analisis especificaciones requerimientos rodas 2013
DESCRIPTION
serie de pasos que se lleva a cabo para determinar los requerimientos de seguridad en una empresaTRANSCRIPT
-
1
ANLISIS Y ESPECIFICACIONES DE REQUERIMIENTOS DE SEGURIDAD
INFORMTICA EN LAS EMPRESAS
Alexa Rodas Mira
Facultad de Ingeniera, Universidad San Buenaventura.
Medelln, Colombia.
RESUMEN
En la actualidad, la tecnologa y la informtica
se han convertido en un elemento vital para los
procesos de toda organizacin, razn por la cual
deben tener presente los vacos relacionados a
los delitos informticos que son usados para
atacar las vulnerabilidades de los aplicativos de
cada organizacin. La seguridad en los
desarrollos de software es un rea vital que est
cobrando gran auge dentro de la ingeniera de
software, teniendo en cuenta que con el
crecimiento acelerado que ha tenido el internet,
las posibilidades de ataques han aumentado en
un 70% segn la empresa Kaspersky Lab
(2012). Este riesgo ayud a que los dueos de
desarrollador de software y de procesos, tomen
conciencia de la importancia de crear nuevas
metodologas basadas en seguridad. Ante este
riego, se ha planteado solucionar este aspecto
mediante de una metodologa de desarrollo que
permita no solo hacer desarrollos funcionales,
sino que a la vez integre funcionalidad con
seguridad.
A raz de esto, en este artculo, se realiza una
investigacin y anlisis de varias Normas
internacionales relacionadas con la seguridad a
cada una de las fases del proceso de desarrollo
de software, con el propsito de identificar que
amenazas pueden llegar a tener las empresas en
este tema.
Palabras Clave: Seguridad Virtual,
Vulnerabilidad; Requerimientos, Normas ISO
(17799, 27001 y 27002).
ABSTRACT
Today, computer technology and have become
a vital element of any organization's processes,
why should note gaps related to computer
crimes that are used to attack the vulnerabilities
of the applications of each organization.
Security in software development is a key area
that is gaining great height within software
engineering, considering that with the rapid
growth that has taken the internet; the
possibilities of attacks have increased by 70%
as the company Kaspersky Lab (2012). This
risk helped the owners and developer of
software processes, aware of the importance of
new methodologies based on safety. Given this
risk, has been raised around this issue by
developing a methodology that allows
developments do not only functional, but that
also integrates functionality safely.
Following this, in this paper, we make an
investigation and analysis of various
International standards related to safety to each
of the phases of the software development
process, in order to identify which threats can
have businesses in this topic.
Keywords: Virtual Security Vulnerability,
Requirements, ISO (17799, 27001 y 27002).
INTRODUCCIN
En esta nueva era, en la que el internet y las
aplicaciones informticas estn inmersos en
todos los procesos y aspectos de la
-
2
organizacin, se hace necesario conocer que tan
seguros y confiables son las aplicaciones y el
software con los cuales se cuenta en la empresa.
Es por esto, que se hace importante realizar una
investigacin, que permita conocer como esta
hoy en da las empresas en materia de seguridad
virtual y que estrategias se deben tener en
cuenta por parte de los desarrolladores de
software ante las posibles vulnerabilidades de
seguridad a las cuales pueden estar sujetos.
Segn la norma ISO/IEC 27001 [3], las
vulnerabilidades de software son la base de los
incidentes de seguridad.
Por otra parte la norma ISO/IEC 27002 [4],
plantea que la seguridad debe ser un requisito bsico en el desarrollo de software, debido a la
necesidad de proteger las infraestructuras
importantes y preservar la confiabilidad en la
computacin. Para cumplir las fuertes
exigencias de seguridad se deben implementar
procesos y desarrollos tecnolgicos y virtuales
que se puedan medir, por tal razn se deben
adoptar medidas ms estrictas en seguridad. El
ciclo de vida de desarrollo de un aplicativo est
compuesto por planificacin, diseo, desarrollo,
pruebas, implementacin y mantenimiento.
Para el desarrollo un software seguro es
fundamental la denominada Ingeniera de
Requisitos de Seguridad, la cual suministra
mtodos, tcnicas y normas para guiarnos en
todas las fases de desarrollo (p. 33).
La referencia [5], muestra como en la
actualidad est ampliamente defendido el
principio que establece que la seguridad debera
considerarse desde las primeras fases del
desarrollo y que los requisitos de seguridad
deberan definirse junto con los dems
requisitos del sistema de informacin, ya que
esto permite soluciones ms eficientes y
robustas as como ayudar a reducir los
conflictos entre los requisitos de seguridad y los
dems requisitos. Como se muestra en la
referencia [6], asimismo, en los ltimos aos se
est observando un incremento en la demanda
de software y en su complejidad requerida, lo
cual aumenta la potencialidad de presentar
brechas de seguridad.
Por esto, hoy, para poder alcanzar los niveles
deseados de calidad y mejorar la productividad
de multitud de sistemas, se estn desarrollando
estrategias de seguridad virtual basndose en el
paradigma de ingeniera de Lneas de Producto
Software (LPS), ya que las LPS ayudan a
reducir significativamente el tiempo de puesta
en produccin y los costes de desarrollo,
mediante la reutilizacin de todo tipo de
artefactos.
