Revisión de Normas y Estándares de Sistemas de Gestión de Seguridad de La Información

INSTITUTO POLITCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA
SECCIN DE ESTUDIOS DE POSGRADO E INVESTIGACIN
REVISIN DE NORMAS Y ESTNDARES DE SISTEMAS DE GESTIN DE

SEGURIDAD DE LA INFORMACIN
Trabajo que para obtener el grado de

Especialista en Seguridad Informtica y
Tecnologas de la Informacin
Ing. Fernando Alcntar Hernndez
Asesor:
Dr. Jos de Jess Vzquez Gmez.
Ciudad de Mxico, Junio de 2009
II
ACTA DE REVISIN DE TESINA
III
CARTA DE CESIN DE DERECHOS
IV
AGRADECIMIENTOS Y DEDICATORIA
Al Dr. Jos de Jess Vzquez Gmez:

Quien gracias a su profesionalismo y
espritu institucional, dedic su valioso
tiempo para realizar el presente trabajo.
A mi esposa:
Por brindarme su enorme apoyo durante
todo este tiempo.
NDICE GENERAL
PRELIMINARES
ACTA DE REVISIN DE TESINA ............................................................................................ II
CARTA DE CESIN DE DERECHOS ..................................................................................... III
AGRADECIMIENTOS Y DEDICATORIA ................................................................................ IV
NDICE GENERAL .................................................................................................................. V
NDICE DE FIGURAS ............................................................................................................ VII
NDICE DE TABLAS ............................................................................................................. VII
RESUMEN ............................................................................................................................ VIII
ABSTRACT ............................................................................................................................ IX
INTRODUCCIN. .................................................................................................................... X
OBJETIVO GENERAL. ......................................................................................................... XII
OBJETIVOS PARTICULARES.............................................................................................. XII
JUSTIFICACIN. ................................................................................................................. XIII
CAPTULO I.
SISTEMA DE GESTIN DE SEGURIDAD INFORMTICA (SGSI).
1.1 MARCO DE REFERENCIA DEL SGSI. .......................................................................... 1
1.2 DESCRIPCIN. .............................................................................................................. 2
1.2.1 Alineacin del SGSI a las misiones de la organizacin y de seguridad de la
organizacin....................................................................................................... 3
1.2.2 Anlisis de riesgos. ........................................................................................... 4
1.2.3 Controles de seguridad. .................................................................................... 6
1.2.4 Polticas de seguridad informtica. ................................................................. 7
1.2.5 Monitoreo del sistema. ...................................................................................... 8
1.2.6 Recuperacin y continuidad del negocio. ....................................................... 9
1.2.7 Cultura de seguridad en la organizacin. ...................................................... 10
CAPTULO II.
ISO/IEC 27001:2005.
2.1 DESCRIPCIN. ............................................................................................................ 12
2.2 El SGSI en ISO/IEC 27001:2005. ................................................................................. 18
CAPTULO III.
ENISA (EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY).
3.1 DESCRIPCIN. ............................................................................................................ 29
CAPTULO IV.
NIST SP 800-53.
4.1 MARCO DE REFERENCIA. .......................................................................................... 36
4.1.1. FIPS-199. .......................................................................................................... 37
4.1.2. FIPS-200. .......................................................................................................... 39
4.2 NIST SP 800-53. ........................................................................................................... 40
CAPTULO V.
DEPARTAMENTO DE DEFENSA DE LOS ESTADOS UNIDOS DE AMRICA.
5.1 MARCO DE REFERENCIA. .......................................................................................... 46
5.2 DIRECTIVA DEL DoD 8500.01. .................................................................................... 48
VI
5.3 INSTRUCCIN DEL DoD 8500.2, IMPLEMENTACIN DEL IA. ................................. 52
CAPTULO VI.
COMPARATIVA DE LOS SISTEMAS DE GESTIN DE SEGURIDAD INFORMTICA.
6.1. DESCRIPCIN. ............................................................................................................ 58
6.2. PARMETROS DE COMPARACIN. .......................................................................... 58
6.3. ALCANCE. .................................................................................................................... 59
6.4. EVALUACIN DE RIESGOS. ....................................................................................... 60
6.5. POLTICA DE SEGURIDAD. ........................................................................................ 61
6.6. PROCESO DE GESTIN. ............................................................................................ 62
6.7. CONTROLES DE SEGURIDAD. .................................................................................. 63
CONCLUSIONES. .................................................................................................................. 66
RECOMENDACIONES........................................................................................................... 68
REFERENCIAS BIBLIOGRFICAS. ..................................................................................... 69
REFERENCIAS CIBEROGRFICAS..................................................................................... 71
VII
NDICE DE FIGURAS
Figura 1. Modelo PDCA aplicado a los procesos SGSI. .................................................... 15

Figura 2. Estructura de un SGSI. ......................................................................................... 33
Figura 3. Marco de Administracin de Riesgo (Risk Amanagement Framework). .......... 44
NDICE DE TABLAS
Tabla 1. Controles de seguridad en ISO/IEC 27001............................................................ 25

