Beruflich Dokumente
Kultur Dokumente
Tesis para optar por el Ttulo de Ingeniero Informtico, que presenta el bachiller:
Este modelo permite que el sistema opere bajo un principio de mejora continua, que
beneficia permanentemente a la organizacin, propiciando un manejo adecuado de
la seguridad de su informacin.
ii
DEDICATORIA A mi padre, Rafael Santos Basurto.
Tu familia nunca te abandona.
v
AGRADECIMIENTOS A todos aquellos que siempre dieron ms de lo
que uno puede pedir: familia, en particular mi
padre, mis tas y primas por su apoyo
incondicional, desde siempre; amigos, a L.S.S.,
S.G.S., C.L.S., M.C.V. y en especial a Zelenia,
sin el sol en las maanas sera difcil despertar.
vi
ndice de Contenido
1. Generalidades ................................................................................................................... 1
1.1. Definicin del problema ............................................................................................ 1
1.2. Objetivo General ...................................................................................................... 3
1.3. Objetivos Especficos ............................................................................................... 3
1.4. Resultados Esperados ............................................................................................. 3
1.5. Alcance y limitaciones del proyecto ......................................................................... 4
1.6. Marco conceptual ..................................................................................................... 4
1.6.1. Definiciones especficas para el SGSI ............................................................. 4
1.6.2. Estndares involucrados .................................................................................. 7
1.6.3. Otros referentes ............................................................................................... 9
1.7. Estado del arte ....................................................................................................... 12
1.7.1. Implementaciones certificadas ....................................................................... 12
1.7.2. Investigaciones relacionadas ......................................................................... 13
1.7.3. Software que automatiza la operacin de un SGSI ....................................... 14
1.8. Plan de proyecto .................................................................................................... 15
1.8.1. Distribucin de tareas .................................................................................... 15
1.8.2. Planeamiento del proyecto en el tiempo ........................................................ 16
1.9. Descripcin y sustentacin de la solucin ............................................................. 17
1.10. Esquema de organizacin de requisitos ................................................................ 19
2. Componentes para establecer el SGSI .......................................................................... 21
2.1. Planificacin del sistema ........................................................................................ 21
2.2. Comunicaciones internas y externas ..................................................................... 23
2.3. Gestin de la documentacin................................................................................. 25
2.4. Contexto externo e interno de la organizacin ...................................................... 27
2.5. Necesidades y expectativas de las partes interesadas ......................................... 30
2.6. Alcance del SGSI ................................................................................................... 34
2.7. Poltica de seguridad de informacin ..................................................................... 37
2.8. Roles, responsabilidades y autoridades del sistema ............................................. 39
3. Componentes para implementar el SGSI ....................................................................... 41
3.1. Gestin de riesgos y oportunidades ...................................................................... 41
3.2. Objetivos de seguridad de informacin .................................................................. 49
3.3. Concientizacin, capacitacin y evaluacin ........................................................... 51
3.4. Operacin, planes, recursos y registros ................................................................ 53
4. Componentes para mantener el SGSI ............................................................................ 55
4.1. Anlisis y evaluacin de las mtricas .................................................................... 55
4.2. Auditora interna ..................................................................................................... 57
4.3. Revisin por la direccin ........................................................................................ 60
5. Componentes para mejorar el SGSI ............................................................................... 62
5.1. Acciones correctivas .............................................................................................. 62
5.2. Acciones de mejora ................................................................................................ 64
6. Observaciones, conclusiones y recomendaciones ......................................................... 65
6.1. Observaciones ....................................................................................................... 65
6.2. Conclusiones .......................................................................................................... 68
6.3. Recomendaciones ................................................................................................. 70
Bibliografa ............................................................................................................................. 74
vii
ndice de Figuras
ndice de Tablas
viii
1. Generalidades
1
Para realizar estas actividades es inevitable el intercambio de informacin entre
ambas organizaciones participantes. Esto implica la posibilidad de que, dentro de la
informacin intercambiada, pueda encontrarse alguna de carcter sensible que est
expuesta a riesgos de seguridad de informacin, que impacten y comprometan a
ambas partes, ya sea en el traslado, procesamiento, almacenamiento, creacin,
copia e incluso eliminacin.
2
1.2. Objetivo General
3
1.5. Alcance y limitaciones del proyecto
4
almacenados en medios electrnicos u pticos), forma material (por ejemplo: en el
papel), as como la informacin no estructurada en la forma de conocimiento de los
empleados. La informacin puede ser transmitida por diversos medios, incluyendo:
mensajera, comunicacin electrnica o verbal. Cualquiera que sea la forma que
adopte la informacin o el medio por el cual sea transmitida, siempre se necesita
una proteccin adecuada.
5
Confidencialidad. Propiedad de la limitacin o restriccin de la informacin a
individuos, entidades o procesos no autorizados. (ISO/IEC 27000: 2014 - 2.61)
Riesgo. Efecto que genera incertidumbre sobre [el logro de] los objetivos [de
seguridad de informacin]. (ISO/IEC 27000: 2014 - 2.68)
Control. Medida que modifica la situacin del riesgo. (ISO/IEC 27000: 2014 - 2.68)
Vulnerabilidad. Debilidad de un activo o control que puede ser explotada por una o
ms amenazas. (ISO/IEC 27000: 2014 - 2.83)
6
1.6.2. Estndares involucrados
7
ISO/IEC 27004:2009 Tecnologa de Informacin. Tcnicas de Seguridad.
Gestin de Seguridad de Informacin. Medicin [05]
Este estndar propone un marco para la definicin y obtencin objetiva de mtricas,
en el marco de un SGSI, las cuales debern estar relacionadas a los requisitos,
objetivos y controles de seguridad de informacin, de manera que se conviertan en
indicadores de la efectividad del sistema.
8
1.6.3. Otros referentes
9
NIST SP 800 - 100 Manual de Seguridad de Informacin: Gua para gestores
[13]
La SP 800-100 es la gua de gobierno de la seguridad de informacin del National
Institute of Standards and Technology (NIST); incluye los roles de gobierno, el ciclo
de vida para la gestin de la seguridad, la capacitacin, gestin de recursos,
indicadores, gestin de riesgos, manejo de incidentes, entre otros aspectos de la
administracin de la seguridad de informacin en organizaciones.