Este artculo de investigacin, pretende analizar
requerimientos que permitan darle a la
empresas soluciones y alternativas de seguridad
para sus aplicaciones y software, para esto se
realizar el anlisis de los requisitos de
seguridad en todo el ciclo de vida del software
con el fin minimizar el nmero e impacto de las
vulnerabilidades en los desarrollos de la
aplicaciones utilizadas en la empresa y que se
convierten en herramientas de uso diario por lo
que hace que sean mas vulnerables en lo que a
seguridad se refiere.
Este artculo est diseado a travs de una
estructura lgica y secuencial de los temas, con
el propsito de que el lector pueda realizar un
recorrido por el tema de las especificaciones de
requerimientos de seguridad. Debido a esto, el
artculo inicia con una introduccin del tema;
en segundo lugar se nombraran las normas
tcnicas que hablan sobre seguridad y
tecnologas de informacin; en tercer lugar se
analizara el concepto de seguridad informtica
en la empresa; en cuarto punto se realizar una
investigacin de la importancia que debe tener
la seguridad de la informacin; por ltimo se
desarrollarn las conclusiones obtenidas
despus de concluida esta investigacin.
1. PLANTEAMIENTO DEL PROBLEMA
La informacin es el instrumento fundamental
para el funcionamiento de las empresas y la
operacin de los negocios, esto hace que la
informacin deba protegerse como el activo
ms importante de la organizacin. Hoy en da
y debido al aumento en el uso del internet, la
-
3
evolucin de la tecnologa y la falta de
conocimiento para mitigar riesgos de ataques,
ha generado innumerables amenazas que
aprovechan vulnerabilidades de las empresas
para materializar riesgos y generar un impacto
negativo en las organizaciones, ocasionando
que se pierdan alguna o todas las caractersticas
que debe preservar la informacin:
disponibilidad, integridad, confidencialidad,
autenticidad y trazabilidad. Las empresas
colombianas no son ajenas a la problemtica
planteada anteriormente, dado que muchos de
estos ataques se realizan a travs de Internet.
Teniendo como punto de referencia las
empresas que manejan sus procesos a travs de
la web, y que por ende su informacin esta
almacenada en lnea, y que algunos de sus
trmites se realizan en lnea a travs de la
internet, se hace necesario la realizacin de un
anlisis sobre el estado en que se encuentran las
empresas en lo que se refiere a polticas de
seguridad y aplicacin de normas como la ISO
17799, 27001 y 27002, con la intencin de
analizar el cumplimiento de estas.
Debido a lo anterior, se nota la necesidad de
analizar qu grado de vulnerabilidad pueden
llegar a tener las empresas que usan el internet
dentro de sus procesos organizacionales, con el
propsito de identificar que falencias se tienen a
la hora de protegerse contra posibles ataques e
infiltraciones en sus sistemas de informacin.
2. DESCRIPCIN DE LAS NORMAS DE
SEGURIDAD INFORMTICA (ISO 17799,
27001 y 27002)
Los Sistemas de Gestin de Seguridad de la
Informacin (SGSI), as como las redes de
trabajo de las organizaciones, se estn viendo
afectadas por amenazas de seguridad, ataques y
fraudes informticos, problemas de sabotajes,
virus informticos y otro tipo de contingencias,
imprevistos y catstrofes mayores, con el
posible riesgo de eliminacin y prdida de
informacin.
Debido a esto, las organizaciones deben invertir
en aplicar herramientas que mejoren su
seguridad, que les permitan proteger y evitar en
lo posible que los activos de mayor valor se
pierdan ante cualquier eventualidad, y en
desarrollar e implementar enfoques y esquemas
para el control y gestin de las amenazas
presentes y futuras.
A continuacin se analizar la aparicin de las
normas en seguridad informtica y como estas
se han actualizado durante el tiempo debido a
las exigencias que se presentan da a da.
2.1 Descripcin de la Norma ISO 17799
La primera norma fue aprobada oficialmente en
1995 (BS 7799:95) y nace como un cdigo de
buenas prcticas para la gestin de seguridad de
la informacin. Cronolgicamente a este primer
gran hito en la normalizacin de la gestin de la
seguridad de la informacin le han seguido las
siguientes normas y etapas:
En 1998, tres aos despus, se publica la norma
BS 7799-2, en la que se recogen
especificaciones para la gestin de la seguridad
de la informacin y se lanzan requerimientos certificables por primera vez.
En el ao 1999, se lanza la segunda edicin, en
la que se aade e-commence al alcance de la norma. En aquella poca, la Organizacin
Internacional de Normalizacin (ISO) comienza
a interesarse ya por los trabajos publicados por
el Instituto ingls.
La norma ISO 17799 es un estndar para la
seguridad de la informacin publicado por
primera vez como ISO 17799:2000 por
International Organization for Standardization y
por la comisin International Electrotechnical
Commission en el ao 2000 y con el ttulo de
Information technology Security techniques Code of practice for information security
management. Tras un periodo de revisin y
actualizacin de los contenidos del estndar se
public en el ao 2005 el documento
actualizado denominado ISO 17799:2005.
-
4
La norma ISO/IEC 17799:2005 proporciona
recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin a
todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestin de
seguridad4de la informacin. La seguridad de la
informacin se define en la norma como la preservacin de la confidencialidad
(asegurando que solo quienes estn autorizados
pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos
de proceso son exactos y completos) y
disponibilidad (asegurando que los usuarios
autorizados tienen acceso a la informacin y a
sus activos asociados cuando lo requieran).