Tabla 2. Identificadores, familias y clases de controles de seguridad. ............................ 41
Tabla 3. Temas de Control de IA. ......................................................................................... 57
Tabla 4. Comparativa del alcance de los SGSI. .................................................................. 60
Tabla 5. Comparativa de metodologa de anlisis de riesgos. ......................................... 61
Tabla 6. Comparativa de implementacin de polticas de seguridad. .............................. 62
Tabla 7. Comparativa de procesos de gestin. .................................................................. 63
Tabla 8. Comparativa de controles de seguridad............................................................... 64
VIII
RESUMEN
En el presente trabajo se lleva a cabo una revisin de cuatro documentos relacionados con
sistemas de gestin de seguridad de la informacin emitidos por las siguientes
organizaciones: Organizacin de Estndares Internacionales en su documento ISO/IEC
27001:2005, el Instituto Nacional de Estndares y Tecnologa de los Estados Unidos de
Amrica en su publicacin especial SP 800-53, la Agencia de Seguridad de la Informacin y
redes de la Unin Europea y el Departamento de Defensa de los Estados Unidos de Amrica
en su Directiva 8500.01 y en la instruccin 8500.2. El objeto de la revisin es realizar una
comparativa de los controles de seguridad que implementan, en la que se sealen sus
diferencias y se determine cuales seran adecuados a organizaciones de tipo privadas,
gubernamentales y militares.
IX
ABSTRACT
The present study conducts a review of four documents relating to information security
management systems, issued by the following organizations: International Standards
Organization through ISO/IEC 27001:2005, the National Institute of Standards and
Technology of United States of America through Special Publication SP 800-53, European
Network Information Security Agency and the Department of Defense of the United States of
America through Directive 8500.01 and Instruction 8500.02. The purpose of the review is to
conduct a security controls comparative giving their differences and determine which would
be appropriate to private, governmental and military organizations.
INTRODUCCIN.
En este trabajo se realiza la revisin de algunos estndares y documentacin
relativos a la administracin de la seguridad informtica, con el fin de elaborar
posteriormente una comparativa en la que se resalten los aspectos caractersticos y
ms sobresalientes de cada uno de los documentos revisados y que esto a su vez
sirva como referencia para llevar a cabo la administracin de un rea de seguridad
informtica en una organizacin.
En el primer captulo se define el Sistema de Gestin de Seguridad de la

Informacin, sus caractersticas y la importancia de su implementacin.
En el captulo dos se describe el estndar internacional ISO 27001, el cual es de

origen britnico y es utilizado en numerosas organizaciones de diferentes pases
debido a la importancia que ha adquirido y a su apego a la Organizacin
Internacional para la Estandarizacin (International Organization for Standarization,
ISO).
La Agencia de Seguridad de la Informacin de la Unin Europea (European Network

Information Security Agency, ENISA), es una institucin de gran influencia en los
aspectos de seguridad de la informacin en diferentes pases de la Unin Europea,
por lo que se aborda en el captulo tres de este documento para su revisin.
La Publicacin Especial 800-53 del Instituto Nacional de Estndares y Tecnologa

(National Institute of Standarts and Technology, NIST) del Departamento de
Comercio de Administracin de los Estados Unidos de Amrica, es un documento
XI
que sirve de gua en la aplicacin de controles de seguridad informtica en
organizaciones gubernamentales de los Estados Unidos de Amrica y se menciona
en el captulo cuatro.
En el quinto captulo se habla sobre documentacin existente en el Departamento de

Defensa de los Estados Unidos de Amrica, la cual se eligi debido a que
histricamente, se ha observado que las organizaciones militares de los pases
desarrollados han tenido gran influencia en el progreso tecnolgico.
Posteriormente se elabora una comparativa de los documentos revisados en los

captulos anteriores y se presenta en el captulo seis.
Por ltimo, se muestran las conclusiones del presente trabajo y se hacen algunas
recomendaciones.
XII
OBJETIVO GENERAL.
Revisar normas y estndares en materia de gestin de seguridad de la informacin,
con el fin de sealar sus principales caractersticas y que a su vez permita al
administrador de seguridad de Tecnologas de la Informacin (TI) en una
organizacin, seleccionar la documentacin que mejor se adapte a las necesidades
de su empresa.
OBJETIVOS PARTICULARES.
Revisar normas y estndares nacionales y/o internacionales relativos a Gestin

de Seguridad de la Informacin.
Sealar las caractersticas ms sobresalientes de cada uno de los documentos

revisados.
Elaborar una comparativa en la que se sealen las diferencias entre los

estndares seleccionados.
XIII
JUSTIFICACIN.
Diferentes organizaciones en la actualidad basan su administracin en lo que se
denomina el Gobierno Corporativo, el cual especifica la distribucin de los derechos y
responsabilidades entre los diferentes participantes de la organizacin y provee
tambin una estructura a travs de la cual se establecen los objetivos, los medios
para alcanzarlos y la forma de hacer un seguimiento a su desempeo. Asimismo, se
observa que las organizaciones utilizan de manera cotidiana las Tecnologas de la
Informacin (TI) con el fin de coadyuvar en el desarrollo de las actividades diarias y
apoyar la obtencin de los objetivos planteados. Debido a que las TI son parte
importante en las organizaciones, se denota la existencia de un rea responsable de
la administracin de su empleo y que algunos autores denominan Gobierno de TI.
Por otro lado, existen riesgos inmersos en el empleo inadecuado de las TI que
pueden afectar la confidencialidad, disponibilidad o integridad de la informacin. Para
ello, cualquier organizacin que haga uso de las TI requiere de un rea dedicada a la
observacin de los aspectos de seguridad informtica, con el objeto de mantener un
nivel de riesgo aceptable para la propia organizacin.
En este sentido, hoy en da existen diferentes soluciones o controles que brindan

seguridad en los sistemas de informacin de una organizacin, pero se requiere que
sean administradas adecuadamente, es decir, que se inviertan los recursos
necesarios para la proteccin de los activos y que se orienten los esfuerzos hacia
aquellos sistemas que presenten mayor riesgo de sufrir prdida, robo, dao
modificacin.
XIV
La administracin de los recursos y esfuerzos invertidos en la proteccin de los

