Y LA PROBABILIDAD

Se deben dar valores a los riesgos listados existiendo para ello escalas lineales y no lineales. Para
un preciso anlisis cualitativo de riesgos se requiere obtener informacin precisa y sin tendencia y
utilizar tcnicas para evaluar la precisin de la informacin.
Se propone para la evaluacin del impacto una escala de cinco niveles: 1-Muy bajo, 2-Bajo, 3Medio, 4-Alto, 5-Muy alto (establecida en funcin del ms alto impacto detectado).
Para evaluar la probabilidad tambin se define una escala: 1-muy improbable (< 3%), 2-poco
probable (<10%), 3-probable (<30%), 4-altamente probable (<60%), 5-casi cierto (>60%)
La posibilidad de un evento frecuentemente no slo depende de la estadstica sino tambin de la
intervencin humana.
Probabilidad de ocurrencia: la probabilidad que ocurra si no tomamos ninguna accin; y
Dificultad de intervencin: el nivel de dificultad que experimentaramos en prevenir que

ocurra el riesgo
En funcin a estas escalas se puede establecer una matriz para medir la magnitud del riesgo:
PRIORIZACIN DE RIESGOS
Clasificaremos los riesgos utilizando una lista con el siguiente formato:
Nro.
Categora
Riesgo
Probabilidad
Impacto
Riesgo Total
Una vez obtenida la lista, la ordenamos en forma decreciente por Riesgo Total.
Junio de 2011
11
Dependiendo del anlisis, es probable que puedan identificarse una gran cantidad de riesgos y,
por lo tanto, el Plan de gestin de riesgo puede convertirse en un proyecto en s mismo. Por este
motivo, adaptamos la regla de Pareto 80-20 al riesgo del proyecto.
La experiencia dice que el 80 por ciento del riesgo total se debe solamente al 20 por ciento de los
riesgos identificados.
La lista Priorizada de riesgos ayudar a determinar qu riesgos pertenecen a ese 20 por ciento.
ANLISIS CUANTITATIVO DE RIESGOS

Objetivo: Establecer la probabilidad y consecuencias de riesgos y estimar sus implicaciones para los
objetivos del proyecto.
Resultados a Obtener: Lista priorizada de riesgos cuantificada.
Utilizando tcnicas de recopilacin y representacin de datos, tcnicas de anlisis cuantitativo y
Modelado y juicio de expertos se debe:
Cuantificar la exposicin al riesgo y determinar, para un proyecto, el valor de reservas de

contingencias de costo y cronograma que puedan ser necesarias.
Identificar los riesgos que requieren mayor atencin cuantificando su relativa contribucin al
riesgo total.
PLANIFICACIN DE LA RESPUESTA A LOS RIESGOS

Objetivo: Desarrollar opciones y determinar acciones que reduzcan las amenazas y aumenten las
oportunidades.
Resultados a Obtener: Plan de Respuestas a Riesgos, determinacin de reservas de contingencia,
riesgos residuales y secundarios.
El Plan de Respuesta a Riesgos incluye la identificacin y asignacin de personas o grupos
responsables de las respuestas a cada riesgo. Debe ser apropiado a la severidad en cada riesgo,
efectivo en costos, oportuno, realista en funcin de los activos involucrados o en el contexto del
proyecto, acordado por las partes involucradas y asignado a la persona responsable de ejecutar la
respuesta.
ESTRATEGIAS DE RESPUESTA A RIESGOS NEGATIVOS (AMENAZAS)

Evitar: No se acepta de esa forma
Transferir: Estoy dispuesto a transferir a un tercero el riesgo y la gestin del mismo, soy
consciente de que no puedo eliminar todo el riesgo (Subcontratar, Asegurar)
Mitigar: Estoy consciente del riesgo y har lo posible para minimizar su ocurrencia (probabilidad) y
consecuencias (impacto)
Aceptar: Estoy consciente del riesgo y estoy dispuesto a aceptar las consecuencias de su posible
ocurrencia
Junio de 2011
12
Contingencia: Tendr respuestas preparadas por si ocurre el evento (necesidad de seales
tempranas de advertencia)
Desarrollo de Estrategias de respuesta a amenazas
Mitigacin
Aceptar
Riesgo Nro.
Evitar
Contingencia
Minimizar
Minimizar
o Reserva
Probabilidad
Impacto
Transferir
Estrategia
Ventajas
Desventajas
ESTRATEGIAS DE RESPUESTA A RIESGOS POSITIVOS (OPORTUNIDADES)

Explotar: Har lo posible para asegurarme que la oportunidad sea una realidad
Compartir: Estoy dispuesto a transferir a un tercero que est mejor capacitado para capturar la
oportunidad
Mejorar: Har lo posible por maximizar su ocurrencia (probabilidad) y consecuencias (impacto)
Aceptar: Estoy dispuesto a aceptar las consecuencias de su posible ocurrencia
Contingencia: Tendr respuestas preparadas por si ocurre el evento (necesidad de seales
tempranas de advertencia)
De la misma forma que en las estrategias de respuestas a riesgos negativos podremos armar una
planilla para su descripcin.
COSTO DE LA GESTIN DE RIESGOS

Deberemos balancear el costo de implementacin de la Gestin de Riesgos contra los
beneficios derivados para obtener la mejor opcin.
Nivel Total de
Riesgos
Implementar medidas de
reduccin
Usar Juicio
Antieconmico
Costo
de
Gestin
Junio de 2011
13
Los imprevistos y los riesgos residuales ms los planes de contingencia deben gestionarse a
travs de reservas, que pueden ser:
Gerenciales: Atiende a los imprevistos
De Contingencia: Riesgos residuales ms planes de contingencia
Cmo afectan las reservas a cualquier contrato puede verse en el siguiente cuadro
Precio total del contrato
Presupuesto total del Proyecto
Presupuesto de realizacin del

proyecto
Honorarios o Ganancias
Presupuesto de Reservas
Costo del Proyecto
Reservas Gerenciales
Reservas de Contingencias
Costo de respuesta a riesgos
Costo seguro
Costo probable
SEGUIMIENTO Y CONTROL DE RIESGOS

Objetivo: Definir un enfoque de seguimiento para monitorear los riesgos
Resultados a Obtener: Documentacin de los resultados de las actividades de gestin de riesgos.
Procedimiento:
Ejecutar el Plan de Gestin de Riesgos

o
Riesgos con probabilidad moderada a alta: Continuar con el plan de EVITAR Y MITIGAR.
Riesgos que se hayan materializado: Iniciar el PLAN DE CONTINGENCIAS
Riesgos que se hayan evitado: Retirar de plan (pero documentar).
Ejecutar las estrategias de respuesta a medida que los riesgos ocurran
Documentar
Evaluar los resultados
Junio de 2011
14
Audit
GESTIN DE RIESGOS EN SEGURIDAD DE LA INFORMACIN
p
en peligro
Las amenazas en Seguridad de la Informacin son todos aquellos factores que ponen
la integridad, confidencialidad y disponibilidad de la informacin y que muchas veces estn
posibilitadas por vulnerabilidades en la infraestructura,
infraestructura, los procedimientos administrativos,
administrativos los
recursos humanos afectados,, el software, etc.
etc
Las listas de clasificacin o categoras de riesgos, denominadas tambin taxonomas de riesgos,
permiten que el equipo encargado de identificar riesgos pueda pensar con mayor amplitud sobre los
mismos porque ya dispone de una lista de reas o activos susceptibles de esconder riesgos
procedentes de diferentes situaciones. En ocasiones se utiliza una lista de chequeo basada en una
taxonoma con preguntas orientadas a grupos de riesgos ya que trabajar con listas muy extensas
puede resultar complejo. Tambin pueden emplearse
emplearse para proporcionar una terminologa unificada
que el equipo puede utilizar para supervisar y notificar el estado de los riesgos a lo largo de un
proyecto o en los momentos del control.
Existen clasificaciones o taxonomas que describen las fuentes de riesgo de proyectos de
desarrollo de software entre las que se incluyen las realizadas
as por Barry Boehm, Caper Jones y la
desarrollada por el SEI denominada Software Development Risk Taxonomy3.
En este captulo nos centraremos en algunas clasificaciones generales
generales que afectan a la
identificacin de riesgos en Proyectos o reas de Sistemas y Tecnologas
ologas de Informacin.
Reporte disponible en: http://www.sei.cmu.edu/library/abstracts/reports/93tr006.cfm
Junio de 2011
15
Una clasificacin para la identificacin de riesgos de un Proyecto, puede ser:
o Riegos Genricos: Son todos los riesgos que afectan a cualquier Proyecto.
o Riesgos Especficos: Son riesgos asociados a un Proyecto de Tecnologa de Informacin en
particular o al producto de dicho proyecto. Dependern en mayor medida de la tecnologa que se
est utilizando, los procesos dentro del proyecto y las caractersticas de la organizacin.
El PMI propone la siguiente estructura de desglose de riesgos que pueden darse en Proyectos:
Los 9 procesos de la Gestin de Proyectos del PMI pueden ser utilizados para identificar riesgos
referidos a:
Alcance
Tiempos
Expectativas. Factibilidad
Integracin
Objetivos de Tiempo.
Restricciones
Variables del ciclo de