10
Directiva de Seguridad (Ley de Proteccin de Datos Personales 29733) [17]
Marco de recomendaciones en seguridad de informacin, relacionadas al adecuado
tratamiento y custodia de la informacin de carcter personal. Documento emitido
por la Autoridad Nacional de Datos Personales como marco complementario para la
implementacin de la Ley. En base a la categora de los bancos de datos
personales administrados por las organizaciones, esta directiva define niveles de
requisitos a manejarse. A mayor volumen y complejidad de los datos, mayor el nivel
de exigencia. En el nivel ms alto se recomienda implementar un SGSI.
11
1.7. Estado del arte
Debido a que a la fecha no existe una fuente oficial donde se publiquen las
entidades certificadas en el estndar 27001, la indagacin respecto a las
organizaciones listadas ha tenido que realizarse mediante consultas a especialistas
en seguridad de informacin, a personal que pertenece a algunas de las
organizaciones listadas y a otras fuentes, para verificarlo.
12
1.7.2. Investigaciones relacionadas
13
1.7.3. Software que automatiza la operacin de un SGSI
ISO TOOLS
Es una herramienta web producida por ISO TOOLS Per, que automatiza el
cumplimiento de algunos requisitos del estndar 27001. Incorpora elementos de
otros estndares como la ISO 9001 o de modelos BPM, los cuales no son
necesariamente obligaciones del estndar de seguridad de informacin. No est
estrictamente enfocado en el cumplimiento del estndar 27001.
E-GAM
Este software, producido por EGAMBPM, es un workflow de BPM genrico,
adaptable a distintos estndares ISO; al igual que en el caso anterior, presenta una
solucin compleja, con una estructura ms til para organizaciones que cuentan
con un sistema integrado de gestin.
INMUNO SUITE
Este sistema web, producido por M&T, cuenta con un mdulo de gestin de riesgos
complejo y un mdulo de operacin del SGSI, el cual ha sido modelado
especficamente para el cumplimiento del estndar 27001, ya que guarda
correlacin con todos los requisitos, aunque no los llega a automatizar
completamente.
E-PULPO
Es un sistema de escritorio producido por INGENIA, implementado con un enfoque
de cumplimiento del estndar 27001 y que se integra al software EAR/PILAR del
gobierno espaol, el cual usa para atender los requisitos de gestin de riesgos.
EAR PILAR
Es una herramienta de gestin de riesgos, desarrollada por el Centro Criptolgico
Nacional (CCN) de Espaa, que implementa la metodologa MAGERIT de anlisis y
gestin de riesgos, cuenta con licencias libres para organismos de la administracin
pblica espaola.
14
1.8. Plan de proyecto
Etapa Tareas
Definicin del problema
Marco conceptual
Implementacin de un sistema de gestin de seguridad de la
informacin para una empresa de consultora de software
15
1.8.2. Planeamiento del proyecto en el tiempo
Se presenta el cronograma del proyecto, que detalla la ejecucin de las tareas, una
estimacin de la duracin de stas y las fechas de finalizacin estimadas:
16
1.9. Descripcin y sustentacin de la solucin
Tal como se ha mostrado en el estado del arte existen muchos marcos normativos
relacionados a la seguridad de informacin. Sin embargo, algunos estn limitados a
contener solo definiciones, buenas prcticas, esquemas de controles o
metodologas de gestin de riesgos, entre otros. Solamente tres de los marcos
listados pueden constituirse en modelos para la operacin y administracin de la
seguridad de informacin de una organizacin, y son:
Para estos, se ha optado por hacer una evaluacin de los siguientes aspectos:
17
Esquema de valoracin: Si el aspecto es positivo recibe un valor de 3; si es neutro
o representa aspectos favorables y desfavorables equivalentes, recibe el valor 2;
finalmente, si representa principalmente dificultades, recibe un valor de 1:
18
1.10. Esquema de organizacin de requisitos
Por este motivo, se han organizado todos los requisitos vigentes bajo una
propuesta de modelo propio, donde se ordenan y agrupan las clusulas en las
etapas: Establecer, Implementar, Mantener y Mejorar, segn se muestra:
19
En cada captulo, para cada uno de los requisitos atendidos, se han creado tablas
de verificacin del cumplimiento, que contienen lo siguiente:
20
2. Componentes para establecer el SGSI
En este captulo se presenta lo realizado para cumplir con los requisitos para
establecer el sistema segn lo que indica el estndar ISO/IEC 27001:2013. Para
ello se exponen los lineamientos para su operacin, la gestin de las
comunicaciones internas y externas, el manejo de la documentacin; la definicin
del contexto externo e interno de la organizacin; la identificacin de las
necesidades y expectativas de las partes interesadas; la definicin del alcance del
sistema; el establecimiento de la poltica de seguridad de informacin y, finalmente,
la definicin de los roles, responsabilidades y autoridades del sistema.
Para cada etapa, se han organizado las acciones que permiten cumplir, en
conjunto, con todos los requisitos del estndar 27001.