activos de TI en una organizacin se conoce como Sistema de Gestin de Seguridad
de la Informacin (SGSI).1 Existen organizaciones que eligen la adquisicin de
soluciones de seguridad informtica muy costosas pensando que solucionarn sus
problemas y otras que invierten muy pocos recursos creyendo que no ser necesario
debido a que nunca antes se ha presentado un problema de seguridad. Entonces,
el SGSI se encarga entre otras cosas, de identificar los riesgos existentes en la
organizacin y con el conocimiento y aprobacin de los interesados de la propia
organizacin, administrarlos de manera adecuada y continua. Si no existe una
administracin adecuada de los riesgos, es probable caer en el error de invertir
demasiados recursos en riesgos que no sean de alta prioridad para la organizacin y
desproteger aquellos que s lo son, o por el contrario, de no invertir en aquellos que
presentan una mayor prioridad.
Conocido tambin como ISMS (Information Security Management System), por sus siglas en ingls.
CAPTULO I.
SISTEMA DE GESTIN DE SEGURIDAD
INFORMTICA (SGSI).
1.1 MARCO DE REFERENCIA DEL SGSI.
Algunos autores denominan al proceso de SGSI como gobierno de seguridad
en TI o como una parte fundamental de ste, el cual se encuentra contenido
dentro del Gobierno de TI y ste a su vez dentro del Gobierno Corporativo. Por
lo tanto, a continuacin se muestran definiciones de cada uno de estos
conceptos.
Gobierno Corporativo. El gobierno corporativo puede ser entendido

como: El proceso mediante el cual, el consejo de administracin de una
entidad asegura el logro sostenido de sus objetivos, as como la
proteccin del patrimonio y de los intereses de todos sus stakeholders
(grupos de inters), a quienes debe ofrecer transparencia en las
prcticas de administracin y control de calidad [1]. El gobierno
corporativo tiene injerencia sobre el desarrollo de todas las reas de
trabajo de la organizacin, y un buen sistema de gobierno corporativo
permite alcanzar las metas y objetivos. Es el proceso ms general en la
administracin de la organizacin.
Gobierno de TI. El gobierno de TI tiene como objetivo la alineacin del

empleo de las TI a la misin de la organizacin con el fin de generar valor
2
para la misma y a su vez, preservar el valor generado mediante una
adecuada administracin. Determina el marco para la toma de decisiones
y la responsabilidad para fomentar el comportamiento adecuado en el
uso de las TI y persigue la automatizacin de los procesos de la
organizacin.
Para llevar a cabo las actividades que cumplan con los objetivos de la
organizacin, se requiere de los diferentes servicios que proporcionan las
TI, las cuales deben estar alineadas y deben permitir a la organizacin
tomar ventaja total de su informacin para maximizar sus beneficios,
capitalizar oportunidades y ganar ventaja competitiva.
Gobierno de Seguridad en TI. El proceso de gobierno de seguridad de TI

determina las directrices a seguir, el alineamiento estratgico de las
actividades de seguridad informtica con la organizacin para la
generacin de valor, realiza la gestin de los riesgos existentes en los
activos informticos y mide su desempeo para realizar el ciclo de
mejora continua.
El gobierno de seguridad de TI tiene como objetivo la proteccin de los

intereses de todos aquellos que dependen de la informacin y de los
sistemas y comunicaciones que lo habilitan contra daos que afecten su
disponibilidad, confidencialidad e integridad.
1.2 DESCRIPCIN.
La seguridad informtica puede describirse como un conjunto de actividades
orientadas a la proteccin de la informacin y de los activos informticos en una
organizacin, con el fin de garantizar su integridad, confidencialidad y
disponibilidad. Un SGSI es un sistema que identifica los riesgos de seguridad
de la informacin existentes en la organizacin, los presenta con niveles de
3
prioridad ante un comit encargado de definir la cantidad de recursos que se
debern invertir y establece polticas y procedimientos basados en los objetivos
de la organizacin. Coordina las actividades de seguridad informtica para dar
cumplimiento a los objetivos de gobierno.
En general, un SGSI cumple con los siguientes puntos fundamentales:
Se mantiene alineado a la misin de la organizacin y a la misin de

seguridad de la organizacin.
Propone un anlisis de riesgos.
Plantea la elaboracin de polticas de seguridad Informtica.
Sugiere controles de seguridad.
Propone el monitoreo del sistema.
Establece esquemas de recuperacin y continuidad del negocio.
Fomenta una cultura de seguridad en la organizacin.
Cada uno de los puntos sealados anteriormente, establece una parte

importante del SGSI y pueden variar en su implementacin de acuerdo al
estndar o norma del que se refiera pero, sobre todo, dependen de las
necesidades reales de cada organizacin. A continuacin se describir cada
uno de los puntos.
1.2.1 Alineacin del SGSI a las misiones de la organizacin y de

seguridad de la organizacin.
Como ya se ha mencionado anteriormente, el SGSI debe estar alineado

a los objetivos de la misin de la organizacin y a la misin de seguridad
de la organizacin, donde se busca establecer y mantener un estado de
armona entre los recursos relacionados con las TI y las aspiraciones
estratgicas de la organizacin.
4
En este punto se deben identificar de forma especfica los recursos y
procesos relacionados con la seguridad de TI y determinar el impacto
que tienen en los objetivos y metas de la organizacin.
Si la misin de seguridad no se encuentra alineada a la misin de la

organizacin, el SGSI podra proteger diferentes aspectos de seguridad,
pero tal vez no sean los ms importantes para la organizacin, o sea,
aquellos que le generan valor y que permiten que se alcancen los
objetivos establecidos.
1.2.2 Anlisis de riesgos.
El anlisis de riesgos es uno de los primeros pasos a realizar en un