vida y ambientales
RRHH
Disponibilidad.
Productividad
Gestin de Riesgos
del Proyecto
Objetivos de Costos.
Restricciones
Costos
Requerimientos. Estndares
Comunicaciones
Servicios. Materiales,
performance
Adquisiciones
Calidad
Junio de 2011
16
El SEI propone una clasificacin para riesgos de la operacin de tecnologas de informacin
denominada Taxonomy of Operational Cyber Security Risks4. La clasificacin identifica y
organiza la fuente de estos riesgos en cuatro clases:
1. Acciones (o inaccin) de las personas: realizadas tanto deliberada como accidentalmente
2. Fallas de los sistemas y tecnologa: fallas del hardware, software y sistemas de informacin
3. Fallas de los procesos internos: problemas en los procesos internos del negocio que impactan
en la habilidad para implementar, gestionar y sostener a la seguridad.
4. Eventos externos: cuestiones fuera del control de la organizacin.
Cada clase se descompone en subclases que se describen por los elementos que la componen:
1. Acciones de
Personas
1.1 Involuntarias
las
2. Fallas de Sistemas y
Tecnologa
2.1 Hardware
1.1.1 Equivocacin
(accin incorrecta)
1.1.2 Error (por
desconocimiento)
1.1.3 Omisin (por
apresuramiento)
1.2 Deliberadas
2.1.1 Capacidad
1.2.1 Fraude
2.2 Software
1.2.2 Sabotaje
2.2.1 Compatibilidad
1.2.3 Robo
2.2.2 Configuracin
1.2.4 Vandalismo
2.2.3 Control de Cambios
1.3 Inaccin
1.3.2 Conocimiento
2.2.4 Parmetros de
Seguridad
2.2.5 Prcticas de
Codificacin
2.2.6 Testing
1.3.3 Gua
2.3 Sistemas
1.3.4 Disponibilidad
2.3.1 Diseo
1.3.1 Habilidad
2.1.2 Rendimiento
2.1.3 Mantenimiento
2.1.4 Obsolescencia
2.3.2 Especificaciones
2.3.3 Integracin
2.3.4 Complejidad
3. Fallas de Procesos
Internos
3.1. Diseo de
Procesos y Ejecucin
3.1.1 Flujo de Procesos
3.1.2 Documentacin de
Procesos
3.1.3 Roles y
responsabilidades
3.1.4 Notificaciones y
alertas
3.1.5 Flujo de
Informacin
3.1.6 Escalado de
problemas
3.1.7 Acuerdo de Nivel de
Servicio
3.1.8 Tarea fuera de
control
3.2 Control de
Procesos
3.2.1 Monitorizacin del
estado
3.2.2 Mtricas
4. Eventos externos
4.1 Desastres
4.1.1 Climatolgicos
4.1.2 Incendios
4.1.3 Inundaciones
4.1.4 Terremotos
4.1.5 Disturbios
4.1.6 Pandemias
4.2 Cuestiones Legales
4.2.1 Regulaciones
4.2.2 Legislacin
4.2.3 Litigios
3.3 Procesos de
Soporte
3.3.1 Dotacin del
Personal
3.3.2 Recursos
4.3 Cuestiones del

Negocio
4.3.1 Fallas del
Suministro
4.3.2 Condiciones del
Mercado
4.3.3 Condiciones
Econmicas
4.4 Dependencias con
Servicios
4.4.1 Servicios Pblicos
3.3.3 Entrenamiento y
desarrollo
3.3.4 Adquisicin
4.4.2 Servicios de
Emergencia
4.4.3 Combustible
3.2.3 Revisiones
Peridicas
3.2.4 Dueo del Proceso
4.4.4 Transporte
Reporte Disponible en: http://www.sei.cmu.edu/library/abstracts/reports/10tn028.cfm
Junio de 2011
17
AMENAZAS Y VULNERABILIDADES EN SEGURIDAD INFORMTICA

Para explicar las amenazas y vulnerabilidades en Seguridad Informtica desarrollaremos un
esquema para comprender en qu consiste un ataque informtico.
1-RECONOCIMIENTO
2-EXPLORACIN
3-CONSOLIDACION
4-MANTENER ACCESO
5-BORRAR HUELLAS
Fase 1: Reconocimiento. Esta etapa involucra la obtencin de informacin con respecto a una
potencial vctima que puede ser una persona u organizacin. Por lo general, durante esta fase se
recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del
objetivo. Algunas de las tcnicas utilizadas en este primer paso son la Ingeniera Social, el Dumpster
Diving, el sniffing, el DNS snooping, etc.
Fase 2: Exploracin. En esta segunda etapa se utiliza la informacin obtenida en la fase 1
para sondear el blanco y tratar de obtener informacin sobre el sistema vctima como direcciones IP,
nombres de host, datos de autenticacin, entre otros. Las herramientas que se utilizan se basan en
el escaneo de puertos y anlisis de las redes para detectar servicios activos y vulnerabilidades
(network mappers, port mappers, network scanners, port scanners, y vulnerability scanners)
Fase 3: Consolidacin. En esta instancia comienza a materializarse el ataque a travs de la
explotacin de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante
las fases de reconocimiento y exploracin. Algunas de las tcnicas que el atacante puede utilizar son
ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos),
Password filtering y Session hijacking.
Fase 4: Mantener el acceso. Una vez que el atacante ha conseguido acceder al sistema,
buscar implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar
donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.
Fase 5: Borrar huellas. Una vez que el atacante logr obtener y mantener el acceso al
sistema, intentar borrar todas las huellas que fue dejando durante la intrusin para evitar ser
detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscar
eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).
Junio de 2011
18
Estas son algunas de las debilidades, recursos
o tcnicas en las que se basa un ataque
informtico5:
Ingeniera Social: Consiste en la obtencin de informacin sensible y/o confidencial de un
usuario cercano a un sistema u organizacin. Son estrategias de ataque que se basan en el engao
y que estn netamente orientadas a explotar las debilidades del factor humano. Ya sea por
ignorancia, negligencia o coaccin, las personas pueden romper las reglas de seguridad de la
organizacin y permitir a un atacante obtener acceso no autorizado.
Dumpster Diving: es un recurso basado en la ingeniera social. Consiste en husmear entre la
basura para localizar notas y/o papeles de los que el usuario se ha deshecho: extractos bancarios,
claves personales, datos comprometidos, anotaciones personales. Muchos de estos datos pueden ser
utilizados para crear un perfil en un sitio web y actuar en su nombre, usurpar su identidad, abrir o
realizar movimientos en sus cuentas bancarias, utilizar servicios, pagar con su tarjeta de crdito o
incluso aparecer con su fotografa ante terceros en un foro de Internet.
Phishing: est basado en la ingeniera social. En general son falsos mensajes de correo
electrnico hacindose pasar por entidades reales (generalmente financieras) pidindonos en
muchos casos confirmacin de estos datos, en oportunidades tambin se utilizan llamados
telefnicos. Las caractersticas de un correo de phishing son las siguientes:
Uso de nombres de reconocidas organizaciones.
El correo electrnico del remitente simula ser de la compaa en cuestin.
El cuerpo del correo, presenta el logotipo de la compaa u organizacin que firma el mensaje.
El mensaje insta al usuario a reingresar algn tipo de informacin que, en realidad, el supuesto
remitente ya posee.
El mensaje incluye un enlace que, aunque indique una direccin web vlida, redirecciona al sitio
falsificado.
Como tcnica de Ingeniera Social, el phishing utiliza el factor miedo, para inducir al usuario a
ingresar la informacin en el sitio del atacante. Un aviso legtimo de caducidad de informacin (como
contraseas, cuentas de correo o registros personales), nunca alertar al usuario sin el suficiente
tiempo para que este, gestione las operaciones necesarias en tiempos prudenciales. Mensajes del
tipo "su cuenta caducar en 24hs." o "si no ingresa la informacin en las prximas horas..." son
frecuentemente utilizados en este tipo de ataques.
El sitio web falso es creado utilizando, no solo el logotipo, sino tambin la estructura, las
imgenes, las tipografas y los colores de la pgina original. El atacante intenta crear la pgina web
de forma idntica a la original, para aumentar la eficacia del engao.
Prcticamente todos los componentes, del mensaje enviado al usuario, son idnticos a un
mensaje legtimo del mismo tipo. Reconocer un mensaje de phishing no es una tarea simple para el
usuario. Cualquier usuario de correo, es una potencial vctima de estos ataques.
Ingresar a la plataforma : http://edu.eset-la.com y realizar el curso: Gua bsica de utilizacin de

medios informticos en forma segura
Junio de 2011
19
Sniffing: es el mecanismo que permite monitorizar y analizar el trfico en una red de
computadoras, detectando los cuellos de botella y problemas que existan pero tambin puede ser
utilizado para "captar", lcitamente o no, los datos que son transmitidos en la red.
Anlisis de redes y escaneo de puertos: son aplicaciones que permiten verificar la seguridad
en una red mediante el anlisis de los puertos abiertos en uno de los equipos o en toda la red a
partir de una serie o lista de direcciones de IP. El proceso de anlisis utiliza solicitudes que permiten
determinar los servicios que se estn ejecutando en un host remoto e identificar los riesgos de
seguridad. Mediante un anlisis exhaustivo de la estructura de los paquetes TCP/IP recibidos pueden
identificar, por ejemplo, qu sistema operativo est utilizando el equipo remoto.
Configuraciones predeterminadas o
por
defecto: generalmente las configuraciones
predeterminadas hacen del ataque una tarea sencilla para quien lo ejecuta ya que es muy comn
que las vulnerabilidades de un equipo sean explotadas a travs de cdigos exploit donde el
escenario que asume dicho cdigo se basa en que el objetivo se encuentra configurado con los
parmetros por defecto. Muchas aplicaciones automatizadas estn diseadas para aprovechar estas
vulnerabilidades, incluso existen sitios web que almacenan bases de datos con informacin
relacionada a los nombres de usuario y sus contraseas asociadas, cdigos de acceso,
configuraciones, entre otras, de los valores por defecto de sistemas operativos, aplicaciones y
dispositivos fsicos.
Ataques de Contrasea: consiste en la prueba metdica de contraseas para lograr el acceso
a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo.
En un esquema de autenticacin de factor simple (nombre de usuario + contrasea) la
seguridad radica inevitablemente en la fortaleza de la contrasea y en mantenerla en completo
secreto, siendo potencialmente vulnerable a tcnicas de Ingeniera Social cuando los propietarios de
la contrasea no poseen un adecuado nivel de capacitacin que permita prevenir este tipo de
ataques. Se suma a esto la existencia de herramientas automatizadas diseadas para romper las
contraseas a travs de diferentes tcnicas como ataques por fuerza bruta, por diccionarios o
hbridos en un plazo sumamente corto.
Cdigo malicioso o malware: programas que causan algn tipo de dao o anomala en el
sistema informtico. Dentro de esta categora se incluyen virus, gusanos, troyanos, adware,
spyware, ransomware, entre otros.
Junio de 2011
20
CLASIFICACIN DE ACTIVOS, DIMENSIONES Y CRITERIOS DE VALORACIN