21
Para planificar, ejecutar y monitorear cada componente del sistema, se ha
elaborado un Plan de operacin y comunicaciones del SGSI (Anexo A),
el cual contiene acciones de tipo operacin, las cuales se presentan tal
como se indica a continuacin:
ISO
Cumplimiento del requisito Evidencia
27001
El Plan de operacin y comunicaciones del SGSI est
estructurado en acciones agrupadas en las fases:
Establecer
Entender el contexto
Entender los requisitos de las partes interesadas
Establecer un plan para el logro de los requisitos
Ejecutar el plan para el logro de los requisitos
Determinar el alcance del SGSI
Validar la poltica de seguridad de informacin
Implementar
Apreciar los riesgos de los procesos
Definir el tratamiento los riesgos identificados
Ejecutar el tratamiento los riesgos identificados
Validar los objetivos de seguridad de informacin
Establecer un plan para el logro de los objetivos
Ejecutar el plan para el logro de los objetivos A. Plan de
4.4 Mantener un plan de concientizacin, capacitacin y operacin y
evaluacin comunicaciones
Ejecutar el plan de concientizacin, capacitacin y del SGSI
evaluacin
Mantener
Definir mtricas de Seguridad de Informacin
Analizar y evaluar las mtricas
Ejecutar la auditora interna del SGSI
Realizar la revisin por la direccin
Mejorar
Establecer acciones correctivas y de mejora (auditora
interna)
Ejecutar el plan de acciones correctivas y de mejora
(auditora interna)
Establecer acciones correctivas y de mejora (revisin por la
direccin)
Ejecutar el plan de acciones correctivas y de mejora
(revisin por la direccin)
Tabla 7. Requisitos de la operacin del SGSI
22
2.2. Comunicaciones internas y externas
Establecer. Se comunican:
El inicio de ciclo de operacin del SGSI
El plan para el logro de los requisitos
La poltica de seguridad de informacin
Implementar. Se comunican:
El inicio de la gestin de riesgos
El fin de la gestin de riesgos
El plan para el logro de los objetivos
Las convocatorias del plan de concientizacin, capacitacin y
evaluacin
Mantener. Se comunican:
Los requerimientos para el monitoreo y medicin de las mtricas
El inicio de la auditora interna
Resultados de la auditora interna
Las convocatorias a la revisin por la direccin
Mejorar. Se comunican:
El plan de acciones correctivas y de mejora (auditora interna)
El plan de acciones correctivas y de mejora (revisin por la direccin)
23
Tal como lo dispone el estndar 27001, para cada una de las acciones de
comunicacin del plan se han definido algunos atributos que permiten que
las comunicaciones logren su objetivo de manera efectiva y sin
ambigedades:
Momento (Cundo)
Las acciones de comunicacin del sistema
7.4.b
establecen el causal de la comunicacin en la
columna Condiciones del plan.
Receptor (A quin)
Las acciones de comunicacin del sistema
7.4.c establecen a quin se trasmitir el mensaje, en A. Plan de
la columna Involucrados del plan, donde se operacin y
especifica quin asumir el rol de receptor. comunicacio
nes del
Emisor (Quin) SGSI
Las acciones de comunicacin del sistema
7.4.d establecen a quin se trasmitir el mensaje, en
la columna Involucrados del plan, donde se
especifica quin asumir el rol de emisor.
24
2.3. Gestin de la documentacin
25
En el segundo caso, la documentacin que la organizacin dispone
para que el sistema sea efectivo, se refiere a las polticas especficas
de seguridad, los procedimientos y otros controles documentales
especficos, implementados por la organizacin y listados en la
Declaracin de aplicabilidad de controles (Anexo K).
ISO
Cumplimiento del requisito Evidencia
27001
General
Se han documentado los requisitos exigidos por el Todos los
7.5.1
estndar 27001 y los controles que la organizacin documentos
ha determinado como necesarios.
Atributos
El numeral 6.1 de la poltica dispone contar con
7.5.2.a, c
registros de: nombre, descripcin, medio (fsico,
digital), revisin y aprobacin de documentos.
Formato
7.5.2.b El numeral 6.2 de la poltica define el manejo de los
formatos de los documentos (fsico, digital). F. Polticas
especficas
Restricciones de seguridad
El numeral 6.4 de la poltica da lineamientos para de
7.5.3.a-f asegurar la confidencialidad, integridad y informacin
disponibilidad de la documentacin, segn
corresponda.
Documentos externos
El numeral 6.5 de la poltica establece lineamientos
7.5.3
para controlar y administrar los documentos de
fuentes externas, si son usados por el sistema.
Tabla 10. Requisitos de la gestin documental
26
2.4. Contexto externo e interno de la organizacin
27
Contexto externo. Desarrolla los elementos de anlisis de contexto
externo del estndar ISO 31000:2009 [07].
o Partes interesadas externas;
o entorno poltico, legal, reglamentario y contractual;
o entorno competitivo;
o entorno social, cultural y natural;
o entorno econmico - financiero y
o entorno tecnolgico.
28
El Informe de contexto de la organizacin (Anexo B) cumple con los
requisitos del estndar 27001 y 31000 segn se muestra a continuacin:
29
2.5. Necesidades y expectativas de las partes interesadas
Las partes interesadas son aquellas entidades que tienen mayor importancia
para la organizacin, por lo que sus requisitos de seguridad de informacin
tambin deben ser tomados en cuenta para entender cul debe ser el
enfoque adecuado para implementar el sistema.
o Internas.
Direccin (Socios y gerentes)
Gestor de proyecto (supervisor)
Operador (consultores)
Operador TIC (responsable de soporte)
Coordinador de seguridad de informacin
o Externas.
Clientes (varios)
Proveedores (varios)
Competidores (varios)
Reguladores (Ministerio de Justicia, INDECOPI)
30
Requisitos de partes interesadas. Detalla aquellos requisitos
relacionados a la seguridad de la informacin, para cada interesado
externo e interno, los cuales pueden ser:
31
A continuacin se muestran, los resultados obtenidos del anlisis de cada
uno de los requisitos, considerando tanto necesidades (N) como
expectativas (E):
32
Los requisitos de seguridad de informacin son tomados en cuenta para la
definicin del alcance del SGSI, tal como se indica en el numeral 2.6 del
presente informe. Sin embargo, la seleccin de los elementos incorporados
al sistema corresponde a la direccin de la organizacin.
Adems, como se ver ms adelante, para lograr que estos sean cumplidos,
se ha diseado y ejecutado un Plan de requisitos de seguridad de
informacin (Anexo N).