SGSI, debido a que en base a la evaluacin de amenazas y
vulnerabilidades en los activos de una organizacin, permite determinar
cules sern los controles de seguridad especficos que debern ser
implementados.
En este punto se establece una metodologa, la cual contiene una fase

de identificacin de riesgos, anlisis y evaluacin del impacto y una
seleccin de controles que los mitiguen.
Al final del anlisis de riesgos, la organizacin se encuentra en

posibilidad de tomar una decisin en cuanto al tratamiento del riesgo, que
puede ser mitigado, transferido o aceptado.
Los anlisis de riesgos suelen dividirse en dos tipos fundamentales:

cuantitativos y cualitativos.
Los anlisis de riesgos cuantitativos se basan en la probabilidad de que

se produzca un hecho y la probable prdida obtenida de que ese hecho
5
se produzca. Normalmente se determinan valores numricos, los
resultados que se obtienen son objetivos y se expresan en porcentajes,
probabilidades de ocurrencia de amenazas, entre otros. Un anlisis de
riesgos de este tipo puede ser complejo debido a los clculos que deben
realizarse, adems de requerir una considerable inversin de tiempo y
esfuerzos. Cuando la organizacin no cuenta con datos estadsticos, es
difcil realizar un anlisis cuantitativo.
El anlisis de riesgos cualitativo es la metodologa ms utilizada. En este

enfoque, no es necesario conocer la probabilidad y slo se emplea la
prdida potencial como factor de clculo. Los resultados que se obtienen
en este tipo de anlisis son subjetivos y los clculos a realizar son
sencillos. El xito de un anlisis de este tipo depende en buena medida
del conocimiento de la organizacin que tenga el equipo encargado de
realizar este anlisis.
El anlisis de riesgos hace uso de los siguientes conceptos para su

desarrollo:
Amenaza. Hecho que puede producir un dao. Las amenazas

pueden ser naturales o hechas por el hombre.
Vulnerabilidad.
Debilidad
falla.
En
seguridad
informtica
comnmente se refiere a la debilidad o falla en un sistema.
Riesgo. Un riesgo es un evento que tiene la caracterstica de ser

incierto y que en caso de ocurrir, tendr un efecto negativo. En otras
palabras, es la probabilidad o posibilidad de que una amenaza
aproveche una vulnerabilidad.
Una metodologa de anlisis de riesgos, de manera general, comprende
6
los siguientes pasos:
Establece el alcance, conforme a los procesos crticos de TI de la

Organizacin.
Define los activos informticos que se van a analizar, que deben ser
componentes del proceso de TI.
Identifica las amenazas que pueden comprometer la seguridad de

los activos.
Determina la probabilidad o posibilidad de ocurrencia de las

amenazas.
Determina el impacto de las amenazas.
Recomienda controles que disminuyan la probabilidad de los

riesgos, ajustndose a las necesidades de la organizacin,.
Documenta el proceso.
1.2.3 Controles de seguridad.
Los controles de seguridad pueden ir enfocados a proteger los activos o

los procesos de TI existentes en una organizacin, de acuerdo a la
clasificacin que utilice y proponga el SGSI para ello. Los controles
pueden ser clasificados como administrativos, fsicos o tcnicos.
Los controles administrativos comprenden las polticas y procedimientos

de seguridad. Las polticas establecen qu es lo que se les permite o
prohbe hacer a los usuarios, y los procedimientos son la descripcin de
las tareas que se deben realizar para la proteccin de los activos.
Algunos ejemplos de controles administrativos son:
Asignacin de responsabilidades.
Supervisin o auditoras.
Recuperacin tras fallos.
Elaboracin de planes de contingencia.
A los controles que delimitan el acceso fsico a los activos informticos se

les denomina controles fsicos. Tambin entran en esta categora las
fuentes de alimentacin ininterrumpida de suministro de energa. Estos
pueden ser:
Cerraduras.
Bloqueadores de teclados.
Vigilantes de seguridad.
Alarmas.
Sistemas de deteccin de fuego y humo.
Los controles tcnicos son aquellos que se implementan a travs de

hardware, software o una combinacin de ambos, los cuales pueden
funcionar de forma automatizada. Ejemplos de estos controles son:
Antivirus.
Firma digital.
Tarjetas inteligentes.
Sistemas de deteccin de intrusos.
A los controles de seguridad tambin se les conoce como mecanismos o

salvaguardas de seguridad.
1.2.4 Polticas de seguridad informtica.
Una poltica de seguridad es un conjunto de requisitos definidos por los

responsables de un sistema, que indica en trminos generales qu est y
que no est permitido en el rea de seguridad durante la operacin
general del sistema [2].
El RFC 1244 define la poltica de seguridad como: una declaracin de

intenciones de alto nivel que cubre la seguridad de los sistemas
informticos y que proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones tcnicas y organizativas
que se requerirn. [3]
La poltica se refleja en una serie de normas, reglamentos y protocolos a

seguir, donde se definen las medidas a tomar para proteger la seguridad
del sistema. Las polticas de seguridad como parte integral de un SGSI,
tienen la intencin de definir Qu? Por qu? De qu? y Cmo? se
debe proteger la informacin. Tratan a su vez de ser el medio de
interpretacin de la seguridad para toda la organizacin [4].
Algunos de los principios que manejan las polticas de seguridad son:
Responsabilidad.
Autorizacin.
Mnimo privilegio.
Separacin de cargo.
Auditora.
Redundancia.
Reduccin de riesgo.
Confidencialidad, integridad y disponibilidad.
1.2.5 Monitoreo del sistema.
El monitoreo del sistema contempla la supervisin del funcionamiento de

los
controles
implementados
permite
llevar
cabo
una
retroalimentacin del sistema para mantener un ciclo de mejora en las

fases que lo conforman.
Con el monitoreo se pretende detectar errores de procesamiento,

brechas de seguridad, revisar el desempeo de las personas en las
actividades de seguridad, entre otras.
Una vez que se han obtenido los resultados, se detallan, archivan y