La identificacin de activos y componentes crticos es esencial para conocer qu debe protegerse
y as clasificarlos mediante criterios basados en su confidencialidad, integridad y disponibilidad.
La tipificacin de los activos es tanto una informacin documental de inters como un criterio de
identificacin de amenazas potenciales y controles apropiados a la naturaleza del activo.
A partir de esta tipificacin se podr generar el Inventario o Catlogo de Activos.
Sin ser una lista exhaustiva (ya que la misma puede variar significativamente con los avances
tecnolgicos), los activos pueden agruparse en las siguientes categoras:
Activos de informacin: archivos y bases de datos, documentacin del sistema, manuales de

usuarios, material de formacin, procedimientos operativos o de soporte, planes de continuidad,
configuracin del soporte de recuperacin, documentacin histrica archivada.
Activos de software: de aplicacin, del sistema, herramientas y programas de desarrollo
Activos fsicos: equipos de tratamiento (procesadores, monitores, porttiles, mdems), equipo

de comunicaciones (routers, centrales digitales, mquinas de fax), medios magnticos (discos y
cintas), otro equipamiento tcnico (suministro de energa, unidades de aire acondicionado), etc.
Servicios: servicios de tratamiento y comunicaciones, servicios generales (calefaccin,

alumbrado, energa, aire acondicionado).
Otros activos: imagen de la organizacin, objetivos, servicios producidos, credibilidad, etc.
Dentro de la clasificacin de activos, se podr recurrir adems a una sub-clasificacin

dependiendo del acceso que pueda realizarse. Se podrn contemplarn los siguientes niveles:
Desclasificado, considerado pblico y sin requisitos de control de acceso y confidencialidad
Compartido, activos compartidos entre grupos o personas no pertenecientes a la organizacin
Slo para la organizacin, acceso restringido a los empleados de la organizacin
Confidencial, acceso restringido a una lista especfica de personas
La responsabilidad de cada activo deber estar asignada sobre cada propietario por lo que se
proceder a designar un responsable para cada recurso o grupos de recursos el cual asumir en un
futuro la tarea de mantener los controles apropiados.
Las caractersticas o atributos que hacen valioso un activo se denominan dimensiones de

valoracin. Una dimensin es una faceta o aspecto de un activo que se podr utilizar para valorar
las consecuencias de la materializacin de una amenaza.
La valoracin que recibe un activo en una cierta dimensin es la medida del perjuicio para la
organizacin si el activo se ve daado en dicha dimensin.
Las dimensiones de valoracin que se siguen generalmente hacen mencin a:
Junio de 2011
21
Necesidad de disponibilidad del activo en funcin del nmero de personas afectadas por la
falta de disponibilidad, funcionamiento irregular y en la que estarn involucrados adems los
tiempos de recuperacin y la prdida de imagen.
Nivel de prdida de integridad del activo los datos reciben una alta valoracin desde el
punto de vista de integridad cuando su alteracin, voluntaria o intencionada, causara graves
daos a la organizacin
Nivel de confidencialidad asociado a la informacin y derivado del marco regulador externo o

criterios internos. Los datos reciben una alta valoracin desde este punto de vista cuando su
revelacin causara graves daos a la organizacin. En este sentido ser necesario establecer:
o
Aseguramiento de la identidad del origen: de los usuarios del servicio y de los datos
Aseguramiento de que se podr determinar quin hizo qu y en qu momento: trazabilidad

del Servicio y trazabilidad de Datos.
Para definir el criterio de valoracin (o impacto) se podr recurrir a una valoracin econmica
derivada de la inversin econmica de reposicin ante la prdida o a escalas cualitativas como
las mencionadas anteriormente.
Junio de 2011
22
REQUERIMIENTOS DE SEGURIDAD Y CONTROLES

Los controles (o salvaguardas) permiten hacer frente a las amenazas. Hay diferentes aspectos
sobre los cuales puede actuar un control:
Seguridad fsica, de los locales y reas de trabajo
Procedimientos, tanto para la operacin de los controles preventivos como para la gestin de
incidentes y la recuperacin tras los mismos. Los procedimientos deben cubrir aspectos tan diversos
como van del desarrollo de sistemas a la configuracin del equipamiento.
Poltica de personal, necesaria cuando se consideran sistemas atendidos por personal. Debe
cubrir desde las fases de especificacin del puesto y seleccin, hasta la formacin continua.
Soluciones tcnicas, que pueden ser aplicaciones (software), dispositivos fsicos (hardware),
proteccin de las comunicaciones
La proteccin integral de un sistema de informacin requerir una combinacin de controles,
debiendo la solucin final estar equilibrada en los diferentes aspectos, tener en cuenta los controles
adecuadas a cada tipo de activos, tener en cuenta los controles adecuados a la dimensin de valor
del activo y tener en cuenta los controles adecuados a la amenaza
Los controles, especialmente los tcnicos, varan con el avance tecnolgico.
SEGURIDAD FSICA
Consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de
prevencin y contramedidas ante amenazas a los recursos informticos y a la informacin. Estos
mecanismos de seguridad debern ser implementados para proteger el hardware y medios de
almacenamiento de datos dentro y alrededor de las reas de sistemas as como a los medios de
acceso remoto al y desde el mismo. Se debern identificar caractersticas que se deben respetar en
las reas destinadas a la sala de servidores, al almacenamiento de los medios magnticos, puestos
de usuarios, cableado y todos los recursos relacionados con el desempeo de las tecnologas de la
informacin y comunicacin.
PROTECCIN CONTRA AMENAZAS CLIMATOLGICAS

En cuanto a prevencin de inundaciones: construir un techo impermeable para evitar el paso de
agua desde un nivel superior al rea de servidores y de almacenamiento de medios magnticos.
Acondicionar las puertas para contener el agua que pudiera acceder al rea.
En cuanto a la prevencin de condiciones de temperatura y humedad no aconsejables: se debe
proveer un sistema de calefaccin, ventilacin y aire acondicionado separado con sensores para el
control de la temperatura adecuada y
que se dedique al rea de servidores en forma exclusiva.
Como estos aparatos son causa potencial de incendios e inundaciones, es recomendable instalar
redes de proteccin en todo el sistema de caera al interior y al exterior, detectores y extinguidores
de incendio, monitores y alarmas efectivas.
Junio de 2011
23
PROTECCIN CONTRA INCENDIOS

El rea de servidores debe estar en un local que no sea combustible o inflamable
El local no debe situarse encima, debajo o adyacente a reas donde se procesen, fabriquen o
almacenen materiales inflamables, explosivos, gases txicos o sustancias radioactivas.
Las paredes y el techo deben hacerse de materiales incombustibles
Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y
resistentes al fuego.
No debe estar permitido fumar.
Deben emplearse muebles incombustibles, y cestos metlicos para papeles. Deben evitarse los
materiales plsticos e inflamables.
El piso y el techo en el recinto deben ser impermeables.
Deben colocarse sensores de temperatura y de humo que detecten anomalas en las instalaciones
Deben estar provistas de equipos para la extincin de incendios en relacin al grado de riesgo y la
clase de fuego que sea posible en ese mbito.
Deben instalarse extintores manuales (porttiles) y/o automticos (rociadores).
En cuanto a los procedimientos que debe respetar el personal:
El personal designado para usar extinguidores de fuego debe ser entrenado en su uso.
Si hay sistemas de deteccin de fuego que activan el sistema de extincin, todo el personal de
esa rea debe estar entrenado para no interferir con este proceso automtico.
Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel.
Suministrar informacin, del centro de cmputos, al departamento local de bomberos, antes de
que ellos sean llamados en una emergencia. Hacer que este departamento est consciente de las
particularidades y vulnerabilidades del sistema, por excesivas cantidades de agua y la
conveniencia de una salida para el humo, es importante. Adems, ellos pueden ofrecer excelentes
consejos como precauciones para prevenir incendios.
CONTROL DE ACCESOS
El control de acceso requiere de identificacin y autenticacin y est asociado, en el caso del acceso
fsico, a implementar un mecanismo manual o electrnico mecnico que permita o no el acceso a
reas o archivos fsicos donde se encuentra documentacin en papel, copias de seguridad o
recursos destinados a proveer servicios.
El proceso de identificacin y autenticacin implica la existencia de uno o ms de los siguientes
indicadores:
1.
Conocimiento: la persona tiene conocimiento (por ejemplo: un cdigo),
2.
Posesin: la persona posee un objeto (por ejemplo: una tarjeta), y
3.
Caracterstica: la persona tiene una caracterstica que puede ser verificada (por ejemplo: una
de sus huellas dactilares).
Junio de 2011
24
Entre las ventajas y desventajas de estos indicadores podemos decir que es frecuente que las
claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los
controles que utilizan caractersticas de las personas (autenticacin biomtrica) seran los ms
apropiados y fciles de administrar, resultando ser tambin los ms costosos por lo dificultoso de su
implementacin eficiente.
En funcin del grado de seguridad que se desee establecer, la proteccin de accesos puede ser
provista mediante:
Guardias de seguridad
Sistemas basados en la lectura de tarjetas (de cdigos de barra, bandas magnticas o de
proximidad) o la introduccin de claves de acceso mediante teclado
Sistemas Biomtricos: La Biometra (del griego bios vida y metron medida) es el estudio de
los mtodos automticos para identificacin de personas basados en caractersticas fsicas
estticas o dinmicas (conductuales). La forma de identificacin consiste en la comparacin de
caractersticas fsicas de cada persona con un patrn conocido y almacenado en una base de
datos.
o
Entre las caractersticas fsicas que se miden en forma esttica se encuentran: imagen facial,
termograma del rostro, geometra de la mano, venas de la mano, huellas dactilares y
patrones oculares: retina o iris.
Entre las caractersticas conductuales: la dinmica del teclado y la voz
La firma es una caracterstica que puede medirse tanto en forma esttica (se suelen utilizar
una mquina de video o un scanner para capturar la imagen de la firma, con posterioridad a
la realizacin de la misma) y mtodos dinmicos (que tienen en cuenta la velocidad con la
que se realizan los trazos y donde el dispositivo utilizado para capturar la firma es una
tableta digitalizadora).
Adems, se puede acompaar el control de accesos con medidas de seguridad como:

Utilizacin de Detectores de Metales
Proteccin Electrnica como barreras infrarrojas o de microondas, detectores ultrasnicos de
movimiento, detectores pasivos sin alimentacin (apertura de puertas, rotura de vidrios, detector
de vibraciones), sonorizacin y dispositivos lumnicos y circuitos cerrados de televisin.
Control de apertura y cierre de cajas de seguridad por horarios
Control de acceso por horarios y perfiles de acceso.
Junio de 2011
25
SEGURIDAD LGICA
Consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y
slo lo permitan a las personas autorizadas.
CONTROL DE ACCESOS
Estos controles pueden implementarse a nivel Sistema Operativo, sobre los sistemas de
aplicacin, en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de
aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la
integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso permitido)
y para resguardar la informacin confidencial de accesos no autorizados.
La Seguridad Informtica se basa, en gran medida, en la efectiva administracin de los

permisos de acceso a los recursos informticos. Esta administracin abarca:
Procesos de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios.
Polticas de identificacin homognea para toda la organizacin.
Revisiones peridicas sobre la administracin de las cuentas y los permisos de acceso
establecidos.
Deteccin de actividades no autorizadas.
Nuevas consideraciones relacionadas con cambios en la asignacin de funciones del empleado.
Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organizacin.
Para el control de accesos se debern tener en cuenta:
IDENTIFICACIN Y AUTENTIFICACIN
La identificacin y autenticacin es la base para la mayor parte de los controles de acceso y
para el seguimiento de las actividades de los usuarios. Se denomina Identificacin al momento en
que el usuario se da a conocer en el sistema y Autenticacin a la verificacin que realiza el sistema
sobre esta identificacin. Las tcnicas basadas en tarjetas, cdigos o identificacin biomtrica que se
mencionaron en seguridad fsica pueden ser utilizadas individualmente o combinadas para el control
de acceso lgico.
La identificacin puede variar en funcin de la criticidad del negocio y pueden utilizarse adems
identificaciones por:
Funciones y Roles En este caso los derechos de acceso pueden agruparse de acuerdo con el rol
de los usuarios.
Transacciones: se pueden implementar controles, por ejemplo, solicitando una clave al requerir
el procesamiento de una transaccin determinada.
Junio de 2011
26
Limitaciones a los Servicios: se refieren a las restricciones que dependen de parmetros
propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Un
ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin simultnea
de un determinado producto de software para cinco personas, en donde exista un control a nivel
sistema que no permita la utilizacin del producto a un sexto usuario.
Modalidad de Acceso: definida por el tipo de accin que realizar el usuario
o
Lectura: el usuario puede nicamente leer o visualizar la informacin pero no puede

alterarla. Debe considerarse que la informacin puede ser copiada o impresa.
Escritura: este tipo de acceso permite agregar datos, modificar o borrar informacin.
Ejecucin: este acceso otorga al usuario el privilegio de ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de
datos o archivos). El borrado es considerado una forma de modificacin.
Todas las anteriores.
Acceso especiales: que generalmente se incluyen en los sistemas de aplicacin:
Creacin: permite al usuario crear nuevos archivos, registros o campos.
Bsqueda: permite listar los archivos de un directorio determinado.
Ubicacin y Horario: El acceso a determinados recursos del sistema puede estar basado en la
ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios, este tipo de controles
permite limitar el acceso de los usuarios a determinadas horas de da o a determinados das de la
semana. De esta forma se mantiene un control ms restringido de los usuarios y zonas de
ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados de
alguno de los controles anteriormente mencionados.
EFICIENCIA EN LA AUTENTICACIN
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y
autenticados solamente una vez pudiendo acceder, a partir de all, a todas las aplicaciones y datos a
los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en
forma remota. Esto se denomina "single login" o sincronizacin de passwords.
Podra pensarse que esta es una caracterstica negativa para la seguridad de un sistema, ya que
una vez descubierta la clave de un usuario, se podra tener acceso a los mltiples sistemas a los que
tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente
suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los
fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas o a seleccionar
claves fcilmente deducibles, lo cual significa un riesgo an mayor. Para implementar la
sincronizacin de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de
seguridad.
Una de las posibles tcnicas para implementar esta nica identificacin de usuarios sera la
utilizacin de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se
encarga luego de autenticar al usuario sobre los restantes equipos a los que ste pueda acceder.
Junio de 2011
27
Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener
sus funciones distribuidas tanto geogrfica como lgicamente, de acuerdo con los requerimientos de
carga de tareas.
CONTRASEAS SEGURAS
Para el control de contraseas seguras se deber tener en cuenta:
Educar a los usuarios e implementar controles para la definicin de contraseas ms robustas

que no sean fcilmente deducibles mediante ataques de contraseas.
Si los usuarios tienen la posibilidad de acceder a recursos que necesitan autenticacin desde
lugares pblicos, se debe implementar la posibilidad de ingresar las contraseas desde teclados
virtuales ya que los atacantes pueden haber implantado programas o dispositivos fsicos como
keyloggers que capturen la informacin ingresada.
Implementar la ejecucin de mecanismos de caducidad y control. Este mecanismo deber

controlar cundo pueden y/o deben cambiar sus passwords los usuarios. Se define el perodo
mnimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un perodo
mximo que puede transcurrir para que stas caduquen.
Implementar mecanismos de autenticacin ms robustos como autenticacin fuerte de doble

factor, donde no slo se necesita contar con algo que se conoce (la contrasea) sino que
tambin es necesario contar con algo que se tiene, como por ejemplo una llave electrnica USB
o una tarjeta que almacene certificados digitales para que a travs de ellos se pueda validar o no
el acceso de los usuarios a los recursos de la organizacin.
LMITES SOBRE LA INTERFAZ DE USUARIO

Estos lmites son utilizados generalmente en conjunto con las listas de control de accesos (listas
de usuarios y modalidades de acceso a determinados recursos del sistema)
y restringen a los
usuarios a funciones especficas. Bsicamente pueden ser de tres tipos: mens, vistas sobre la base
de datos y lmites fsicos sobre la interfaz de usuario.
TRANSMISIN Y ALMACENAMIENTO SEGURO DE INFORMACIN

Si la informacin original es transmitida o almacenada como texto claro o texto plano
cualquiera que consiga acceso al lugar donde estn almacenados los datos o intercepte la red en un
punto podr obtener la informacin y hacer uso de ella.
Las tcnicas de criptografa que realizan el cifrado y descifrado de informacin (generalmente
conocidos por sus anglicismo: encriptado encrypt y desencriptado - decrypt) permiten proteger
la informacin almacenada o transmitida.
Las tcnicas criptogrficas aplican algoritmos de cifrado que se basan en la existencia de claves
para obtener un criptograma a partir del texto plano.
Junio de 2011
28
El conjunto de protocolos, algoritmos de cifrado, procesos de gestin de claves y actuaciones de
los usuarios, es lo que constituyen en conjunto un criptosistema, que es con lo que el usuario final
trabaja e interacta.
TCNICAS CRIPTOGRFICAS
Existen los siguientes grupos de tcnicas criptogrficas:
Criptografa simtrica, de clave simtrica o de clave privada: se refiere al conjunto de

mtodos que permiten tener comunicacin segura entre las partes siempre y cuando
anteriormente se hayan intercambiado la clave correspondiente que se denomina clave
simtrica. La simetra se refiere a que las partes tienen la misma clave tanto para cifrar como
para descifrar. Son la base de los algoritmos de cifrado clsico:
o Sustitucin: supone el cambio de significado de los elementos bsicos del mensaje: las
letras, los dgitos o los smbolos. La clave consiste en una tabla de equivalencias de
caracteres (o libro de cdigos)
o Permutacin o Transposicin: Consiste en alterar el orden de las letras siguiendo una

regla determinada. Normalmente se utiliza una tabla de tamao determinado en la que se
inserta el texto original que es transformado mediante la sustitucin de las columnas por las
filas.
o
Confusin
intercalada:
consiste
en
introducir,
con
una
periodicidad
determinada,
caracteres adicionales aleatorios. La esteganografa es un caso especial de confusin

intercalada. Consiste simplemente en camuflar el texto
intercalndolo dentro de otro
mensaje. Podemos elaborar un mensaje de contenido irrelevante pero de forma que

siguiendo cierta pauta de eliminacin podamos reconstruir el texto original.
Un buen sistema de cifrado pone toda la seguridad en la clave y ninguna en el algoritmo. En
otras palabras, no debera ser de ninguna ayuda para un atacante conocer el algoritmo que se est
usando. Slo si el atacante obtuviera la clave, le servira conocer el algoritmo. Por lo tanto es
importante que sea difcil de adivinar el tipo de clave, para lo mismo el espacio de posibilidades de
clave debe ser amplio y esta es la razn por la que el tamao de la misma es primordial.
El principal problema est ligado al intercambio de claves. Una vez que el remitente y el
destinatario hayan intercambiado la clave, pueden utilizarla para comunicarse con seguridad.
Entonces el problema radica en la seguridad del canal de comunicaciones utilizado para intercambiar
la clave. Sera mucho ms fcil para un atacante intentar interceptar la clave que probar las posibles
combinaciones del espacio de claves.
Criptografa asimtrica, de clave asimtrica o de clave pblica: Resuelve el problema de

autenticacin y de no repudio. Sus algoritmos utilizan dos claves, una pblica y una privada. Las
dos claves pertenecen a la persona que ha enviado el mensaje. Los mtodos criptogrficos
garantizan que esa pareja de claves slo se puede generar una vez, de modo que se puede
Junio de 2011
29
asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de
claves.
Si el remitente usa la clave pblica del destinatario para cifrar el mensaje, una vez cifrado, slo
la clave privada del destinatario podr descifrar este mensaje, ya que es el nico que la conoce.
Se logra la confidencialidad del envo del mensaje, nadie salvo el destinatario puede descifrarlo.
Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede
descifrarlo utilizando su clave pblica. En este caso se consigue por tanto la identificacin y
autentificacin del remitente, ya que se sabe que slo pudo haber sido l quien emple su clave
privada (salvo que alguien se la hubiese podido robar).
No es necesario que el remitente y el destinatario se pongan de acuerdo en la clave a emplear.
Todo lo que se requiere es que, antes de iniciar la comunicacin secreta, el remitente consiga
una copia de la clave pblica del destinatario.
Criptografa Hbrida: Es un mtodo criptogrfico que usa tanto un cifrado simtrico como un
asimtrico. Emplea el cifrado de clave pblica para compartir una clave para el cifrado simtrico.
El mensaje que se est enviando en el momento, se cifra usando la clave y envindolo al
destinatario. Ya que compartir una clave simtrica no es seguro, la clave usada es diferente para
cada sesin
APLICACIONES DE LA CRIPTOGRAFA
Debemos tener en cuenta que el usuario final no conoce la existencia de tcnicas criptogrficas
por lo que deberemos seleccionar las aplicaciones que especficamente utilicen la seguridad
necesaria para la
organizacin en funcin de los niveles de seguridad requeridos, teniendo en
cuenta que las tcnicas deben ser utilizadas para la seguridad en:
Cifrado de discos rgidos y particiones: para asegurar la informacin almacenada sobre todo
en equipos que pueden estar a disposicin de muchos usuarios o que se trasladan.
Protocolos para comunicaciones seguras: para asegurar las comunicaciones tanto de la red
interna como de internet. Estos protocolos pueden ser utilizados para tunelizar una red completa
y crear una red privada virtual (VPN)
Transacciones electrnicas seguras: son protocolos estndar para proporcionar seguridad a