33
2.6. Alcance del SGSI
Consultora de software
Procesos estratgicos
A1. Gestin de la direccin A2. Gestin comercial
(planificacin y recursos) (ventas y prospectiva de servicios)
Procesos operacionales
B1. Gestin de B2. Ejecucin de servicios
B3. Aseguramiento de la
proyectos de de desarrollo y
calidad del software
consultora mantenimiento de software
Procesos de apoyo
C1. Gestin de la C2. Gestin de C3. Gestin de C4. Gestin de
contabilidad y recursos tecnologa e logstica y
finanzas humanos infraestructura patrimonio
Figura 2. Procesos seleccionados por la importancia de su informacin
34
Esta seleccin establece los procesos en los que es ms importante
gestionar la seguridad de informacin; sin embargo, su enumeracin no
basta para constituir un alcance del sistema; por lo que, en la Declaracin
de alcance del SGSI (Anexo D), se especifican los siguientes aspectos de
los procesos:
Generalidades
Procesos y reas involucradas
Informacin de los procesos
Personal y organizacin
Activos y servicios
Ubicacin
Requisitos de seguridad de informacin gestionados por el sistema
35
Debido a la alta interrelacin que existe entre los procesos seleccionados
(B1. Gestin de proyectos de consultora, B2. Ejecucin de servicios de
desarrollo y mantenimiento de software, B3. Aseguramiento de la
calidad del software), se ha visto conveniente diagramar sus componentes
y relaciones en un nico esquema en la Declaracin de alcance del SGSI
(Anexo D), el mismo que se muestra a continuacin:
36
2.7. Poltica de seguridad de informacin
Este documento cumple con los requisitos del estndar 27001, segn se
muestra a continuacin:
37
ISO 27001 Cumplimiento del requisito Evidencia
La Poltica de seguridad de informacin se establece
5.2 bajo la aprobacin del representante de la direccin
(Gerente general).
Propsito de la organizacin
Prrafo 1. Explica la naturaleza del negocio y, en a
partir de ello, reconoce la importancia que tiene su
5.2.a
informacin y declara su compromiso de
salvaguardarla, en beneficio de la consultora y sus
clientes.
Referencia a Objetivos
Prrafo 2: Referencia a dnde (Declaracin de
objetivos de seguridad de informacin) y cmo
5.2.b
(Plan de Objetivos de Seguridad de Informacin) se E. Poltica de
definirn y lograrn los objetivos de seguridad de seguridad de
informacin, alineados a los de la organizacin. informacin
L. Declaracin
Compromiso sobre los requisitos
de objetivos de
Prrafo 3: Compromete la atencin de los requisitos de
seguridad de
5.2.c seguridad de informacin identificados de la
informacin
organizacin, e indica cmo se lograr atenderlos (Plan
N. Plan de
de Requisitos de Seguridad de Informacin).
requisitos de
Compromiso de mejora continua seguridad de
Prrafo 4: Establece la creacin del Sistema de informacin
Gestin de Seguridad de Informacin (SGSI), se
5.2.d
compromete a su mejora continua en seguridad de
informacin, as como tambin a la mejora de los
procesos que forman parte de su alcance.
Documentacin
5.2.e Se encuentra documentada en la Poltica de
seguridad de informacin.
Publicacin y difusin
Prrafo 5: Dispone que sea publicada y comunicada
5.2.f g entre los miembros de la organizacin y aquellos
interesados que se vean afectados por ella en aspectos
relacionados a la seguridad de informacin.
Tabla 15. Requisitos de la poltica de seguridad de informacin
38
2.8. Roles, responsabilidades y autoridades del sistema
Los roles del sistema y los cargos que los estn asumiendo en la
organizacin han sido indicados en la Declaracin de alcance del SGSI
(Anexo D) Personal y Organizacin. Adems, las responsabilidades
asociadas a cada uno de estos roles del sistema estn detalladas en las
Polticas especficas de seguridad de informacin (Anexo F), seccin de
Roles, responsabilidades y autoridades.
Rol
ISO Representante
Actividad Comit de Representante
27001 de procesos / Participantes Operador Auditor
seguridad de de la
Propietario del proceso del SGSI interno
informacin direccin
del riesgo
4.4 Operacin del sistema A A P
Comunicaciones internas y
7.4 A A P
externas
7.5 Gestin de la documentacin A P
Contexto externo e interno de la
4.1 A P P P
organizacin
Necesidades y expectativas de
4.2 A P P P
las partes interesadas
4.3 Alcance del SGSI A A P P
Poltica de seguridad de
5.2 A A P P
informacin
Roles, responsabilidades y
5.1, 5.3 A A P
autoridades del sistema
6.1, 8.2, Gestin de riesgos y
P P A
8.3 oportunidades
Objetivos de seguridad de
6.2 A P P
informacin
Concientizacin, capacitacin y
7.2, 7.3 P P P A
evaluacin
8.1, 7.1 Planes y recursos A P P P P
Anlisis y evaluacin de las
9.1 P A
mtricas
9.2 Auditora interna P P P P P A
9.3 Revisin por la direccin A A P
10.1 Acciones correctivas P P A
10.2 Acciones de mejora P P A
Tabla 16. Matriz de roles y actividades del SGSI
39
Nota: El rol de propietario del riesgo corresponde ser asumido por el
representante de aquel proceso que cuente con la autoridad y recursos para
asumir la responsabilidad de algn riesgo detectado. Es asignado como
resultado de la gestin de riesgos.
ISO
Cumplimiento del requisito Evidencia
27001
Existe un rol lder dentro del sistema, que es asumido por el
Gerente general (Representante de la direccin) el cual,
segn lo definido en las Polticas especficas de seguridad F. Polticas
de informacin - Roles, responsabilidades y autoridades especficas de
(numeral 1.2.b), realiza lo siguiente: seguridad de
a) Valida y aprueba la poltica de seguridad de informacin informacin
y los objetivos, alineados a la estrategia de la E. Poltica de
organizacin, para establecerlos. seguridad de
b) Integra las actividades del sistema en los procesos, informacin
mediante la aprobacin y seguimiento del plan de L. Declaracin de
operacin y comunicaciones. objetivos de
c) Brinda los recursos planificados en el plan de operacin seguridad de
y comunicaciones del sistema. informacin
5.1
d) Comunica la necesidad de operar adecuadamente el A. Plan de
sistema, mediante: la publicacin de la poltica de operacin y
seguridad de informacin y las charlas. comunicaciones
e) Valida el cumplimiento de las metas del sistema, durante del SGSI
la revisin por la direccin. O. Plan de
f) Define la orientacin de los roles y designa concientizacin,
responsables para la capacitacin y evaluacin del capacitacin y
personal que los asumir. evaluacin
g) Promueve la mejora continua, mediante la revisin y U. Acta de
toma de decisiones cclica de respecto a la operacin revisin por la
del sistema, durante la revisin por la direccin. direccin
h) Participa de otras actividades del sistema como lder,
aprobador o facilitador.