reportan a los responsables con el objeto de que establezcan medidas
preventivas de refuerzo.
Esta actividad se realiza en base a auditoras, comentarios de fallas por

parte de las reas involucradas, incidentes ocurridos, revisin inhouse,
etc.
1.2.6 Recuperacin y continuidad del negocio.
La recuperacin y continuidad del negocio consiste en mantener en

operacin a una organizacin despus de que ha ocurrido una
contingencia, la cual se puede presentar por causas naturales como son
inundaciones, terremotos e incendios o por causas provocadas por el
hombre, ya sea de tipo intencionales o por errores.
La
organizacin
elabora
un
plan
comnmente
denominado
de
recuperacin de desastres, en el cual se determinan los activos que

puede requerir en caso de presentarse una contingencia para mantener
la operacin normal o por lo menos, para mantener un nivel de operacin
que considere aceptable. Tales activos son considerados dentro de un
esquema en el cual se encuentran en un sitio alterno y lejano al original,
con el fin de evitar que ste tambin sea afectado por la contingencia.
Adems, se establecen procedimientos en los cuales se indican las

acciones a realizar por parte del personal perteneciente a la
10
organizacin. El plan se da a conocer a la totalidad de individuos y para
poder garantizar su xito, se deben realizar simulacros de reaccin para
determinar el grado de conocimiento del plan y el entrenamiento por
parte del personal, as como los tiempos de respuesta a este tipo de
eventos.
Por otro lado, tambin existen esquemas que consideran la contratacin

de una entidad externa que proporciona la infraestructura para llevar a
cabo la recuperacin del negocio.
1.2.7 Cultura de seguridad en la organizacin.
En este rubro el responsable de la gestin de seguridad de la informacin

realiza actividades tendientes a fortalecer la cultura de seguridad en el
personal de la organizacin. Debido a que comnmente el factor humano
representa el eslabn ms dbil dentro de la cadena de seguridad [5],
gran parte de los trabajos de seguridad se orientan a la creacin de
conciencia en el personal y en su entrenamiento para la aplicacin
correcta de medidas y buenas prcticas.
La creacin de conciencia en el personal se puede materializar a travs

de programas que contengan plticas, conferencias, videos, revistas,
entre otros; en los cuales se indica la importancia de la aplicacin de
medidas de seguridad y las consecuencias en la organizacin o inclusive,
en los individuos por no llevarlas a cabo.
En el entrenamiento se proporciona capacitacin al personal para realizar

una adecuada implementacin de controles de seguridad en los
diferentes aspectos en los que se tiene injerencia dentro de un sistema
de informacin. El entrenamiento se puede enmarcar dentro de un
programa peridico que mantenga una capacitacin continua.
11
1.3 CONCLUSIONES.
Se observa que de acuerdo al empleo existente de TI en las organizaciones, se
presenta la necesidad de contar con un SGSI el cual mantenga una ubicacin
en el organigrama, que a su vez es denominado por algunos autores como
gobierno de seguridad en TI. El gobierno de seguridad en TI debe estar
alineado a la misin y objetivos de la organizacin. Asimismo, el SGSI parte
normalmente de la elaboracin de un anlisis de riesgos, en el cual se
describen amenazas, vulnerabilidades en los activos, riesgos y su impacto en la
organizacin. En base a los resultados obtenidos del anlisis de riesgos, se
pueden determinar los controles de seguridad que se deben implementar, los
cuales pueden ser de tipo administrativos, fsicos y/ tcnicos. Una vez que se
implementan los controles de seguridad, se realiza un monitoreo en el que se
pretende detectar fallas en su implementacin para llevar a cabo una
retroalimentacin de todo el sistema, permitiendo a su vez, un proceso de
mejora continua que mantenga actualizado al SGSI.
12
CAPTULO II.
ISO/IEC 27001:2005.
2.1 DESCRIPCIN.
La ISO/IEC 27001:2005, Information Technology -- Security techniques -Information security management systems -- Requirements (Requerimientos -Sistemas de gestin de seguridad de la informacin -- Tcnicas de seguridad -Tecnologas de la Informacin) [6] es un estndar internacional publicado por la
Organizacin Internacional para la Estandarizacin (ISO) y la Comisin
Electrotcnica Internacional (IEC). El documento tiene sus orgenes en el
Estndar Britnico BS7799 emitido por el Instituto de Normas Britnico (British
Standard Institute, BSI) y fue adoptado, bajo la supervisin del grupo de trabajo
Tecnologas de la Informacin del Comit Tcnico ISO/IEC JTC 1 1. El citado
estndar es parte de la familia de estndares ISO-2700x [7], el cual incluye los
siguientes estndares:
ISO/IEC 27000:2009 - Overview and vocabulary.
ISO/IEC 27001:2005 - Requirements.
ISO/IEC 27002:2005 - Code of practice for information security
Join Technical Comit No. 1
13
management.
ISO/IEC 27003 - Implementation guidance.
ISO/IEC 27004 - Measurement.
ISO/IEC 27005:2008 - Information security risk management.
ISO/IEC 27006:2007 - Requirements for bodies providing audit and

certification of information security management systems.
El estndar ISO/IEC 27001 es el documento que describe los requerimientos

del SGSI, mientras que los dems tratan de forma especfica algunos temas
relacionados con el sistema. El ISO/IEC 27002 hace mencin de los controles
especficos que se deben implementar en el SGSI y es la evolucin del
estndar ISO/IEC 17799:2005. Los estndares 27003 y 27004 actualmente se
encuentran en fase de desarrollo.
El estndar ISO/IEC 27001:2005 se basa en los procesos establecidos en el

modelo de mejora continua PDCA (Plan, Do, Check, Act), por lo que a lo largo
de todo el desarrollo del sistema de gestin sugiere establecer, implementar,
operar, monitorear, mantener y mejorar continuamente el SGSI.
El modelo PDCA manifiesta lo siguiente en cada una de sus etapas:
Plan.
(Establecer el SGSI). Establece la poltica, objetivos, proceso y