La versin de 2005 de la norma 17799, incluye
dentro de su contenido once secciones
principales las cuales son:
Poltica de seguridad.
Aspectos organizativos para la seguridad.
Clasificacin y control de activos.
Seguridad fsica y del entorno.
Gestin de comunicaciones y operaciones.
Control de accesos.
Desarrollo y mantenimiento de sistemas.
Gestin de incidentes de seguridad de la informacin.
Gestin de continuidad de negocio.
Conformidad.
Dentro de cada seccin, se especifican los
objetivos de los distintos controles para la
seguridad de la informacin. Para cada uno de
los controles se indica asimismo una gua para
su implementacin. El nmero total de
controles suma 133 entre todas las secciones
aunque cada organizacin debe considerar
previamente cuanto sern realmente los
aplicables y segn sus propias necesidades. La
norma ISO 17799 es una gua de buenas
prcticas y no especifica los requisitos
necesarios que puedan permitir el
establecimiento de un sistema de certificacin
adecuado. Con la aprobacin de la norma ISO
27001 en octubre de 2005 y la reserva de la
numeracin 27000 para la seguridad de la
informacin, la norma ISO 17799:2005 paso a
ser renombrada como ISO 27002 en la revisin
y actualizacin de sus contenidos en el ao
2007.
2.2 Descripcin de la Norma ISO 27001
La norma ISO 27001:2005 (Information
technology Security techniques Information security management systems Requirements) si es certificable y especifica los requisitos para
un SGSI que permitirn a la organizacin
establecer, implantar, operar, supervisar o en
trminos de norma monitorizar, revisar, mantener y mejorar un SGSI documentado en el
contexto de la actividad de la organizacin,
teniendo en cuenta sus problemticas y riesgos
de seguridad o de otro tipo, intrnsecos a su
negocio. La ISO 27001 se ha creado entre otras
cuestiones para garantizar su adecuacin y
proporcionar controles de seguridad que
protejan adecuadamente los activos de la
informacin y proporcionar confianza a los
consumidores, clientes y otras partes
interesadas.
Cabe aclarar que el tema de certificacin en
aspectos de seguridad virtual, tal vez an no ha
sido considerado con la seriedad que merece en
el mbito empresarial. Cuando se analiza la
norma ISO 27001, se nota que este estndar
internacional ha sido desarrollado (por primera
vez con relacin a la seguridad) con toda la
fuerza y detalle que haca falta para empezar a
presionar al mbito empresarial sobre su
aplicacin. Es decir, se puede prever, que la
certificacin ISO-27001, ser casi una
obligacin de cualquier empresa que desee
competir en el mercado en el corto plazo, lo
cual es lgico, pues si se desea interrelacionar
sistemas de clientes, control de stock,
facturacin, pedidos, productos, etc. entre
diferentes organizaciones, se deben exigir
mutuamente niveles concretos y adecuados de
seguridad informtica, sino se abren brechas de
seguridad entre s.
-
5
Los detalles que conforman el cuerpo de esta
norma, se podran agrupar en tres grandes
lneas:
SGSI.
Valoracin de riegos (Risk Assessment)
Controles
Este estndar internacional adopta un proceso
para establecer, implementar, operar,
monitorizar, revisar, mantener y mejorar el
SGSI en una organizacin. Una organizacin
necesita identificar y administrar cualquier tipo
de actividad para funcionar eficientemente.
Cualquier actividad que emplea recursos y es
administrada para transformar entradas en
salidas, puede ser considerada como un
proceso. A menudo, estas salidas son aprovechadas nuevamente como entradas,
generando una realimentacin de los mismos.
Este estndar internacional adopta tambin el
modelo Plan-Do-Check-Act (PDCA), el cual es aplicado a toda la estructura de procesos de
SGSI, y significa lo siguiente:
Plan (Establecer el ISMS): Implica, establecer a
poltica SGSI, sus objetivos, procesos,
procedimientos relevantes para la
administracin de riesgos y mejoras para la
seguridad de la informacin, entregando
resultados acordes a las polticas y objetivos de
toda la organizacin.
Do (Implementar y operar el SGSI): Representa
la forma en que se debe operar e implementar la
poltica, controles, procesos y procedimientos.
Check (Monitorizar y revisar el SGSI): Analizar
y medir donde sea aplicable, los procesos
ejecutados con relacin a la poltica del SGSI,
evaluar objetivos, experiencias e informar los
resultados a la administracin para su revisin.
Act (Mantener y mejorar el SGSI): Realizar las
acciones preventivas y correctivas, basados en
las auditoras internas y revisiones del SGSI o
cualquier otra informacin relevante para
permitir la continua mejora del SGSI. Los
requerimientos de este estndar internacional,
son genricos y aplicables a la totalidad de las
organizaciones. La exclusin de los
requerimientos especificados en las clusulas 4,
5, 6, 7 y 8, no son aceptables cuando una
organizacin solicite su conformidad con esta
norma.
Estas clusulas son:
4. SGSI.
5. Responsabilidades de la Administracin.
6. Auditora Interna del SGSI.
7. Administracin de las revisiones del
SGSI.