Las responsabilidades y autoridades definidas han sido
5.3 oficializadas y comunicadas mediante la designacin del
personal para que las asuma.
Entre los roles designados se encuentran los necesarios para F. Polticas
5.3.a atender los requisitos del estndar 27001, segn se observa especficas de
en la Matriz de roles y actividades del SGSI. seguridad de
informacin
El Operador del SGSI es el responsable de reportar al
Comit de seguridad de informacin, presidido por el
5.3.b
Representante de la direccin, respecto al desempeo del
sistema, en las revisiones por la direccin.
Tabla 17. Requisitos de liderazgo, roles y responsabilidades
40
3. Componentes para implementar el SGSI
En este captulo se presenta lo realizado para cumplir con los requisitos para
implementar el sistema segn lo que indica el estndar ISO/IEC 27001:2013. Para
ello se exponen los lineamientos para la gestin de riesgos y oportunidades de
seguridad de informacin, la definicin y planeamiento de los objetivos, la
realizacin de actividades de concientizacin, capacitacin y evaluacin del
personal involucrado en el sistema y la puesta en marcha de los planes, recursos y
registros de operacin involucrados.
41
Las etapas de la gestin de riesgos se describen a continuacin:
ISO
Cumplimiento del requisito Evidencia
27001
General
La actividad para identificar riesgos y oportunidades, gestin de
riesgos de seguridad de informacin, usa como insumos en la
fase de Establecimiento del Contexto: el Informe de contexto
de la organizacin (requisito 4.1 del estndar) y el Informe de
necesidades y expectativas de las partes interesadas
(requisito 4.2 del estndar).
G.
Los riesgos y oportunidades se identifican para: Metodologa
Propiciar que el sistema obtenga los resultados esperados, de Gestin
pues gestionando los riesgos (Informe de gestin de de Riesgos
riesgos) fortalece la seguridad de informacin general. I. Plan de
6.1.1 Prevenir la materializacin de efectos indeseables (riesgos), tratamiento
ya que son anticipados y tratados mediante el Plan de de riesgos
Tratamiento de Riesgos. J. Informe
Promover la mejora continua, ya que los controles incluidos en de
el Plan de Tratamiento de Riesgos implican un mejoramiento seguimiento
del entorno de seguridad de la organizacin de riesgos
42
Apreciacin del riesgo. Se ha revisado la IEC 31010:2009 [08] como
referente para crear la metodologa que contempla la apreciacin de riesgos,
y define como realizar la identificacin, anlisis y evaluacin:
Anlisis del riesgo. Se han analizado los atributos que permiten determinar
el nivel de riesgo en cada caso:
43
Evaluacin del riesgo. Se definieron los riesgos aceptables e inaceptables,
por su nivel de riesgo y los criterios de aceptacin de riesgos.
ISO
Cumplimiento del requisito Evidencia
27001
Apreciacin de Riesgos de Seguridad de Informacin
6.1.2 Para la apreciacin de riesgos se ha establecido un marco de
trabajo en la Metodologa de Gestin de Riesgos.
Criterios de riesgos de seguridad de informacin
La metodologa define estos parmetros: G.
Criterios de aceptacin de riesgos: nivel de riesgo y Metodologa
criterios de aceptacin. de Gestin de
6.1.2.a, Riesgos
Criterios para apreciacin del riesgo: matriz para valorar
b
los riesgos.
Debido al diseo bajo un enfoque objetivo de apreciacin de
riesgos (criterios, niveles y otros parmetros), la metodologa
garantiza resultados vlidos, consistentes y comparables.
Identificacin de riesgos de seguridad de informacin
La metodologa indica la forma de identificar riesgos de
6.1.2.c
seguridad de informacin, siguiendo el flujo de informacin
en los procesos del alcance, y asignndoles un propietario.
Anlisis de riesgos de seguridad de informacin
Los riesgos se analizan para determinar los niveles de G.
6.1.2.d
probabilidad y consecuencias que implican para determinar el Metodologa
nivel de riesgo. de Gestin de
Evaluacin de riesgos de seguridad de informacin Riesgos
En base al nivel de riesgo y los criterios de aceptacin, se H. Informe de
6.1.2.e define si el riesgo ser o no tratado y bajo qu prioridad. Las gestin de
actividades indicadas se documentan en el Informe de riesgos
gestin de riesgos.
Resultados de la apreciacin de riesgos
La metodologa dispone ejecuciones cclicas o al ocurrir un
8.2
cambio significativo. Los resultados se documentan en el
Informe de gestin de riesgos.
Tabla 19. Requisitos de la apreciacin de riesgos
44
Tratamiento del riesgo. Tras terminar con las etapas de apreciacin del
riesgo, se inici el tratamiento para los riesgos definidos como inaceptables.
Se documentaron los planes para implementarlos y los registros requeridos:
45
ISO
Cumplimiento del requisito Evidencia
27001
G.
Tratamiento de riesgos de seguridad de informacin
Metodologa
6.1.3 El proceso de tratamiento de riesgos se desarrolla segn la
de Gestin de
Metodologa de Gestin de Riesgos.
Riesgos
Opciones de tratamiento
En base a la lista de riesgos inaceptables identificados
durante la apreciacin, se opta por alguna de las siguientes
opciones de tratamiento: aceptar, solo en base a criterios de
6.1.3.a
aceptacin de riesgos; reducir, mediante la implementacin
de actividades que implementen o mejoren los controles; y
aumentar, alternativa similar a la de reducir, solo que es
empleada para oportunidades.