procedimientos del SGSI relevantes para manejar el riesgo y mejorar la
seguridad de la informacin para entregar resultados en concordancia
14
con las polticas y objetivos generales de la organizacin.
Do.
(Implementar el SGSI). Implementa y opera la poltica, controles,

procesos y procedimientos del SGSI.
Check. (Monitorear y revisar el SGSI). Evala y, donde sea aplicable, mide el

desempeo del proceso en comparacin con la poltica, objetivos y
experiencias prcticas del SGSI y reporta los resultados a la gerencia
para su revisin.
Act.
(Mantener y mejorar el SGSI). Toma acciones correctivas y preventivas

basadas en los resultados de la auditora interna del SGSI y la revisin
gerencial u otra informacin relevante, para lograr la mejora continua
del SGSI.
En la Figura 2.1 se muestra que el proceso del SGSI toma como entrada los
requerimientos y expectativas de la seguridad de informacin de las partes
interesadas, internamente desarrolla el modelo PDCA en un ciclo continuo, y en
la salida entrega resultados que satisfacen los requerimientos y expectativas
que se plantearon inicialmente. De manera interna, se observa la interaccin de
las etapas que conforman al ciclo PDCA; la etapa de Plan establece el SGSI, la
cual permite la implementacin y operacin en la etapa de Do, una vez que se
cuenta con ello, se monitorea y revisa el sistema en la etapa de Check y con los
resultados obtenidos, se retroalimenta el sistema para mantenerlo y mejorarlo
en la etapa de Act.
15
Plan
Partes
interesadas
Requerimientos
y expectativas
de la seguridad
de informacin.
Partes
interesadas
Establecer el
SGSI
Do
Implementar
y operar el
SGSI
Desarrollar,
mantener y
mejorar el
ciclo.
Mantener
y mejorar
el SGSI
Act
Seguridad de
informacin
manejada.
Monitorear y
revisar el
SGSI
Check
Modelo PDCA, ISO/IEC 27001:2005
Figura 1. Modelo PDCA aplicado a los procesos SGSI.
De manera general, el estndar ISO/IEC 27001:2005 se divide en 9 puntos

principales y 3 anexos como se menciona a continuacin:
0 Introduccin.
1 Alcance.
2 Referencias normativas.
3 Trminos y definiciones.
4 Sistema de gestin de seguridad de la informacin.
5 Responsabilidades de la gerencia.
6 Auditoras internas.
7 Revisin gerencial del SGSI.
8 Mejoramiento del SGSI.
16
Anexos.
En el primer punto, se habla de manera general sobre el objetivo del estndar,

el enfoque que tiene hacia el modelo PDCA y sobre la compatibilidad que tiene
con los estndares ISO 9001:2000 y 14001:2004.
En el punto 1 se trata el alcance del estndar, donde se manifiesta que puede

ser aplicado a cualquier tipo de organizacin, ya sea gubernamental, comercial,
o sin fines de lucro.
En el punto de referencias normativas, se hace mencin del estndar ISO/IEC

17799:2005, Tecnologa de la informacin Tcnicas de seguridad Cdigo de
prctica para la gestin de la seguridad de la informacin, del cual se hace
hincapi en la importancia que tiene para la aplicacin del estndar ISO/IEC
27001.
En el punto 3 se mencionan 16 trminos y definiciones que son utilizados a lo

largo del estndar.
El punto 4 del estndar, describe el SGSI a detalle y se divide en tres partes

principales:
Requerimientos generales.
17
Establecimiento y manejo del SGSI.
Requerimientos de documentacin.
El punto de Responsabilidades de la gerencia, hace mencin del compromiso

de la gerencia y Gestin de recursos.
El punto 6 propone la elaboracin de un programa de auditora para verificar

que se cumplan los objetivos de control, controles, procesos y procedimientos
del SGSI.
En la revisin gerencial del SGSI, se plantea la revisin programada del SGSI

por parte de la gerencia de la organizacin para asegurarse de su conveniencia
y efectividad.
En el punto 8 se habla sobre la mejora continua de la efectividad del sistema, la

cual deber ser basada en los resultados de la auditora y del anlisis de los
eventos monitoreados, para llevar a cabo acciones correctivas y preventivas.
En los anexos se manifiestan tres temas:
Objetivos de control y controles.
Principios OECD2 y el modelo PDCA.
Correspondencia entre los estndares ISO 9001:2000 e ISO 14001:2004
OECD, Lineamientos OECD para la Seguridad de los Sistemas y Redes de Informacin Hacia una
cultura de seguridad. Paris: OECD, Julio 2002, www.oecd.org.
18
con el estndar ISO/IEC 27001:2005.
Debido a que la descripcin principal del SGSI se encuentra contenida en los

puntos 4, 5, 6 y 8, a continuacin sern revisados de manera detallada.
2.2 El SGSI en ISO/IEC 27001:2005.
Para el establecimiento del SGSI, el estndar ISO/IEC 27001:2005, propone lo

siguiente:
Definir el alcance y los lmites del SGSI en trminos de las caractersticas

del negocio.
Definir una poltica de seguridad.
Definir el enfoque de valuacin del riesgo.
Identificar los riesgos.
Analizar y evaluar el riesgo.
Identificar y evaluar las opciones para el tratamiento de los riesgos.
Seleccionar objetivos de control y controles para el tratamiento de riesgos.
En la definicin de la poltica, el estndar seala que debe incluir un marco