transacciones con tarjeta de crdito en redes de computadoras inseguras
Firma digital: Es una tecnologa que posibilita la equiparacin de los documentos digitales con
los documentos en papel y, por ende, la realizacin, va digital, de actos jurdicos plenamente
vlidos. La firma digital cumple las funciones de autenticacin, integridad y no repudio, pero no
implica avalar la confidencialidad del mensaje.
Nuestra normativa reconoce dos tipos de firma digital, y la diferencia entre ambos no radica en
lo tecnolgico, sino, ms bien, en lo jurdico
La firma digital, definida como el resultado de aplicar a un documento digital un procedimiento
matemtico, requiere informacin de exclusivo conocimiento del firmante, encontrndose sta
bajo su absoluto control. Pero, dado que la misma ley estipula que para asegurarse de que el
Junio de 2011
30
firmante es el nico que conoce y controla el procedimiento matemtico, se debe cumplir con
una serie de recaudos legales; la firma digital puede ser caracterizada por medio de la siguiente
frmula: firma digital = documento digital + procedimiento matemtico + requisitos legales.
La firma electrnica, en cambio, es definida en trminos negativos como el conjunto de datos
electrnicos integrados, ligados o asociados de manera lgica a otros datos electrnicos,
utilizado por el signatario como su medio de identificacin, que carezca de alguno de los
requisitos legales para ser considerada firma digital. La frmula, en este caso, es la siguiente
firma electrnica = firma digital requisitos legales.
Esta diferencia en cuanto a los requisitos repercute en los efectos asignados a cada una:
Firma digital:
a) Equivale a la firma manuscrita,
b) Se presume que la firma pertenece al titular del certificado digital,
c) Se presume que el documento no ha sido modificado luego de la firma.
Firma electrnica:
a) En caso de ser desconocida corresponde a quien la invoca acreditar su validez
Ejemplo de Aplicaciones: transacciones bancarias, transacciones comerciales, declaraciones

impositivas, documento de identidad electrnico (e-DNI), voto electrnico, certificacin de los
actos de gobierno (leyes, resoluciones, dictmenes, sentencias, etctera), contrataciones
pblicas (envo y recepcin de ofertas, adjudicaciones, etc.), documentos relativos a operaciones
de seguro, historias clnicas, obtencin del CUIL, solicitud de empleo pblico.
Ventajas y desventajas:
Las ventajas derivadas de la utilizacin del sistema de firma digital van desde el aumento de la
seguridad en las transacciones hasta la no necesidad de presencia o traslado fsico, ventajas
stas que se traducen en celeridad y ahorro de costos.
Entre las desventajas podemos mencionar la necesidad de contar con una autoridad certificadora
de confianza (tercera parte de confianza) y la responsabilidad que pesa sobre los propios
usuarios de generar un entorno adecuado que les permita mantener bajo su exclusivo control los
datos de creacin de la firma y contar con un dispositivo de creacin tcnicamente confiable
SEGURIDAD PERIMETRAL
La seguridad perimetral es uno de los mtodos posibles de defensa de una red, basado en el
establecimiento de recursos de segurizacin en el permetro externo de la red y a diferentes niveles.
Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios
internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
Junio de 2011
31
FIREWALLS
Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa.
Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que
previenen la intromisin de atacantes o malware a los sistemas de la organizacin.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una
poltica de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una
que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l.
2. Slo el trfico autorizado, definido por la poltica local de seguridad, es permitido.
En una arquitectura personal puede ser til la utilizacin de firewalls por software, en la
arquitectura de una organizacin lo ms conveniente es la implementacin de firewalls por hardware
donde la poltica de seguridad de la organizacin sea implementada por el administrador de red
quien definir una serie de reglas para permitir el acceso y detener los intentos de conexin no
permitidos.
La clasificacin ms clara de firewalls es la que los define en funcin al nivel de la capa OSI en
la que se implementa la poltica de seguridad:
o Firewalls a nivel de red o nivel de IP en redes TCP/IP (nivel 3 de la capa OSI). Pueden ser
considerados como filtros de paquetes ya que lo que realizan es un filtrado de los intentos de
conexin atendiendo a direcciones IP origen y destino y puerto de destino de los paquetes IP.
Esto quiere decir que en la poltica de seguridad de la empresa podremos indicar que slo
dejaremos pasar paquetes destinados al puerto 25 (puerto de SMTP para correo electrnico) de
nuestro servidor corporativo. Tambin podremos especificar desde qu direcciones IP origen
dejaremos acceso a nuestros servidores pblicos. Este tipo de firewalls vienen implementados en
la mayora de routers comerciales.
o Firewall a nivel de transporte o de TCP en redes TCP/IP (nivel 4 de OSI). En este nivel ya se
puede atender a aspectos de si los paquetes son de inicio de conexin o se corresponden con
paquetes cuyas conexiones estn ya establecidas. A grandes rasgos tratan con nmeros de
secuencias de paquetes TCP/IP.
o Firewall a nivel de aplicacin (nivel 7 de la capa OSI). Actan a modo de proxy para las
distintas aplicaciones que van a controlar.
DETECCIN DE INTRUSIONES
Un Sistema de deteccin de intrusiones (IDS) hace referencia a un mecanismo que, escucha el
trfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el
riesgo de intrusin. Existen dos claras familias importantes de IDS:
o El grupo N-IDS (Sistema de deteccin de intrusiones de red)
o El grupo H-IDS (Sistema de deteccin de intrusiones en el host)
Junio de 2011
32
Un N-IDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes
de informacin que viajan por una o ms lneas de la red para descubrir si se ha producido alguna
actividad maliciosa o anormal. El N-IDS pone uno o ms de los adaptadores de red exclusivos del
sistema en modo promiscuo. ste es una especie de modo "invisible" en el que no tienen direccin
IP. Tampoco tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en
diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los
posibles ataques, as como tambin se colocan sondas internas para analizar solicitudes que hayan
pasado a travs del firewall o que se han realizado desde dentro.
PRUEBAS DE PENETRACIN
Puede recurrirse a este tipo de tests para reconocer los riesgos principales a los que est
sometida la organizacin. Entre las pruebas de penetracin que pueden ejecutarse exiten:
o
Pruebas externas: tambin denominadas de caja negra. Simulan un ataque sobre sistemas y
seguridad por medio de la informacin disponible desde Internet. Se concentran en pruebas de
seguridad del permetro, anlisis externo de nodos y topologa; recoleccin de informacin
sensitiva y su explotacin mediante ingeniera social; as como en revisin de la efectividad y
vulnerabilidades de aplicaciones Web, routers y firewalls; war driving para identificar y
penetrar redes inalmbricas, y war dialing para localizar mdems abiertos.
Pruebas internas o de caja blanca. Revisan las vulnerabilidades frente a un atacante interno,
mediante: anlisis endgeno de nodos y topologa; identificacin de sistemas y equipo
vulnerable; bsqueda y explotacin de vulnerabilidades en aplicaciones, servidores, dispositivos
de red, redes inalmbricas, directorios compartidos, relaciones de confianza, arquitectura de
redes y niveles de seguridad en servidores.
Pruebas de carga especializada: Hacen nfasis en: arquitectura de red, revisin de

aplicaciones (auditora de cdigo), dispositivos inalmbricos, ingeniera social, acceso remoto,
redes privadas virtuales y relaciones de confianza.
CONFIGURACIONES DE LA INFRAESTRUCTURA TECNOLGICA

La prctica de fortalecer el ambiente informtico configurando de manera segura la tecnologa
para contrarrestar los vectores de ataque se denomina hardening.
La responsabilidad de realizar todo lo que se encuentre a su alcance para modificar los valores
predeterminados recae en quienes se encargan de la administracin de los equipos. Es importante
que durante el proceso de hardening se verifiquen aspectos como las opciones que se configuran de
manera predeterminada al instalar sistemas operativos y dems recursos, como los nombres de
rutas, nombres de carpetas, componentes, servicios, configuraciones y otros ajustes necesarios, o
innecesarios, que brinden un adecuado nivel de proteccin.
En este sentido, es importante no sacrificar la disponibilidad de los recursos por ganar
seguridad. Se debe encontrar un equilibrio justo entre usabilidad y seguridad.
Junio de 2011
33
ADMINISTRACIN DEL PERSONAL Y USUARIOS

Este proceso lleva generalmente cuatro pasos:
Definicin de puestos: debe contemplarse la mxima separacin de funciones posibles y el
otorgamiento del mnimo permiso de acceso requerido por cada puesto para la ejecucin de las
tareas asignadas.
Determinacin de la sensibilidad del puesto: para esto es necesario determinar si la funcin
requiere permisos riesgosos que le permitan alterar procesos, perpetrar fraudes o visualizar
informacin confidencial.
Eleccin de la persona para cada puesto: requiere considerar los requerimientos de
experiencia y conocimientos tcnicos necesarios para cada puesto. Asimismo, para los puestos
definidos como crticos puede requerirse una verificacin de los antecedentes personales
Entrenamiento inicial y continuo del empleado: cuando la persona seleccionada ingresa a
la organizacin, adems de sus responsabilidades individuales para la ejecucin de las tares que se
asignen, deben comunicrseles las polticas organizacionales, haciendo hincapi en la poltica de
seguridad. El individuo debe conocer las disposiciones organizacionales, su responsabilidad en
cuanto a la seguridad informtica y lo que se espera de l.
Esta capacitacin debe orientarse a incrementar la conciencia de la necesidad de proteger los
recursos informticos y a entrenar a los usuarios en la utilizacin de los sistemas y equipos para que
ellos puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores
(principal riesgo relativo a la tecnologa informtica).
Slo cuando los usuarios estn capacitados y tienen una conciencia formada respecto de la
seguridad pueden asumir su responsabilidad individual. Para esto, el ejemplo de la gerencia
constituye la base fundamental para que el entrenamiento sea efectivo: el personal debe sentir que
la seguridad es un elemento prioritario dentro de la organizacin.
Junio de 2011
34
SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SGSI)