Controles requeridos
6.1.3.b Para las opciones reducir o aumentar, se seleccionan
controles que permitan tratar el riesgo / oportunidad.
Validacin de controles
La referencia principal para determinar los controles
6.1.3.c G.
requeridos es el anexo A del estndar 27001, por lo que la
estos no son omitidos. Metodologa
Declaracin de aplicabilidad de Gestin de
Se elabora una Declaracin de aplicabilidad de controles, Riesgos
H. Informe de
sobre los requeridos para que la organizacin cuente con un
6.1.3.d gestin de
entorno de seguridad de informacin razonable (ya sea estn
riesgos
implementados o no). En la matriz de esta declaracin se
justifica la exclusin e inclusin de los mismos. I. Plan de
tratamiento de
Plan de tratamiento de riesgos
riesgos
El resultado final de los controles seleccionados para el
6.1.3.e K. Declaracin
tratamiento de riesgos es documentado en el Plan de
de
tratamientos de riesgos de seguridad de informacin.
aplicabilidad
Aprobaciones
de controles
Los propietarios del riesgo aprueban finalmente:
Informe de Gestin de Riesgos. Contiene los riesgos
6.1.3.f aceptados (mantienen su nivel de riesgo) y no aceptados
(con su nivel de riesgo residual estimado).
Plan de Tratamiento de Riesgos. Que los compromete a
involucrarse en el tratamiento de los riesgos no aceptados.
Resultados del tratamiento de riesgos de seguridad de
informacin
El Plan de Tratamiento de Riesgos se implementa de
8.3 acuerdo a los plazos y responsables determinados en el
mismo plan. Los resultados de esta implementacin se
reportan mediante el seguimiento realizado en el Informe de
seguimiento de riesgos.
Tabla 20. Requisitos del tratamiento de riesgos
46
A continuacin se muestran los resultados del contexto, apreciacin y
tratamiento de riesgos, realizado en base a la Metodologa de gestin de
riesgos (Anexo G):
Fases Resultado
Se mantienen los 3 procesos con la informacin consignada en los
Contexto
informes de contexto y el alcance.
Se han identificado 36 riesgos y 1 oportunidad en los procesos
Identificacin
seleccionados
Se han seleccionados 8 riesgos y 1 oportunidad como
Anlisis
significativos (nivel: inaceptable)
Los 8 riesgos y la oportunidad inaceptables han sido priorizados
Evaluacin
(en corto-1, mediano-2 y largo-3 plazo).
Para los 8 riesgos y la oportunidad se han propuesto 9 controles a
implementar o mejorar. Con este resultado se elabora el Plan de
Tratamiento
tratamiento de riesgos y la Declaracin de aplicabilidad de
controles.
Se planifican y ejecutan seguimientos trimestrales: 4 Informes de
Seguimiento
Seguimiento de Riesgos hasta la prxima gestin de riesgos.
Tabla 21. Resultados de la gestin de riesgos y oportunidades
47
Riesgo Descripcin Tratamiento
Robo de laptop de Reducir
consultora que contiene 8.3.3 Encriptamiento de unidades de disco duro
GR15-
informacin del cliente destinadas fuera de la empresa
R01
durante la visita o en Implementar el encriptamiento a nivel de BIOS para el disco
trnsito desde el cliente duro de las laptops de consultora.
Copia no autorizada de Reducir
GR15- informacin mediante 11.2.8 Bloqueo automtico de equipos por inactividad
R02 dispositivo USB desde la Reducir a 3 minutos el tiempo de bloqueo por inactividad en
laptop de consultora el equipo de consultora
Aumentar
Conocimiento limitado del
7.2.2 Charlas explicativas de las condiciones de
personal del cliente
seguridad de informacin para los clientes
GR15- respecto a las
Establecer la presentacin detallada de los limites y
O01 condiciones contractuales
responsabilidades establecidas en el contrato con los clientes
de seguridad de
para evitar reclamos sin sustento y propiciar la
informacin
retroalimentacin de mejoras
Copia no autorizada de Reducir
registros por los 8.3.1 Bloqueo de puertos USB en los equipos -
GR15-
consultores, desde el consultores
R07
servidor de archivos con Implementar el bloqueo de puertos USB en los equipos de los
informacin del proyecto consultores
Copia no autorizada de
Reducir
registros por el
7.2.2 Charla de sensibilizacin - administrador de
GR15- administrador de
plataformas
R08 plataformas, desde el
Realizar charlas sobre seguridad de informacin especficas
servidor de archivos con
para el administrador de plataformas y sus funciones
informacin del proyecto
Reducir
Eliminacin o 7.2.3 Penalizacin por sabotajes o daos intencionales
GR15- modificacin intencional Incluir en el contrato el reconocimiento de que en caso se
R11 para sabotear productos, reciban penalidades a la empresa, originadas en un intento
por personal descontento de dao intencional por el empleado, este asumir la totalidad
del monto de prdida.
Reducir
Conflictos de versionado 12.1.1 Protocolo de desarrollo de software y productos
en los productos del del servicio
GR15-
servicio, por uso Actualizar el protocolo de desarrollo de software, de manera
R13
inadecuado del que especifique en un anexo los lineamientos tcnicos para
mecanismo versionador manejar un conflicto de versiones o duplicidad de
componentes.