referencial para el establecimiento de sus objetivos, que tome en cuenta los
requerimientos de la organizacin en la parte de seguridad, que se establezca
el criterio con el que se evaluar el riesgo y que sea aprobada por la gerencia.
19
Para el enfoque de valuacin de riesgo de la organizacin, se propone la
identificacin de una metodologa de clculo de riesgo y el desarrollo de
criterios para aceptar el riesgo e identificar los niveles de riesgo aceptables.
Para ello, propone la revisin del estndar ISO/IEC TR 13335-3, Tecnologa de
Informacin Lineamiento para la gestin de la seguridad TI Tcnicas para la
gestin de la seguridad TI.
Los puntos Identificar los riesgos, Analizar y evaluar el riesgo e Identificar y

evaluar las opciones para el tratamiento de los riesgos, van relacionados con el
punto anterior y se refieren al manejo de riesgos en la organizacin.
En la parte de seleccin de objetivos de control y controles, el estndar hace

referencia al anexo A, el cual maneja una tabla con los objetivos de control y
controles que se encuentran alineados, inclusive en la numeracin, a los
establecidos en el estndar ISO/IEC 17799:2005. La tabla establece once
categoras de seguridad principales acompaadas de 38 objetivos de control y
133 controles de seguridad, como se muestra a continuacin:
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.5 Poltica de seguridad.
A.5.1 Poltica de seguridad

de la informacin.
A.6 Organizacin de la
seguridad de la
informacin.
A.6.1 Organizacin interna.
CONTROL
A.5.1.1 Documento de la poltica
de
seguridad
de
la
informacin.
A.5.1.2 Revisin de la poltica de
seguridad
de
la
informacin.
A.6.1.1 Administracin
del
compromiso de seguridad
de la informacin.
A.6.1.2 Coordinacin
de
la
seguridad
de
la
informacin.
20
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.6.1 Organizacin interna.
A.6 Organizacin de la
seguridad de la
informacin.
A.6.2 Partes externas.
A.7.1 Responsabilidad de
los activos.
A.7 Gestin de activos.
A.7.2 Clasificacin de la
informacin.
A.8.1 Antes del contrato.
A.8 Seguridad en el
personal.
A.8.2 Durante el empleo.
A.8.3 Terminacin o cambio

de empleo.
A.9 Seguridad fsica y del

entorno.
A.9.1 reas seguras.
CONTROL
A.6.1.3 Asignacin
de
responsabilidades
de
seguridad
de
la
informacin.
A.6.1.4 Proceso de autorizacin
para
facilidades
de
procesamiento
de
informacin.
A.6.1.5 Acuerdos
de
confidencialidad.
A.6.1.6 Contacto con autoridades.
A.6.1.7 Contacto con grupos de
inters especial.
A.6.1.8 Revisin independiente de
la
seguridad
de
la
informacin.
A.6.2.1 Identificacin de riesgos
relativos
a
partes
externas.
A.6.2.2 Orientacin
de
la
seguridad cuando se trata
con clientes.
A.6.2.3 Orientacin
de
la
seguridad en acuerdos
con terceros.
A.7.1.1 Inventario de activos.
A.7.1.2 Propiedad de activos.
A.7.1.3 Uso aceptable de activos.
A.7.2.1 Guas
para
la
clasificacin.
A.7.2.2 Manejo y etiquetado de
informacin.
A.8.1.1 Roles
y
responsabilidades.
A.8.1.2 Antecedentes.
A.8.1.3 Trminos y condiciones de
contrato.
de
responsabilidades.
A.8.2.2 Concientizacin,
educacin
y
entrenamiento
en
seguridad
de
la
informacin.
A.8.2.3 Proceso disciplinario.
A.8.3.1 Responsabilidades
por
terminacin en el empleo.
A.8.3.2 Devolucin de activos.
A.8.3.3 Eliminacin de derechos
de acceso.
A.9.1.1 Permetro de seguridad
fsica.
21
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.9.1 reas seguras.
A.9 Seguridad fsica y del

entorno.
A.9.2 Seguridad en el
equipo.
A.10.1 Procedimientos
operacionales y
responsabilidades.
A.10.2 Gestin de entrega

de servicio a
terceros.
A.10 Gestin en las
comunicaciones y
operaciones.
A.10.3 Planeacin y
aprobacin del
sistema.
A.10.4 Proteccin contra
cdigo malicioso y
cdigo mvil.
A.10.5 Respaldos.
A.10.6 Gestin de
seguridad en red.
A.10.7 Manejo de medios.
CONTROL
A.9.1.2 Controles
fsicos
de
entrada.
A.9.1.3 Seguridad en oficinas,
reas e instalaciones.
A.9.1.4 Proteccin
contra
amenazas externas y de
entorno.
A.9.1.5 Trabajo en reas seguras.
A.9.1.6 Acceso pblico, reas de
entrega y recepcin.
A.9.2.1 Colocacin y proteccin
de equipo.
A.9.2.2 Utilidades de soporte.
A.9.2.3 Seguridad en el cableado.
A.9.2.4 Mantenimiento de equipo.
A.9.2.5 Seguridad en equipo en
localidades externas.
A.9.2.6 Seguridad en el desecho o
reutilizacin de equipo.
A.9.2.7 Eliminacin de propiedad.
A.10.1.1 Procedimientos
de
operacin
documentados.
A.10.1.2 Gestin de cambios.
A.10.1.3 Segregacin
de
obligaciones.
A.10.1.4 Separacin
de
instalaciones
de
desarrollo, de prueba y
operacin.
A.10.2.1 Entrega de servicio.
A.10.2.2 Monitoreo y revisin de
servicios a terceros.
A.10.2.3 Gestin de cambios de
terceros.
de
capacidades.
A.10.3.2 Aceptacin de sistema.
A.10.4.1 Controles contra cdigo
malicioso.
A.10.4.2 Controles contra cdigo
mvil.
A.10.5.1 Informacin
de
respaldos.
A.10.6.1 Controles de red.
A.10.6.2 Seguridad de servicios
de red.
de
medios removibles.
A.10.7.2 Eliminacin de medios
de
manejo de informacin.
22
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.10.7 Manejo de medios.
A.10.8 Intercambio de
informacin.
A.10 Gestin en las