8. Mejoras del SGSI.
(Estas clusulas realmente conforman el
cuerpo principal de esta norma)
Cualquier exclusin a los controles detallados
por la norma y denominados como necesarios para satisfacer los criterios de aceptacin de
riegos, debe ser justificada y se debe poner de
manifiesto, o evidenciar claramente los criterios
por los cuales este riesgo es asumido y
aceptado. En cualquier caso en el que un
control sea excluido, la conformidad con este
estndar internacional, no ser aceptable, a
menos que dicha exclusin no afecte a la
capacidad y/o responsabilidad de proveer
seguridad a los requerimientos de informacin
que se hayan determinado a travs de la
evaluacin de riesgos, y sea a su vez aplicable a
las regulaciones y legislacin vigente.
Segn la Asociacin Espaola para la Calidad
[AEC] (2006), una de las fortalezas y claves del
xito de la nueva ISO 27001 es que la
estructura de la norma est relacionada,
construida y documentada, como el resto de las
siguientes normas ISO de gestin:
Serie ISO 9000, tanto la norma ISO 9001, como las Directrices de mejora
del desempeo (9004) como el
vocabulario y terminologa (ISO 9000).
-
6
Norma ISO 14001 para Sistemas de Gestin Medioambiental.
Norma ISO 19011, que proporciona las guas para auditores de sistemas de
calidad y/o medio ambiente.
Despus de la breve descripcin de las normas,
se nota claramente la importancia que tiene
cada una en lo que a seguridad virtual se
refiere, adems se evidencia la forma como
estas permanecen en constante actualizacin
con el propsito de estar vigente a las
necesidades que se presentan en el medio da a
da y teniendo en cuenta que los ataques a los
cuales se ven sometidas las empresas en su
seguridad informtica son cambiantes y cada
vez se presentan de formas distintas.
3. SEGURIDAD INFORMTICA EN LA
EMPRESA
Con lo mostrado en la referencia [8], desde la
consolidacin de Internet como medio de
interconexin global, los incidentes de
seguridad relacionados con sistemas
informticos vienen incrementndose de
manera alarmante. Este hecho, unido a la
progresiva dependencia de la mayora de
organizaciones hacia sus sistemas de
informacin, viene provocando una creciente
necesidad de implantar mecanismos de
proteccin que reduzcan al mnimo los riesgos
asociados a los incidentes de seguridad.
La seguridad informtica, de igual forma a
como sucede con la seguridad aplicada a otros
entornos, trata de minimizar los riesgos
asociados al acceso y utilizacin de
determinado sistema de forma no autorizada y
en general malintencionada. Esta visin de la
seguridad informtica implica la necesidad de
gestin, fundamentalmente gestin del riesgo.
Para ello, se deben evaluar y cuantificar los
bienes a proteger, y en funcin de estos anlisis,
implantar medidas preventivas y correctivas
que eliminen los riegos asociados o que los
reduzcan hasta niveles manejables [8].
3.3.1 Objetivos de la seguridad informtica
El objetivo de la seguridad informtica es
proteger los recursos informticos valiosos de
la organizacin, tales como la informacin, el
hardware o el software. A travs de la adopcin
de las medidas adecuadas, la seguridad
informtica ayuda a la organizacin cumplir sus
objetivos, protegiendo sus recursos financieros,
sus sistemas, su reputacin, su situacin legal, y
otros bienes tanto tangibles como inmateriales
[8].
Desafortunadamente, en ocasiones se ve a la
seguridad informtica como algo que dificulta
la consecucin de los propios objetivos de la
organizacin, imponiendo normas y
procedimientos rgidos a los usuarios, a los
sistemas y a los gestores. Sin embargo debe
verse a la seguridad informtica, no como un
objetivo en s mismo, sino como un medio de
apoyo a la consecucin de los objetivos de la
organizacin [8].
En general el principal objetivo de las
empresas, es obtener beneficios y el de las
organizaciones pblicas, ofrecer un servicio
eficiente y de calidad a los usuarios. En las
empresas privadas, la seguridad informtica
debera apoyar la consecucin de beneficios.
Para ello se deben proteger los sistemas para
evitar las potenciales prdidas que podran
ocasionar la degradacin de su funcionalidad o
el acceso a los sistemas por parte de personas
no autorizadas [8].
De igual forma, las organizaciones pblicas
deben proteger sus sistemas para garantizar la
oferta de sus servicios de forma eficiente y
correcta. En cualquier caso, los gestores de las
diferentes organizaciones deberan considerar
los objetivos de la propia organizacin e
incorporar la seguridad de los sistemas desde
un punto de vista amplio, como un medio con el
que gestionar los riesgos que pueden
comprometer la consecucin de los propios
objetivos, donde la cuantificacin de los
diferentes aspectos, muchas veces econmica,
debe ser central [8].
-
7
3.3.2 Gestin del riesgo [8]
La proteccin de los sistemas y de la
informacin no suele eliminar completamente
la posibilidad de que estos bienes sufran daos.
En consecuencia, los gestores deben implantar
aquellas medidas de seguridad que lleven los
riesgos hasta niveles aceptables, contando para
ello con el coste de las medidas a implantar,
con el valor de los bienes a proteger y con la
cuantificacin de las prdidas que podran
derivarse de la aparicin de determinado
incidente de seguridad.
Los costes y beneficios de la seguridad deberan
observarse cuidadosamente para asegurar que el
coste de las medidas de seguridad no excedan
los beneficios potenciales. La seguridad debe
ser apropiada y proporcionada al valor de los
sistemas, al grado de dependencia de la
organizacin a sus servicios y a la probabilidad
y dimensin de los daos potenciales. Los
requerimientos de seguridad variarn por tanto,
dependiendo de cada organizacin y de cada
sistema en particular.