Copia no autorizada de Reducir
registros por los analistas 8.3.1 Bloqueo de puertos USB en los equipos - analistas
GR15-
de calidad, desde el de calidad
R24
servidor de archivos con Implementar el bloqueo de puertos USB en los equipos de los
informacin del proyecto analistas de calidad
Prdida del CD que Reducir
contiene los 9.4.1 Proteccin por contrasea del acceso a discos
GR15- componentes compactos (CD/DVD)
R34 presentados en el Establecer la obligacin para el consultor de realizar todas las
entregable, en trnsito al grabaciones de discos para clientes usando una capa de
cliente autenticacin
Tabla 22. Controles para tratar riesgos y oportunidades
48
3.2. Objetivos de seguridad de informacin
49
La realizacin de todas las actividades mencionadas forma parte de la
operacin del sistema y han sido establecidas en cumplimiento de los
lineamientos del estndar 27001:
ISO
Cumplimiento del requisito Evidencia
27001
Establecimiento de los objetivos de seguridad de
informacin
La direccin del sistema ha establecido objetivos de
seguridad de informacin, bajo las siguientes
caractersticas:
Son congruentes con las disposiciones de la Poltica de L. Declaracin de
Seguridad de Informacin respecto a su creacin objetivos de
(alineamiento a los objetivos estratgicos). seguridad de
Estn asociadas a mtricas, como puede verificarse en informacin
el Plan de Mtricas de Seguridad de Informacin. O. Plan de
Consideran para su definicin si alguno de los requisitos concientizacin,
6.2.a-e
de seguridad de informacin no estar siendo atendido de capacitacin y
manera satisfactoria. evaluacin
Consideran para su definicin los resultados de la P. Plan de
gestin de riesgos, para entender las necesidades de la mtricas de
organizacin. seguridad de
Han sido incluidos en los temas dictados en el Plan de informacin
concientizacin, capacitacin y evaluacin, para ser
difundidos.
Son revisados en cada ciclo de operacin, segn se
indica en el Plan de operacin y comunicaciones del
SGSI, para evaluar si ameritan ser actualizados.
Planificacin de los objetivos de seguridad de
informacin
Los objetivos de seguridad de informacin se encuentran
documentados en la Declaracin de objetivos de L. Declaracin de
seguridad de informacin. Para su planificacin se ha objetivos de
creado un Plan de objetivos de seguridad de seguridad de
informacin, donde a partir de los objetivos se han informacin
6.2.f-j planificado acciones que buscan su cumplimiento, M. Plan de
especificando en las columnas: objetivos de
Acciones. Lo que se har. seguridad de
Recursos. Lo que se usar. informacin
Involucrados. Los responsables.
Inicio / Cierre. Cundo se completar
Efectividad. Cmo se evaluarn sus resultados
Tabla 23. Requisitos de los objetivos de seguridad de informacin
50
3.3. Concientizacin, capacitacin y evaluacin
51
Todas las actividades indicadas son aplicadas conforme lo dispone el plan,
para atender de manera adecuada los requisitos del estndar:
ISO
Cumplimiento del requisito Evidencia
27001
Competencia
F. Polticas
El marco para la competencia del personal que
especficas de
7.2.a cuenta con roles en el sistema son las Polticas
seguridad de
especficas de seguridad de informacin en su
informacin
numeral de roles y responsabilidades.
Evaluacin
Para asegurar que estas responsabilidades son
atendidas de manera satisfactoria, dentro del Plan
de concientizacin, capacitacin y evaluacin se
7.2.b
han incluido actividades de evaluacin, donde se
toma la Matriz de personal y roles del SGSI y para
cada persona se toma una evaluacin, especfica
para el rol que le corresponde.
Capacitacin O. Plan de
En caso se identifique que algn rol se encuentre concientizacin,
vacante o no cuenta con personal con un nivel de capacitacin y
competencia adecuado, se le brinda una charla evaluacin
7.2.c
respecto a su rol y se le toma una nueva evaluacin,
para corroborar la mejora. Para el personal nuevo
que se incorpora con un rol en el sistema tambin
aplica esta actividad de capacitacin.
Registros
Se mantienen registros de la asistencia a las
7.2.d
charlas, cursos y resultados de evaluaciones del
personal que participa en el sistema.
Concientizacin
En las fechas dispuestas en el Plan de
concientizacin, capacitacin y evaluacin, se
ejecutan las charlas. Para ello, se define un temario
de tpicos, los cuales contienen por lo menos: O. Plan de
concientizacin,
7.3 La poltica de seguridad de informacin.
capacitacin y
Los objetivos de seguridad de informacin.
evaluacin
La participacin del personal respecto al
aseguramiento y mejora de la seguridad.
La importancia de la prevencin de no
conformidades sobre el sistema.
Tabla 24. Requisitos de la capacitacin y concientizacin
52
3.4. Operacin, planes, recursos y registros
De entre estas actividades, el numeral 8.1 del estndar 27001 destaca las
aquellas centradas en planear, implementar y controlar los requisitos,
objetivos y tratamiento de riesgos de seguridad de informacin, mediante
sus respectivos planes, respectivamente:
Riesgos y oportunidades:
o Plan de tratamiento de riesgos (Anexo I)
Objetivos de seguridad de informacin
o Plan de objetivos de seguridad de informacin (Anexo M)
Requisitos de seguridad de informacin
o Plan de requisitos de seguridad de informacin (Anexo N)
53
Mediante la ejecucin del Plan de operacin y comunicaciones del SGSI
(Anexo A) y de los planes a los que referencia, se tiene cumplimiento de los
numerales de operacin y recursos, del estndar 27001:
Recursos
La direccin de la organizacin provee los
recursos necesarios para todas las etapas de
7.1 operacin del sistema, lo cual se evidencia en
el Plan de operacin y comunicaciones del
SGSI, as como en el resto de planes
desplegados para el sistema.
Tabla 25. Requisitos de los recursos y planes de operacin
54
4. Componentes para mantener el SGSI
En este captulo se presenta lo realizado para cumplir con los requisitos para
mantener el sistema segn lo que indica el estndar ISO/IEC 27001:2013. Para ello
se exponen los lineamientos para la ejecucin de las mtricas, la planificacin y
ejecucin de la auditora interna del sistema, y la revisin por la direccin.
ISO
Cumplimiento del requisito Evidencia
27001
Anlisis y evaluacin del desempeo
Se han definido mtricas que evalan el desempeo de los controles
ms representativos de la organizacin, as como tambin mtricas P. Plan de
para la efectividad de los componentes del sistema en el Plan de mtricas de
mtricas de seguridad de informacin, para cada una de las seguridad
mtricas del plan se tiene las columnas: de
Accin. Lo que se va a medir. informacin
9.1 Q. Informe
Tareas. El mtodo de medicin y evaluacin.
de Mtricas
Condiciones. Cundo se medir y cundo se analizar
de
Involucrados. Quin monitorear-medir los factores y quin Seguridad
analizar-evaluar los resultados de
Informacin.