La confidencialidad, integridad y disponibilidad de informacin sensible pueden llegar a ser
esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios
econmicos.
Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cada vez ms
elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden
someter a activos crticos a diversas formas de fraude, espionaje, sabotaje o vandalismo. La
inseguridad de la informacin es un riesgo y como tal debe ser tratado, trabajando en las etapas de
anlisis de la situacin, implementacin de medidas, definicin de mecanismos de control de la
seguridad y monitoreo para evaluar los resultados y sus posibles mejoras y as, recomenzar el ciclo.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el caso de disponer de
un presupuesto ilimitado.
Para que una organizacin pueda implementar un plan exitoso de seguridad de la informacin,
debe comprenderse a la misma como un proceso dinmico y
debe considerarse la implementacin
de un Sistema de Gestin de la Seguridad de la Informacin (SGSI).
El propsito de un SGSI ser el de garantizar que los riesgos a la seguridad de la informacin

sean asumidos, gestionados y minimizados por la organizacin de una forma sistemtica,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el
entorno y las tecnologas.
Este proceso debe ser conocido por toda la organizacin y por lo tanto debe ser documentado.
Para formalizar un SGSI debemos estar actualizados en las leyes y regulaciones
que, en
materia de seguridad, rijan para la empresa donde se desea implementar, adems de las normas
que puedan utilizarse como estndares de referencia.
En cuanto a las leyes y regulaciones argentinas6 en la materia deberemos referirnos a:
Ley 25.326 de Proteccin de datos personales (conocida como Ley de Habeas Data), modificada
por Ley 26343 (incorpora artculo 47) y artculo 43 de la Constitucin Nacional
Ley 11.723 sobre Propiedad Intelectual y reglamentaciones relacionadas
Comunicacin A 4609 del BCRA para entidades Financieras. Requisitos mnimos de gestin,
implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de
informacin.
Ley 25506 de Firma Digital

En cuanto a las leyes y regulaciones en la materia que rigen para empresas internacionales o
de capitales extranjeros:
Nuevo Acuerdo de Capital de Basilea (Basilea II) para entidades bancarias
Se puede acceder a Decretos, Regulaciones y Proyectos de Ley en:

http://www.protecciondedatos.com.ar/legislacion.htm#legis7
Junio de 2011
35
Ley Sarbanes-Oxley (SOX). Ley de Estados Unidos con el fin de monitorear a las empresas que
cotizan en bolsa
En cuanto a las normas7, es conveniente utilizar como referencia estndares aceptados para la
prctica de seguridad de la informacin y los procesos relacionados mencionados en el captulo de

Riesgos y de los cuales haremos referencia en este captulo a:
Normas de la serie ISO 27000
MAGERIT V.2 Metodologa Automatizada de Anlisis y Gestin de Riesgos de los Sistemas de

Informacin de las Administraciones Pblicas. Ministerio de Administraciones Pblicas de Espaa.
La direccin debe asumir que un SGSI afecta fundamentalmente a la gestin del negocio y
requiere, por tanto, de decisiones y acciones que slo puede tomar la gerencia de la organizacin.
No se debe caer en el error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada
a niveles inferiores del organigrama; se estn gestionando riesgos e impactos de negocio que son
responsabilidad y decisin de la direccin.
Algunas de las tareas fundamentales del SGSI que la norma ISO 27001 asigna a la direccin:
Compromiso de la direccin: La direccin de la organizacin debe comprometerse con el

establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora
del SGSI. Para ello, debe tomar las siguientes iniciativas:
Establecer una poltica de seguridad de la informacin.
Asegurarse de que se establecen objetivos y planes del SGSI.
Establecer roles y responsabilidades de seguridad de la informacin.
Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridad de la

informacin y de cumplir con la poltica de seguridad, como sus responsabilidades legales y la
necesidad de mejora continua.
Asignar suficientes recursos al SGSI en todas sus fases.
Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.
Asegurar que se realizan auditoras internas.
Realizar revisiones del SGSI
Asignacin de recursos: Para el correcto desarrollo de todas las actividades relacionadas con
el SGSI, es imprescindible la asignacin de recursos. Es responsabilidad de la direccin
garantizar que se asignan los suficientes para:
Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.
Garantizar que los procedimientos de seguridad de la informacin apoyan los requerimientos de

negocio.
Ver Anexo: Marco Normativo.
Junio de 2011
36
Identificar y tratar todos los requerimientos legales y normativos, as como las obligaciones
contractuales de seguridad.
Aplicar correctamente todos los controles implementados, manteniendo de esa forma la

seguridad adecuada.
Realizar revisiones cuando sea necesario y actuar adecuadamente segn los resultados de las
mismas.
Mejorar la eficacia del SGSI donde sea necesario.
Formacin y concientizacin: son elementos bsicos para el xito de un SGSI. Por ello, la
direccin debe asegurar que todo el personal de la organizacin al que se le asignen
responsabilidades definidas en el SGSI est suficientemente capacitado. Se deber:
Determinar las competencias para el personal que realiza tareas para aplicar el SGSI.
Satisfacer las necesidades de personal por medio de formacin o de otras acciones como, p. ej.,
contratacin de personal ya formado.
Evaluar la eficacia de las acciones realizadas.
Mantener registros de estudios, formacin, habilidades, experiencia y calificacin.

Adems, la direccin debe asegurar que todo el personal relevante est concientizado de la
importancia de sus actividades de seguridad de la informacin y de cmo contribuye a la

consecucin de los objetivos del SGSI.
Revisin del SGSI: A la direccin de la organizacin se le asigna tambin la tarea de revisar el

SGSI para asegurar que contine siendo adecuado y eficaz. Para ello, debe recibir una serie de
informes que le ayuden a tomar decisiones, entre las que se pueden enumerar:
Resultados de auditoras y revisiones del SGSI.
Observaciones de todas las partes interesadas.
Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el rendimiento y
eficacia del SGSI.
Informacin sobre el estado de acciones preventivas y correctivas.
Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos

anteriores.
Resultados de las mediciones de eficacia.
Estado de las acciones iniciadas a raz de revisiones anteriores de la direccin.
Cualquier cambio que pueda afectar al SGSI.
Recomendaciones de mejora.
Basndose en todas estas informaciones, la direccin debe revisar el SGSI y tomar decisiones
y acciones relativas a:
Mejora de la eficacia del SGSI.
Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.
Junio de 2011
37
Modificacin de los procedimientos y controles que afecten a la seguridad de la informacin, en

respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de
seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y
criterios de aceptacin de riesgos.
Necesidades de recursos.
Mejora de la forma de medir la efectividad de los controles.
CICLO DE CALIDAD PARA EL SGSI

Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a
ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.
Plan (planificar): establecer el SGSI.
Do (hacer): implantar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de mantener y mejorar el
SGSI lleva de nuevo a la fase de Planificar para iniciar un nuevo ciclo de las cuatro fases. Tngase
en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber
actividades de implantacin que ya se lleven a cabo cuando otras de planificacin an no han
finalizado; o que se monitoricen controles que an no estn implantados en su totalidad.
ESTABLECER EL SGSI
Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y
tecnologas, incluyendo detalles y justificacin de cualquier exclusin.
Definir una poltica de seguridad
Definir una metodologa de evaluacin del riesgo
Seleccionar los objetivos de control y los controles para el tratamiento del riesgo que
cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo.
Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del
SGSI.
Definir una Declaracin de Aplicabilidad (SOA).
POLTICA Y OBJETIVOS DE SEGURIDAD

Se define una poltica de seguridad como una declaracin de intenciones de alto nivel que
cubre la seguridad de los sistemas de informacin y que proporciona las bases para definir y
delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se
requerirn. Una buena definicin de la poltica de seguridad de la informacin deber:
incluir el marco general y los objetivos de seguridad de la informacin de la organizacin

determinando la clasificacin de los activos
Junio de 2011
38
considerar requerimientos legales o contractuales relativos a la seguridad de la informacin
estar alineada con el contexto estratgico de gestin de riesgos de la organizacin en el

que se establecer y mantendr el SGSI
establecer los criterios con los que se va a evaluar el riesgo
estar aprobada por la direccin

Para ser completa, una poltica de seguridad debe detallar medidas para tres momentos de un
ataque: antes, durante y despus.

El antes refiere a la prevencin, que debe ser el eje de cualquier estrategia de seguridad, es
decir a cualquier medida dedicada a evitar que un incidente ocurra. En esta categora se incluyen
medidas para el control de accesos autorizados como tambin instalacin de software o hardware de
seguridad.
El despus refiere a las herramientas y mecanismos existentes para recuperar la informacin
y el estado de los recursos en caso que ocurra un incidente. Por ejemplo, una copia de seguridad
no evita el incidente, pero en el caso que cierta informacin sea comprometida, sta podr
recuperarse en un estado razonable.
El durante refiere a aquellos controles dedicados a la deteccin de incidentes. En el caso que
cierta informacin sufra algn ataque, es importante poder detectarlo, y para ello es necesario
contar con controles de este tipo. En esta categora se incluyen, por ejemplo, detectores de intrusos
o herramientas de auditora y control de cambios sobre un sistema.
METODOLOGA DE EVALUACIN DEL RIESGO

La metodologa de evaluacin del riesgo debe ser apropiada para el SGSI y los requerimientos
del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de
riesgo aceptable. Lo primordial de esta metodologa es que los resultados obtenidos sean
comparables y repetibles.
SELECCIN DE LOS OBJETIVOS DE CONTROL Y CONTROLES

Se podrn seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 (norma
certificable) o de la lista ms completa existente en la ISO 270028 (cdigo de buenas prcticas) para
el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de
evaluacin del riesgo.
En relacin a los controles de seguridad, el estndar ISO 27002 proporciona una completa gua
de implantacin que contiene 133 controles, segn 39 objetivos de control agrupados en 11
dominios. Esta norma es referenciada en ISO 27001, en su segunda clusula, en trminos de
documento indispensable para la aplicacin de este documento y deja abierta la posibilidad de
incluir controles adicionales en el caso de que la gua no contemplase todas las necesidades
particulares.
La lista completa de los Dominios-Objetivos y Controles del cdigo de buenas prcticas ISO
27002:2005 se incluye en el Anexo de este captulo.
Junio de 2011
39
DECLARACIN DE APLICABILIDAD
La Declaracin de Aplicabilidad9 o SOA (por sus siglas en ingls: Statement of Aplicability) es un
documento que describe los objetivos de control y los controles que son relevantes para el SGSI de
la organizacin y aplicables al mismo.
Los objetivos de control y los controles se basan en los resultados y conclusiones de la
evaluacin de riesgos y en los procesos de tratamiento del riesgo, en los requisitos legales o
reglamentos, en las obligaciones contractuales y en las necesidades empresariales de la
organizacin en materia de seguridad de la informacin.
Debe incluir:
los objetivos de control y controles seleccionados y los motivos para su eleccin
los objetivos de control y controles que actualmente ya estn implantados
los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusin; este
es un mecanismo que permite, adems, detectar posibles omisiones involuntarias.
IMPLANTAR Y UTILIZAR EL SGSI