En cualquier caso, la seguridad informtica
exige habilidad para gestionar los riesgos de
forma adecuada. Invirtiendo en medidas de
seguridad, las organizaciones pueden reducir la
frecuencia y la severidad de las prdidas
relacionadas con violaciones de la seguridad en
sus sistemas. Por ejemplo, una empresa puede
estimar que est sufriendo prdidas debidas a la
manipulacin fraudulenta de sus sistemas
informticos de inventariado, de contabilidad o
de facturacin. En este caso puede que ciertas
medidas que mejoren los controles de acceso,
reduzcan las prdidas de forma significativa.
Las organizaciones que implantan medidas
adecuadas de seguridad, pueden obtener un
conjunto de beneficios indirectos que tambin
deberan considerarse. Por ejemplo, una
organizacin que cuente con sistemas de
seguridad avanzados, puede desviar la atencin
de potenciales intrusos hacia vctimas menos
protegidas, puede reducir la frecuencia de
aparicin de virus, puede generar una mejor
percepcin de los empleados y otros
colaboradores hacia la propia empresa,
aumentando la productividad y generando
empata de los empleados hacia los objetivos
organizativos.
Sin embargo, los beneficios que pueden
obtenerse con medidas de seguridad presentan
costes tanto directos como indirectos. Los
costes directos suelen ser sencillos de evaluar,
incluyendo la compra, instalacin y
administracin de las medidas de seguridad.
Por su parte pueden observarse costes
indirectos, como decremento en el rendimiento
de los sistemas, pueden aparecer necesidades
formativas nuevas para la plantilla o incluso
determinadas medidas, como un excesivo celo
en los controles, pueden minar la moral de los
empleados. En muchos casos los costes
asociados a las medidas de seguridad pueden
exceder a los beneficios esperados por su
implantacin, en cuyo caso una correcta gestin
llevara a platearse su adopcin frente a la
posibilidad de simplemente tolerar el problema.
Como se nombr anteriormente, la seguridad
informtica es un factor clave para la
consecucin de las metas organizacionales en
toda empresa, es por esto que una buena
poltica de seguridad es un empujn en la
bsqueda constante de beneficios y
oportunidades de posicionamiento y desarrollo
empresarial.
A continuacin se plantea el tema de la
seguridad de la informacin, que de una forma
u otra es lo que en primera medida se pretende
proteger a travs de la seguridad informtica.
4. SEGURIDAD DE LA INFORMACIN
La informacin es un activo que, como otros
activos comerciales importantes, es esencial
para el negocio de una organizacin y en
consecuencia necesita ser protegido
adecuadamente. Esto es especialmente
importante en el ambiente comercial cada vez
ms interconectado [2].
-
8
Como resultado de esta creciente
interconectividad, la informacin ahora est
expuesta a un nmero cada vez mayor y una
variedad ms amplia de amenazas y
vulnerabilidades (ver tambin los Lineamientos
OECD de la Seguridad de Sistemas y Redes de
Informacin). La informacin puede existir en
muchas formas. Puede estar impresa o escrita
en un papel, almacenada electrnicamente,
transmitida por correo o utilizando medios
electrnicos, mostrada en pelculas o hablada en
una conversacin. Cualquiera que sea la forma
que tome la informacin, o medio por el cual
sea almacenada o compartida, siempre debiera
estar apropiadamente protegida [2].
La seguridad de la informacin es la proteccin
de la informacin de un rango amplio de
amenazas para poder asegurar la continuidad
del negocio, minimizar el riesgo comercial y
maximizar el retorno de las inversiones y las
oportunidades comerciales. La seguridad de la
informacin se logra implementando un
adecuado conjunto de controles; incluyendo
polticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y
hardware. Se necesitan establecer, implementar,
monitorear, revisar y mejorar estos controles
cuando sea necesario para asegurar que se
cumplan los objetivos de seguridad y
comerciales especficos. Esto se debiera realizar
en conjuncin con otros procesos de gestin del
negocio [2].
4.1 Por qu es importante la seguridad de
informacin?
La informacin y los procesos, sistemas y redes
de apoyo son activos comerciales importantes.
Definir, lograr, mantener y mejorar la seguridad
de la informacin puede ser esencial para
mantener una ventaja competitiva, el flujo de
caja, rentabilidad, observancia legal e imagen
comercial. Las organizaciones y sus sistemas y
redes de informacin enfrentan amenazas de
seguridad de un amplio rango de fuentes;
incluyendo fraude por computadora, espionaje,
sabotaje, vandalismo, fuego o inundacin. Las
causas de dao como cdigo malicioso, pirateo
computarizado o negacin de ataques de
servicio se hacen cada vez ms comunes, ms
ambiciosas y cada vez ms sofisticadas [2].
La seguridad de la informacin es importante
tanto para negocios del sector pblico como
privado, y para proteger las infraestructuras
crticas. En ambos sectores, la seguridad de la
informacin funcionar como un facilitador;
por ejemplo para lograr e-gobierno o e-negocio,
para evitar o reducir los riesgos relevantes. La
interconexin de redes pblicas y privadas y el
intercambio de fuentes de informacin
incrementan la dificultad de lograr un control
del acceso. La tendencia a la computacin
distribuida tambin ha debilitado la efectividad
de un control central y especializado. Muchos
sistemas de informacin no han sido diseados
para ser seguros. La seguridad que se puede
lograr a travs de medios tcnicos es limitada, y
debiera ser apoyada por la gestin y los
procedimientos adecuados. Identificar qu
controles establecer requiere de una planeacin
cuidadosa y prestar atencin a los detalles. La
gestin de la seguridad de la informacin
requiere, como mnimo, la participacin de los
accionistas, proveedores, terceros, clientes u
otros grupos externos. Tambin se puede
requerir asesora especializada de
organizaciones externas [2].