Los resultados de estas actividades son documentados en el
Informe de Mtricas de Seguridad de Informacin.
Tabla 26. Requisitos del anlisis y evaluacin de mtricas
55
Las mtricas para el sistema se muestran conjuntamente con el referente
que las origin y para desarrollarlas se ha revisado el estndar ISO/IEC
27004:2009 [05], como referente tcnico para su redaccin:
56
4.2. Auditora interna
57
Las Polticas especficas de seguridad de informacin (Anexo F)
disponen las responsabilidades y requisitos para los auditores internos y
dems participantes del proceso. Adems, en este mismo documento se
especifica la categorizacin que tendrn los hallazgos de auditora:
58
La auditora realizada en cumplimiento a lo planificado en el Plan de
auditora interna del SGSI (Anexo S) ha comprendido las siguientes
actividades:
59
4.3. Revisin por la direccin
Para la realizacin de esta sesin el Operador del SGSI debe preparar una
presentacin que sintetice la siguiente informacin:
Si bien la sesin de revisin por la direccin suele ser una por periodo, eso
no impide que el comit pueda reunirse para tomar decisiones cuando se
considere conveniente, frente a cambios o incidentes significativos.
60
El esquema de revisin por la direccin ha sido elaborado en cumplimiento
de las disposiciones del estndar 27001 al respecto:
61
5. Componentes para mejorar el SGSI
En este captulo se presenta lo realizado para cumplir con los requisitos para
mejorar el sistema segn lo que indica el estndar ISO/IEC 27001:2013. Para ello
se exponen los lineamientos para la gestin de las acciones correctivas y de mejora
respecto al sistema.
62
La aplicacin de tareas de anlisis de causas y eliminacin de las no
conformidades no siempre sern necesarias, solo en aquellas acciones
correctivas que por su complejidad requieran resolverse en su origen y que
no hayan podido atenderse completamente mediante la reaccin inicial.
63
5.2. Acciones de mejora
El numeral 10.2 del estndar indica que deben aplicarse acciones para
mejorar la idoneidad, adecuacin y eficacia del sistema. Estas se han
denominado acciones de mejora y se planifican, desarrollan y resuelven
mediante el Plan de acciones de mejora (Anexo W). A diferencia de las
acciones correctivas que se originan en no conformidades, las acciones de
mejora se pueden originar en distintas fuentes; las ms frecuentes son:
Cualquiera sea su fuente, las acciones de mejora generan alguna mejora del
sistema y sus controles respecto a su:
64
6. Observaciones, conclusiones y recomendaciones
6.1. Observaciones
0. Introduccin;
1. Alcance;
2. Referencias normativas;
3. Trminos y definiciones;
4. Contexto de la organizacin;
5. Liderazgo;
6. Planificacin;
7. Soporte;
8. Operacin;
9. Evaluacin del desempeo;
10. Mejora.
65
Como parte de la misma tendencia a la integracin y normalizacin de los
estndares la ISO 31000 est siendo asumida como un referente general
para la gestin de riesgos. Actualmente, este marco de riesgos es
referenciado por el estndar 27001, pero tambin por la ISO 14001:2015
Sistema de Gestin Ambiental Requisitos y la ISO 9001:2015 Sistema de
Gestin Ambiental Requisitos.
66
Observacin 3: El requisito de la Ley de Proteccin de Datos
Personales y su alcance
Para fines del tratamiento de datos personales, el titular del banco de datos
personales debe adoptar medidas tcnicas, organizativas y legales que
garanticen su seguridad y eviten su alteracin, prdida, tratamiento o acceso
no autorizado. Los requisitos y condiciones que deben reunir los bancos de
datos personales en materia de seguridad son establecidos por la Autoridad
Nacional de Proteccin de Datos Personales [].
"La finalidad de esta directiva es entregar una herramienta til para quien
requiera consultarla. En su presentacin se dej constancia que dicho
documento era un instrumento facilitador, que constituye una indicacin de
cmo pueden hacerse las cosas, toda vez que la obligacin de los
administrados es adecuarse o cumplir con la LPDP y el reglamento, no la
Directiva. []."
67
6.2. Conclusiones
68
Conclusin 2: Innovaciones originadas en el tipo de organizacin
69
6.3. Recomendaciones
Bajo esta premisa, el ideal de toda organizacin sera incluir dentro del
alcance de su sistema a todos aquellos procesos crticos o sensibles
respecto a la informacin que manejan. Sin embargo, la realidad muestra
que en las organizaciones no siempre se cuenta con recursos para hacerlo.
Se debe tomar en cuenta que la inclusin de cada proceso en el alcance
implica para cada uno de ellos un esfuerzo adicional: horas de trabajo de su
personal, recursos para la implementacin de controles y para otras
actividades del sistema.
70
Recomendacin 2: Lograr el apoyo de la direccin Beneficios del
SGSI
71
Recomendacin 3: Trabajo Futuro - Diseo de una metodologa gil
aplicada a la creacin de un SGSI
72
Recomendacin 5: Trabajo Futuro - Software para la gua y
automatizacin de la operacin de un SGSI
73
Bibliografa
74
[09] INDECOPI
2014 NTP ISO/IEC 27001:2014 Tecnologa de Informacin. Tcnicas de
Seguridad. Sistemas de Gestin de Seguridad de Informacin. Requerimientos.
Lima, 2014.
[10] INDECOPI
2007 NTP ISO/IEC 17799:2007 Tecnologa de Informacin. Tcnicas de
Seguridad. Cdigo de prcticas para controles de seguridad de informacin. Lima,
2007.
75
[18] INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION
2012 COBIT 5 Para Seguridad de Informacin. Illinois, 2012.
76
[27] CONGRESO DE LA REPBLICA
1996 Decreto Legislativo 822, Ley sobre el Derecho de Autor. Lima, 1996.
77