Para implantar y utilizar un SGSI ser necesario:
Definir
un
plan
de
tratamiento
de
riesgos
que
identifique
las
acciones,
recursos,
responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin.
Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control
identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades.
Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.
Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para
medir la eficacia de los controles o grupos de controles.
Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a

todo el personal.
Gestionar las operaciones del SGSI.
Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la

informacin.
Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los
incidentes de seguridad.
Se incluye un ejemplo de SOA basado en la lista que propone ISO 2007:2005 en el Anexo de este
captulo
Junio de 2011
40
MONITORIZAR Y REVISAR EL SGSI

La organizacin deber:
Ejecutar procedimientos de monitorizacin y revisin para:

detectar a tiempo los errores en los resultados generados por el procesamiento de la
informacin;
identificar brechas e incidentes de seguridad;
ayudar a la direccin a determinar si las actividades desarrolladas por las personas y
dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en
relacin a lo previsto;
detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;
determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y

objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las
mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales
y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse
en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas
identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos
legales, obligaciones contractuales, etc.-.
Realizar peridicamente auditoras internas del SGSI en intervalos planificados.
Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido
sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.
Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados
durante las actividades de monitorizacin y revisin.
Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento
del SGSI.
MANTENER Y MEJORAR EL SGSI

La organizacin deber regularmente:
Implantar en el SGSI las mejoras identificadas.
Realizar las acciones preventivas y correctivas adecuadas en relacin a la clasula 8 de ISO

27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado
y acordar, si es pertinente, la forma de proceder.
Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
Junio de 2011
41
DOCUMENTOS DE UN SGSI
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una
identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y
aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de
influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones,
reas, procesos, sistemas o tareas concretas).
Poltica y objetivos de seguridad: documento de contenido genrico que establece el

compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad de la
informacin.
Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos

que regulan el propio funcionamiento del SGSI.
Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo se

realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e
impactos en relacin a los activos de informacin contenidos dentro del alcance seleccionado),
desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables.
Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa de evaluacin

anteriormente mencionada a los activos de informacin de la organizacin.
Plan de tratamiento de riesgos: documento que identifica las acciones de la direccin, los
recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la
informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los
objetivos de control identificados, de los recursos disponibles, etc.
Procedimientos documentados: todos los necesarios para asegurar la planificacin, operacin

y control de los procesos de seguridad de la informacin, as como para la medida de la eficacia
de los controles implantados.
Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del
funcionamiento eficaz del SGSI.
Declaracin de aplicabilidad10: (SOA -Statement of Applicability-, en sus siglas inglesas);

documento que contiene los objetivos de control y los controles contemplados por el SGSI,
basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando
inclusiones y exclusiones.
Basados en el estndar ISO 27001 un SGSI puede organizar los documentos mencionados de la
siguiente forma:
10
Puede utilizarse un formato de SOA como el que se incluye en el Anexo de este captulo
Junio de 2011
42
Manual de Seguridad: documento que inspira y dirige todo el sistema. Expone y determina las
intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI.
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma
eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin.
Instrucciones, checklists y formularios: documentos que describen los estndares tcnicos
de cmo se realizan las tareas y las actividades especficas relacionadas con la seguridad de la
informacin.
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los
requisitos del SGSI; estn asociados a los documentos anteriores y demuestran que se ha cumplido
lo indicado en los mismos.
MANUAL DE SEGURIDAD DE LA INFORMACIN

La redaccin de un manual de seguridad tiene el objetivo de identificar un conjunto de reglas
bsicas que rijan el comportamiento de las personas que tengan acceso al uso de la informacin de
la organizacin y de responsabilidades en la salvaguarda y el control de las herramientas y
mecanismos para la deteccin de incidentes y para recuperacin en caso de que el problema ocurra.
Las buenas prcticas indican que el mismo debe contener al menos las siguientes secciones:
1. Introduccin
1.1. Objetivo del Manual de Seguridad de la Informacin
1.2. Medios de comunicacin del Manual de Seguridad de la Informacin
1.3. Responsables del Cumplimiento
1.4. Incumplimientos
1.5. Marco Legal
1.6. Glosario
2. Sistema de Gestin de Seguridad de la Informacin
2.1. Objetivo
2.2. Alcance del SGSI
2.3. Control de cambios y aprobacin
Junio de 2011
43
3. Poltica de Seguridad
4.
3.1.
Compromiso de la direccin
3.2.
Poltica de seguridad de la organizacin
3.3.
Revisin de la poltica
3.4.
Conformidad con la poltica de seguridad y los estndares de control
3.5.
Objetivos de la Gestin de Seguridad de Informacin
Aspectos Organizativos
4.1.Organizacin Interna
4.1.1. Grupo de Sistemas/IT
4.1.2. Usuario
4.1.3. Propietario de Informacin
4.1.4. Auditora Interna
4.2.Relaciones con Terceros
4.2.1. Autoridades y entidades externas relevantes al Negocio
4.2.2. Compaas consultoras en SGSI
5. Determinacin de requerimientos de seguridad de la informacin

5.1.
Gestin de Activos
5.1.1. Directrices para la identificacin de Activos

5.1.2. Inventario de Activos - Responsables
5.2.
Descripcin de la metodologa de evaluacin del riesgo
5.2.1. Descripcin de Amenazas e Incidentes

5.2.2. Reporte de evaluacin del riesgo
5.2.3. Plan de tratamiento del riesgo
6. Declaracin de Aplicabilidad11
7. Normas y polticas del Sistema de Gestin de Seguridad de la Informacin12
(como mnimo las siguientes)
7.1.
Recursos Humanos
7.2.
Seguridad Fsica y Ambiental
7.3.
Comunicaciones y Operaciones
7.4.
Control de Acceso
7.5.
Desarrollo de Software
7.6.
Gestin Incidentes
7.7.
Gestin de la Continuidad del Negocio
7.8.
Cumplimiento
8. Bibliografa
11
12
Se adjunta como Anexo: SOA-Declaracin de Aplicabilidad

Se realizarn ejemplos de prctica para alguna de las Normas indicadas
Junio de 2011
44
Debido a que este manual puede sufrir actualizaciones peridicas, ya sea por cambios
Normativos y Legales o modificaciones que deriven de los controles de cambio y aprobacin surgidas
de la gestin de riesgos o modificaciones en la operatoria del negocio, es conveniente mantener los
distintos captulos versionados.
En cuanto a las Normas y Polticas, el manual puede hacer referencia a Anexos.
Es conveniente que cada Norma (citada en el punto 7) detalle adems: Objetivo, responsables
del
cumplimiento,
sanciones
por
incumplimiento,
definiciones
especficas
de
la
Norma
procedimientos relacionados
PROCEDIMIENTOS
Detalle de cursos de accin y tareas que deben realizar los responsables para hacer cumplir las
definiciones de las normas citadas en el Manual de Seguridad de la Informacin.
Cada procedimiento detallado deber contener:
Definiciones especficas del procedimiento
Relacin con las Normas y Polticas del Manual de Seguridad de la Informacin
Relacin con los dominios objetivos de control y controles especificados en la Declaracin de

Aplicabilidad para permitir luego su auditora
Activos y Responsables implicados (segn la clasificacin realizada en el Inventario de Activos)
Amenazas e Incidentes relacionados (segn el anlisis de Riesgos realizado)
Definicin de los Procedimientos de auditora relacionados
Referencia a instrucciones, formularios y checklists utilizados para el procedimiento
Referencia a los registros de informacin que derivan del procedimiento

Una buena especificacin de procedimientos
avalar que la informacin se encuentre
efectivamente clasificada, que cualquier cambio o creacin de un activo de informacin reciba la

tipificacin adecuada y que el tratamiento y la posterior destruccin de cualquier recurso sea
gestionado de forma acorde al nivel definido.
INSTRUCCIONES, FORMULARIOS Y CHECKLISTS

Conjunto de documentos que servirn para dar marco a los procedimientos. Pueden ser
especificaciones del fabricante o parmetros especficos de seguridad para cada una de las
tecnologas utilizadas.
REGISTROS
Para el registro de la informacin se debern tener en cuenta:
Registro de incidentes ocasionados, individualizados o no en el Manual de Seguridad o en la

Gestin de Riesgos
Registro de Controles de auditora relacionados con los estndares de control de la norma y los
procedimientos que deben efectuarse para el tratamiento de los riesgos.
Junio de 2011
45
ANEXO I: MARCO NORMATIVO

SERIE ISO 27000
En cuanto a las Normas de la serie ISO 27000 caben destacar los siguientes aspectos:
La Norma ISO 27001 establece los requisitos para construir un SGSI (Sistema de Gestin de
Seguridad de la Informacin o ISMS por sus siglas en ingls).
Esta norma se liber en el ao 2005 y fue tomada en su mayor parte de la BS 7799-2:2002
desarrollada por la entidad de normalizacin britnica British Standards Institution pero con las
modificaciones introducidas en la ISO 27002:2005. Es una norma certificable ya que expresa
mandatos u obligaciones a cumplir lo que permite su auditora y certificacin.
La Norma ISO 27002 es una gua de buenas prcticas de seguridad de la informacin

que presenta una extensa serie de controles de seguridad recomendados (11 dominos 39
objetivos de control y 133 controles) y que en la prctica se seleccionan en base a una valorizacin
de riesgos. Es la nica norma que no slo cubre la problemtica de la seguridad IT sino que hace
una aproximacin holstica a la seguridad de la informacin corporativa, abarcando todas las
funcionalidades de una organizacin en cuanto a la seguridad de la informacin que maneja. Este
concepto marca la diferencia con el de seguridad informtica que, en la prctica, se vino
convirtiendo en equivalente de seguridad de sistemas TI, mientras que la norma considera tambin
los riesgos organizacionales, operacionales y fsicos de una empresa, con todo lo que esto implica.
Esta norma tiene su origen en la norma ISO 17799:2000 prcticamente igual a la Primera Parte
de la norma BS 7799-1.
En resumen, la ISO 27001 muestra cmo aplicar los controles seleccionados de la ISO 27002,
estableciendo los requisitos para construir un Sistema de Gestin de Seguridad de la
Informacin (SGSI, o ISMS por sus siglas en ingls) que efectivamente se puede auditar y
certificar.
El SGSI de la ISO 27001 responde a la aplicacin del ciclo Deming o modelo PDCA (Plan-DoCheck-Act) de mejora continua tambin presente en otras normas. La aplicacin del proceso PDCA
en el SGSI conforma el paradigma de gestin de riesgos que gua la estrategia del Corporate
Governance, incluyendo la gestin de riesgos de negocios.
De hecho, bajo el esquema comn del modelo PDCA, la ISO 27001 ofrece un interesante
alineamiento con otras normas tambin de sistemas de gestin como la ISO 9001 de Calidad y la
ISO 14001 de Medio Ambiente, con el consiguiente beneficio de reduccin de esfuerzos y costos en
una implementacin semi-integrada.
Junio de 2011
46
La Serie ISO 27000 se completa con una serie de Normas que buscan dar un carcter
autoconsistente a la misma:
ISO 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra
en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de
acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin
hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de
aprobacin por la direccin para implementar un SGSI. Tiene su origen en el anexo B de la norma
BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con
recomendaciones y guas de implantacin.
ISO 27004: Publicada el 7 de Diciembre de 2009. No certificable. Es una gua para el

desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia
de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001
ISO 27005: Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la

gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados
en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad
de la informacin basada en un enfoque de gestin de riesgos. Su publicacin revisa y retira las
normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.
ISO 27006: Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditacin
de entidades de auditora y certificacin de SGSIs. Es una versin revisada de EA-7/03
(Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade
a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin)
los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los
criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO
27001, pero no es una norma de acreditacin por s misma
ISO 27007: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua
de auditora de un SGSI, como complemento a lo especificado en ISO 19011.
ISO 27008: En fase de desarrollo, con publicacin prevista en 2011. Consistir en una gua
de auditora de los controles seleccionados en el marco de implantacin de un SGSI.
ISO/IEC 27010: En fase de desarrollo, con publicacin prevista en 2012. Es una norma en 2
partes, que consistir en una gua para la gestin de la seguridad de la informacin en
comunicaciones inter-sectoriales.
Junio de 2011
47
ISO 27011: Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la
implementacin y gestin de la seguridad de la informacin en organizaciones del sector
de telecomunicaciones basada en ISO/IEC 27002.
ISO/IEC 27033: Norma dedicada a la seguridad en redes, consistente en 7 partes:
27033-1, conceptos generales (publicada el 10 de Diciembre de 2009);
Se encuentran en fase de desarrollo:
27033-2, directrices de diseo e implementacin de seguridad en redes (prevista para

2011);
27033-3, escenarios de redes de referencia (prevista para 2011);
27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de

seguridad (prevista para 2012);
27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012);
27033-6, convergencia IP (prevista para 2012);
27033-7, redes inalmbricas (prevista para 2012).
ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para
apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la
seguridad de la informacin sobre los datos de salud de los pacientes. Esta norma, al contrario que
las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215.
Tambin se encuentran en fase de desarrollo:

ISO 27012: con publicacin prevista en 2011. Consistir en un conjunto de requisitos
(complementarios a ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de gestin de
seguridad de la informacin en organizaciones que proporcionen servicios de e-Administracin.
ISO 27013: con publicacin prevista en 2012. Consistir en una gua de implementacin
integrada de ISO 27001 (gestin de seguridad de la informacin) y de ISO 20000-1
(gestin de servicios TI).
ISO 27014: con publicacin prevista en 2012. Consistir en una gua de gobierno
corporativo de la seguridad de la informacin.
ISO 27015: con publicacin prevista en 2012. Consistir en una gua de SGSI para
organizaciones del sector financiero y de seguros.
ISO 27031: con publicacin prevista en 2011. Consistir en una gua de continuidad de
negocio en cuanto a tecnologas de la informacin y comunicaciones.
Junio de 2011
48
ISO 27032: con publicacin prevista en 2011. Consistir en una gua relativa a la
ciberseguridad.
ISO 27034: con publicacin prevista en 2010. Consistir en una gua de seguridad en
aplicaciones informticas.
ISO 27035: con publicacin prevista en 2011. Consistir en una gua de gestin de
incidentes de seguridad de la informacin.
ISO 27036: con publicacin prevista en 2012. Consistir en una gua de seguridad de
outsourcing (tercerizacin de servicios).
ISO 27037: con publicacin prevista en 2012. Consistir en una gua de identificacin,
recopilacin y preservacin de evidencias digitales.
MAGERIT V.2
El Consejo Superior de Administracin Electrnica del Ministerio de Administraciones Pblicas
de Espaa ha elaborado MAGERIT (Metodologa Automatizada de Anlisis y Gestin de Riesgos de
los Sistemas de Informacin) y promueve su utilizacin como respuesta a la percepcin de que la
Administracin (y en general toda la sociedad) depende de forma creciente de las tecnologas de la
informacin para el cumplimiento de su misin. La razn de ser de MAGERIT est directamente
relacionada con la generalizacin del uso de los medios electrnicos, informticos y telemticos, que
supone beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que generen confianza
MAGERIT persigue los siguientes objetivos:
Directos:
1. concientizar a los responsables de los sistemas de informacin de la existencia de riesgos y de la
necesidad de atacarlos a tiempo
2. ofrecer un mtodo sistemtico para analizar tales riesgos
3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
Indirectos:
4. preparar a la Organizacin para procesos de evaluacin, auditoria, certificacin o acreditacin,
segn corresponda en cada caso
Junio de 2011
49
Libro I: Mtodo: pasos para realizar un anlisis del estado de riesgo y para gestionar su
mitigacin; tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos (roles,
actividades, hitos y documentacin) y aplicacin de la metodologa al caso del desarrollo de sistemas
de informacin
Libro II: Catlogo de Elementos: tipos de activos, dimensiones de valoracin de los activos,
criterios de valoracin de los activos, amenazas tpicas sobre los sistemas de informacin y
salvaguardas a considerar para proteger sistemas de informacin
Libro III: Gua de Tcnicas: empleadas para llevar a cabo proyectos de anlisis y gestin de
riesgos: tcnicas especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis
algortmico, rboles de ataque, tcnicas generales, anlisis costo-beneficio, diagramas de flujo de
datos, diagramas de procesos, tcnicas grficas, planificacin de proyectos, sesiones de trabajo
(entrevistas, reuniones y presentaciones) y valoracin Delphi
Estos libros se pueden descargar de: http://www.csi.map.es/csi/pg5m20.htm
Busca, adems, la uniformidad de los informes que recogen las evidencias y las conclusiones de un
proyecto de anlisis y gestin de riesgos:
Modelo de valor: Caracterizacin del valor que representan los activos para la Organizacin as
como de las dependencias entre los diferentes activos.
Mapa de riesgos: Relacin de las amenazas a que estn expuestos los activos.
Evaluacin de salvaguardas (controles): Evaluacin de la eficacia de las salvaguardas existentes
en relacin al riesgo que afrontan.
Estado de riesgo: Caracterizacin de los activos por su riesgo residual; es decir, por lo que puede
pasar tomando en consideracin las salvaguardas desplegadas.
Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen como
oportunas para reducir los riesgos sobre el sistema.
Plan de seguridad: Conjunto de programas de seguridad que permiten materializar las decisiones
de gestin de riesgos
Junio de 2011
50

Seguridad Información y Auditoría UTN

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguridad Información y Auditoría UTN

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

Gua de los Fundamentos de la Direccin de Proyectos (PMBOK). Cuarta Edicin. Project

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

MARCO CONCEPTUAL DE LA GESTIN DE RIESGOS .......................................7

EL PROCESO DE GESTIN DE RIESGOS ....................................................9

ANLISIS CUANTITATIVO DE RIESGOS ......................................................................... 12

PLANIFICACIN DE LA RESPUESTA A LOS RIESGOS .................................................... 12

SEGUIMIENTO Y CONTROL DE RIESGOS ................................................................. 14

GESTIN DE RIESGOS EN SEGURIDAD DE LA INFORMACIN ........................... 15

REQUERIMIENTOS DE SEGURIDAD Y CONTROLES ...................................................... 23

SEGURIDAD LGICA ....................................................................................... 26

TRANSMISIN Y ALMACENAMIENTO SEGURO DE INFORMACIN ............................................ 28

SEGURIDAD PERIMETRAL ......................................................................................... 31

CONFIGURACIONES DE LA INFRAESTRUCTURA TECNOLGICA .............................................. 33

CICLO DE CALIDAD PARA EL SGSI ...................................................................... 38

IMPLANTAR Y UTILIZAR EL SGSI ................................................................................ 40

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

SERIE ISO 27000 ........................................................................................ 46

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

La seguridad informtica (si) se encarga de la proteccin de los sistemas informticos,

La seguridad de la informacin (SI) es un proceso mucho ms amplio que implica la

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

MARCO CONCEPTUAL DE LA GESTIN DE RIESGOS

DEFINICIONES Y REFERENCIAS A RIESGOS

El SEI (Software Engineering Institute), adems de incluir la Gestin de Riesgos

OCTAVE Allegro y adems provee un mtodo

sistemtico de identificacin de riesgos basados en taxonomas. En el contexto del SEI un riesgo se

Probabilidad de que ocurra un evento adverso.

Impacto, manifestado en una combinacin de prdida econmica, retraso temporal y prdida de

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

se seleccionan en base a una valorizacin de

COBIT es un estndar que combina la investigacin el desarrollo y la promocin de un conjunto

considerar al evaluar. En cuanto a la Gestin de Riesgos de TI, la misma est especificada en el

Ver anexo: Normas Serie ISO/IEC 27000

Ver anexo: SOA - Declaracin de Aplicabilidad

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

EL PROCESO DE GESTIN DE RIESGOS

PLANIFICACIN DE LA GESTIN DE RIESGOS

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

Revisiones de Documentacin: en caso de proyectos: acta de proyecto, cronograma, tcnicas

en caso de servicios: los modelos de rendimiento de

Tcnicas de Recopilacin de Informacin: Brainstorming, Tcnica Delphi, discusiones de grupo,

Anlisis de asunciones o escenarios

Tcnicas de Diagramacin: Diagramas Causa-Efecto, de sistemas, de influencias

Experiencia personal de los involucrados

ANLISIS CUALITATIVO DE RIESGOS

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION

ANLISIS CUALITATIVO DEL IMPACTO Y LA PROBABILIDAD

Probabilidad de ocurrencia: la probabilidad que ocurra si no tomamos ninguna accin; y

Dificultad de intervencin: el nivel de dificultad que experimentaramos en prevenir que

Lic. Fabiana Mara Riva

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO INGENIERIA EN SISTEMAS DE INFORMACION