4.2 La necesidad de seguridad en la
informacin en las empresas
La informacin es el principal elemento a
proteger, recuperar y resguardar dentro de las
redes empresariales, esto genera una
dependencia a los sistemas de informacin
hacindolas ms vulnerables a las amenazas
concernientes a la seguridad informtica. El uso
compartido de los recursos incrementa la
dificultad de lograr el control a los accesos y la
tendencia a los sistemas distribuidos ha
debilitado la eficiencia del control tcnico
centralizado.
La informacin y los procesos dan apoyo
importante para los recursos de la empresa
brindando una brecha competitiva, una gran
-
9
rentabilidad, cumplimiento de las leyes, flujo a
los datos y teniendo una imagen comercial
impecable. Los datos que se tiene en el sistema
de informacin se pueden perder, modificar,
sustraer o divulgar debido a espionajes,
sabotajes, incendio, inundacin, virus
informtico y personas conocidas como hacker
o piratas informticos que buscan el acceso o
violacin de las redes de las empresas. Esto es
generado por los esquemas de seguridad que
son ineficientes para proteger los recursos
informticos o que no existe un conocimiento
relacionado con la planeacin de un esquema de
seguridad en las empresas.
En las empresas que cuentan con el uso del
internet dentro de sus procesos y actividades
diarias, se presentan un inconveniente que
puede servir de soporte para la vulnerabilidad
virtual, y es del acceso a los sistemas y al
sistema de informacin. Son pocas las
organizaciones que en verdad se preocupan por
el control y vigilancia a dicho acceso y este uno
de los inconvenientes que ms se presentan a la
hora de un ataque o de una violacin del
sistema.
4.3 Pasos para la implementacin del
Sistema de Gestin de Seguridad de la
Informacin dentro la empresa
Segn las referencias [3] y [4], a continuacin
se describen los pasos para la implementacin
del Sistema de Gestin de Seguridad de la
Informacin (SGSI), de modo sucinto y muy
prctico, el mtodo que habitualmente han
venido utilizando las organizaciones.
4.3.1 Paso 1: Inicio del proyecto
En esta primera etapa se pretende asegurar para
el xito de todo el proyecto, el compromiso de
la direccin general y seleccionar y formar a los
miembros del equipo inicial del proyecto.
Para reducir la duracin del proceso, el apoyo
de la direccin debe estar presente a todos los
niveles: operativo, tcnico y presupuestario, as
como en el de la planificacin temporal. La
direccin general debe comprender que su
apoyo necesariamente conlleva un esfuerzo
continuo. La infraestructura establecida
requerir con toda seguridad ajustes, as como
una mejora continua. Respecto al equipo inicial
del proyecto (coordinadores, grupos de trabajo,
etc.), se debe formar un comit de direccin del
proyecto que puede estar compuesto por un
director ejecutivo, el director del proyecto y
representantes de las diferentes unidades
operativas implicadas.
Es habitual que en algunas organizaciones
grandes, el responsable de seguridad pueda
llevar a cabo gran parte de las tareas del
director del proyecto. En la mayora de los
casos, la implementacin de la norma ISO
27001 en una organizacin requiere la
implicacin de todas las unidades operativas.
4.3.2 Paso 2: Alcance del SGSI
Definicin del alcance del SGSI, etapa clave
para el xito posterior del proyecto:
Alcance del SGSI: qu unidades operativas y actividades estarn dentro
del entorno de seguridad de la
informacin?
Limitaciones del SGSI: caractersticas especficas de la organizacin (tamao,
campo de accin, etc.), ubicacin de la
organizacin, activos (inventario de
todos los datos crticos), tecnologa.
Conexiones o Interfaces: se debern tener en cuenta por parte de la
organizacin las relaciones con otros
sistemas, otras organizaciones y
proveedores externos.
Requerimientos de Seguridad del SGSI: de naturaleza legal o del negocio.
Exclusiones y justificacin de las exclusiones (Declaracin de
aplicabilidad).
-
10
Contexto estratgico: las medidas de seguridad planificadas deben tener en
cuenta la posicin actual y futura de la
organizacin para alcanzar las metas
fijadas por la direccin.
4.3.3 Paso 3: Evaluacin de riesgos
Con independencia del tipo o tamao de la
empresa, todas las organizaciones son
vulnerables a las amenazas que ponen en
peligro la confidencialidad, integridad y
disponibilidad de la informacin importante.
Cuanto antes se adopten las medidas
correctivas, la seguridad representar un menor
coste y ser ms efectiva. Para poder realizar
una identificacin y seleccin de controles ms
sencillos que permitan una mejor gestin de los
recursos humanos y financieros se debe conocer
la fuente y naturaleza de las amenazas.
Aplicabilidad de los controles de la ISO 17799: diagnstico preliminar.
Identificacin y evaluacin de activos, datos a proteger.
Identificacin y evaluacin de amenazas y vulnerabilidades.
4.3.4 Paso 4: Tratamiento y administracin
del riesgo
En este paso es bsico conocer cmo la
seleccin y la implantacin de los controles
permiten reducir los riesgos a un nivel
aceptable por la organizacin. Esta gestin
generalmente es una funcin de la:
Poltica de seguridad inicial.
Nivel de seguridad requerido.
Resultados de la evaluacin de riesgos.
Reglamentacin y legislacin aplicable.
Regulaciones y restricciones del negocio existentes.
En general existen cuatro opciones para el
tratamiento del riesgo: reducir el riesgo, aceptar
el riesgo, evitar el riesgo y transferencia del
riesgo.
4.3.5 Paso 5: Programa de Formacin y
Sensibilizacin para el Personal
La organizacin debe asegurarse de que todos
los miembros del personal con
responsabilidades especficas en el SGSI estn
debidamente formados, cualificados y
capacitados para realizar sus funciones. La
organizacin debe tambin asegurarse de que el
personal necesario est concienciado de la
importancia de sus actividades en la seguridad
de la informacin y de cmo contribuyen ellos
a alcanzar los objetivos del SGSI.
Es importante desarrollar un programa de
formacin y sensibilizacin con el fin de
educar a todos los empleados. Los empleados tienen que entender y respetar las buenas
prcticas de seguridad de la informacin.
4.3.6 Paso 6: Documentacin e implantacin
del SGSI
La documentacin de un SGSI es una exigencia
necesaria y previa a la implantacin del sistema
y se articula en torno a dos puntos
estratgicamente claves:
La descripcin de la estrategia de la organizacin, sus objetivos, la
evaluacin de riesgos y las medidas
adoptadas para evitar o atenuar los
mismos.
El control y el seguimiento del funcionamiento del SGSI. Es usual
plantear por lo menos cuatro niveles de
documentacin.
Una vez realizado lo anterior, o en paralelo, se
lleva a cabo la implantacin de los documentos
creados y se complementa con la formacin del
personal en las etapas en que sea necesario.
-
11
4.3.7 Paso 7: Ajustes y preparacin para la
Auditora de Certificacin
El Diagnstico es uno de los pasos previos e imprescindibles de toda organizacin que desee y tenga como objetivo la certificacin de
acuerdo a la norma ISO 27001, con el fin de
validar si el sistema sigue las especificaciones
necesarias para la implantacin de su marco de
gestin. Otro de los pasos que es un requisito
sine qua non para el xito de la auditora es la
Declaracin de Aplicabilidad, que deber ser
obligatoriamente realizada antes de la auditora.
Este documento (que se convertir en un
registro imprescindible del SGSI de cara a la
auditora de certificacin) proporciona la
justificacin para la aplicabilidad o no
aplicabilidad de cada control ISO 27001 del
SGSI en cuestin, incluyendo tambin dnde es
aplicable el estado de implantacin de cada
control.
En la Declaracin de Aplicabilidad deben ser
explicados los objetivos, los controles
seleccionados, y las razones para su seleccin,
como as tambin las razones para la exclusin
de cualquier medida de la norma ISO 27001.
4.3.8 Paso 8: Control y mejora continua
Control y mejora continua del SGSI de acuerdo
al Ciclo de DEMING (P-D-C-A) establecido en
la norma debindose realizar antes de la
Auditora de Certificacin en funcin de los
resultados del diagnstico.
A continuacin se muestra una forma de control
de acceso que puede llegar a ser de gran ayuda
para las empresas y podrn as evitar as
muchos dolores de cabeza en lo que a seguridad
virtual se refiere.
4.4 Control de acceso
Como se analiza en la referencia [7], se debe
establecer, documentar y revisar una poltica de
control de acceso a la informacin teniendo en
cuenta la distribucin e informacin que se
maneja. La poltica debe estar basada en la
premisa que en general, todo est prohibido, a menos que este expresamente permitido, siendo esta la regla ms fuerte, ya que es ms
conveniente para la organizacin documentar lo
que se permite tanto lo lgico como fsico
considerndolos en conjunto.
4.4.1 Gestin del acceso a los usuarios
Asegurar el acceso a los usuarios autorizados y
evitar el acceso a los usuarios no autorizados,
teniendo en cuenta las fases del ciclo de vida
del acceso de usuario que empieza con el
registro de usuario, definiendo los roles de
acceso del usuario segn el perfil de usuario. A
continuacin se definen los privilegios del
usuario que es un factor determinante para
prevenir fallas o vulnerabilidades del sistema.
Despus se asigna la contrasea controlndola a
travs de un proceso formal de gestin, es
conveniente tener diferentes tecnologas para la
identificacin y autentificacin de los usuarios.
Por ltimo la revisin de los derechos de acceso
de los usuarios manteniendo un control eficaz
del acceso a los datos y sistemas de
informacin [7].
4.4.2 Control al sistema operativo
Continuando con el tema analizado en la
referencia [7], es recomendable utilizar medios
de seguridad para el acceso de los usuarios al
sistema operativo, los cuales deben de estar en
la capacidad de autenticar a usuarios de acuerdo
con la poltica de seguridad, registrar los
intentos exitosos y los intentos fallidos de
ingresos al sistema, registrar el uso de los
privilegios del usuario al ingreso del sistema,
generar alarmas cuando son violadas las
polticas de seguridad, y definir cuando sea
necesario restringir el tiempo de conexin a los
usuarios.
4.4.3 Computacin mvil y trabajo remoto
Continuando con la referencia [7], establecer la
proteccin idnea para evitar el acceso o
divulgacin a personas no autorizadas de la
-
12
informacin almacenada o procesada a travs
de los dispositivos mviles o estaciones de
trabajo remotas. El acceso remoto por medio de
redes pblicas a los sistemas de informacin de
la organizacin debe contar con mecanismos
adecuados de control para de identificar y
autentificar a cada usuario. Los equipos mviles
se deben proteger fsicamente contra el robo.
Si el equipo cuenta con informacin sensible o
critica de la organizacin no se debe dejar sin
prestarle atencin y ser bloqueado con un
medio fsico. El personal que porta este equipo
debe ser informado de los riesgos, controles,
obligaciones y deberes que se tienen. El trabajo
remoto se debe autorizar si estn satisfechos las
disposiciones y controles de seguridad que
estn acordes con las polticas de seguridad.
Este trabajo debe ser autorizado por la direccin
de la organizacin. Se deben emplear
tecnologas de comunicacin que permitan a los
usuarios realizar el trabajo fijo desde un lugar
fuera de la organizacin.
Tomando como referencia lo anterior, se
evidencia entonces que es de vital importancia
controlar el acceso a los sistemas de
informacin de las empresas, teniendo en
cuenta que esta es la principal herramienta de
trabajo de las mismas, y es aqu donde reposa la
informacin ms importante y a la cual se le
debe proteger de gran forma. No se trata de
restringir el acceso totalmente, pero s de ser
selectivos con las personas que puedan hacer
uso de l, teniendo en cuenta hasta qu punto
pueden llegar a tener acceso y que informacin
pueden o no conocer.
5. CONCLUSIONES
Para todas las empresas que deseen
implementar programas de seguridad
informtica, deben tener presente adems de la
implementacin de un sistema de seguridad de
la informacin basado en la norma ISO 27000
se hace importante contar con el recurso
humano que posea sentido de pertenencia y
responsabilidad hacia la empresa; de esta
manera se asegura el xito de la
implementacin del sistema. En otras palabras,
un sistema por s solo no funciona para esto se
debe contar con el apoyo del personal de la
empresa.
Teniendo en cuenta al alto grado de relevancia
que ha venido teniendo el tema de la seguridad
de la informacin en los ltimos aos y a la
dependencia que las empresas tienen de sus
sistemas de seguridad informtica, se hace
necesario garantizar su correcto funcionamiento
mediante proteccin a los ataques internos y
externos. A su vez el anlisis de riesgos se
convierte en un factor comn en cualquier
metodologa de desarrollo seguro, porque es
imperativo conocer cules son los activos
crticos de la organizacin y cules son las
amenazas asociadas con ellos.
Por ltimo se concluye que cuando se desea
desarrollar una aplicacin segura que sea
aplicada a la seguridad informtica, esta se
logra no solamente con buenos algoritmos de
seguridad, sino que la seguridad de un producto
final de software se siembra desde el mismo
momento en el que se gestiona el proyecto de
software y debe estar presente en todo el ciclo
de vida y de desarrollo del mismo para lograr
que verdaderamente la seguridad en una
herramienta sea una realidad por lo menos en
un alto grado, dado que la seguridad plena en
software nunca existe.
REFERENCIAS BIBLIOGRFICAS
[1] Asociacin Espaola para la Calidad [AEC]
(2006). La gestin de la seguridad en la
empresa. Recuperado el 20 de octubre de 2012
de
http://www.aec.es/c/document_library/get_file?
p_l_id=33948&folderId=195657&name=DLFE
-5965.pdf
[2] ISO/IEC 17799 (2000) .Tecnologa de la
Informacin Tcnicas de seguridad Cdigo para la prctica de la gestin de la seguridad de
la informacin.
-
13
[3] ISO/IEC 27001 (2005). Tecnologa de la
informacin Tcnicas de Seguridad / sistemas
de gestin de Seguridad de la informacin.
Requerimientos.
[4] ISO/IEC 27002 (2005). Tecnologa de la
informacin Tcnicas de Seguridad / sistemas
de gestin de Seguridad de la informacin.
Requerimientos.
[5] Kim, H.K. (2005) automatic translation
form requirements model into use cases
modeling on UML. ICCSA'05 Proceedings of
the 2005 international conference on
Computational Science and Its Applications.
769-777
[6] Walton, J.P. (2002) Developing an
Enterprise Information Security Policy. New
York: ACM Press.
[7] Sierra Jaramillo, O.A. (2011). Estudio de
los procesos de seguridad de la informacin
digital en las empresas de departamento de
Risaralda. Pereira: Universidad Tecnolgica de
Pereira.
[8] Actualidad TIC. (2007). Seguridad
informtica. Recuperado el 20 de marzo de
2013 de
http://web.iti.upv.es/actualidadtic/2003/07/2003
-07-seguridad.pdf
[9] Dvila, A. (2006). Determinacin de los
requerimientos de calidad del producto software
basados en normas internacionales. IEEE Latin
Amrica Transactions. 4 (2), 100-106.
[10] De Freitas, V. (2009). Anlisis y
evaluacin del riesgo de la informacin: caso de
estudio Universidad Simn Bolvar. Revista
Venezolana de Informacin, Tecnologa y
Conocimiento. 6 (1), 43-55.
[11] Mellado, D., Fernndez, E., Piattini, M.
(2007). Un proceso de ingeniera de requisitos
de seguridad en la prctica. IEEE Latin
Amrica Transactions. 5 (4), 211-217.