comunicaciones y
operaciones.
A.10.9 Servicios de
comercio
electrnico.
A.10.10 Monitoreo.
A.11.1 Requerimientos del

negocio para el
control de acceso.
A.11.2 Administracin de
acceso de usuario.
A.11 Control de acceso.
A.11.3 Responsabilidades
de usuarios.
A.11.4 Control de acceso

de red.
CONTROL
A.10.7.4 Seguridad
en
la
documentacin
del
sistema.
A.10.8.1 Poltica
y
procedimientos
de
intercambio
de
informacin.
A.10.8.2 Acuerdos
de
intercambio.
A.10.8.3 Medios
fsicos
en
trnsito.
A.10.8.4 Mensajera electrnica.
A.10.8.5 Sistemas
de
informacin del negocio.
A.10.9.1 Comercio electrnico.
A.10.9.2 Transacciones en lnea.
A.10.9.3 Informacin
en
publicidad disponible.
A.10.10.1 Auditora de registros.
A.10.10.2 Monitoreo del uso del
sistema.
A.10.10.3 Proteccin
de
la
informacin
de
registros.
A.10.10.4 Registros
de
administradores
y
operadores.
A.10.10.5 Registro de errores.
A.10.10.6 Sincronizacin
de
relojes.
A.11.1.1 Poltica de control de
acceso.
A.11.2.1 Registro de usuarios.
de
privilegios.
de
passwords de usuarios.
A.11.2.4 Revisin de derechos
de acceso de usuarios.
A.11.3.1 Empleo de passwords.
A.11.3.2 Desatencin de equipo
de usuario.
A.11.3.3 Poltica de escritorios y
pantallas limpios.
A.11.4.1 Poltica del empleo de
servicios de red.
A.11.4.2 Autenticacin
de
usuarios
para
conexiones externas.
A.11.4.3 Identificacin
de
equipos en las redes.
23
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL

de red.
A.11 Control de acceso.

en el sistema
operativo.

en la informacin y
aplicaciones.
A.11.7 Cmputo mvil y
teletrabajo.
A.12.1 Requerimientos de
seguridad de
sistemas de
informacin.
A.12.2 Procesamiento
correcto en las
aplicaciones.
A.12 Adquisicin,
desarrollo y
mantenimiento de
sistemas de
informacin.
A.12.3 Controles
criptogrficos.
A.12.4 Seguridad en
archivos de sistema.
CONTROL
A.11.4.4 Diagnstico remoto y
configuracin
de
proteccin de puertos.
A.11.4.5 Segregacin en redes.
A.11.4.6 Control
de
las
conexiones de red.
A.11.4.7 Control del ruteo de red.
de
seguridad en inicio de
sesin.
y
autenticacin
de
usuarios.
A.11.5.3 Sistema
de
administracin
de
passwords.
A.11.5.4 Empleo de utilidades de
sistema.
A.11.5.5 Finalizacin
de
sesiones.
A.11.5.6 Lmite del tiempo de
conexin.
A.11.6.1 Restriccin de acceso a
la informacin.
A.11.6.2 Aislamiento de sistemas
sensibles.
A.11.7.1 Cmputo
mvil
y
teletrabajo.
A.11.7.2 Teletrabajo.
A.12.1.1 Requerimientos,
anlisis
y
especificaciones
de
seguridad.
A.12.2.1 Validacin de datos de
entrada.
A.12.2.2 Control
de
procesamiento interno.
A.12.2.3 Integridad de mensajes.
A.12.2.4 Validacin de datos de
salida.
A.12.3.1 Poltica de empleo de
controles criptogrficos.
de
llaves.
A.12.4.1 Control de software
operativo.
A.12.4.2 Proteccin de datos de
prueba de sistema.
A.12.4.3 Control de acceso para
cdigo
fuente
de
programas.
24
CATEGORA DE
SEGURIDAD PRINCIPAL
A.12 Adquisicin,
desarrollo y
mantenimiento de
sistemas de
informacin.
OBJETIVO DE CONTROL
A.12.5 Seguridad en el
desarrollo y soporte
de procesos.
A.12.6 Administracin de
vulnerabilidades
tcnicas.
A.13 Gestin de
incidentes de
seguridad de
informacin.
A.14 Gestin de
continuidad del
negocio.
A.15 Cumplimiento.
A.13.1 Reporte de eventos

de seguridad de
informacin y
vulnerabilidades.
A.13.2 Gestin de
incidentes de
seguridad de
informacin y
mejoras.
A.14.1 Aspectos de
seguridad de la
informacin de la
gestin de
continuidad del
negocio.
A.15.1 Cumplimiento con

requerimientos
legales.
CONTROL
de
control de cambios.
A.12.5.2 Revisin tcnica de
aplicaciones
despus
de realizar cambios en
el sistema operativo.
A.12.5.3 Restricciones
en
cambios de paquetes
de software.
A.12.5.4 Fuga de informacin.
A.12.5.5 Contratacin
externa
para
desarrollo
de
software.
A.12.6.1 Control
de
vulnerabilidades
tcnicas.
A.13.1.1 Reporte de eventos de
seguridad
de
informacin.
A.13.1.2 Reporte
de
vulnerabilidades
de
seguridad.
A.13.2.1 Responsabilidades
y
procedimientos.
A.13.2.2 Aprendizaje
en
incidentes de seguridad
de informacin.
A.13.2.3 Coleccin de evidencia.
A.14.1.1 Incluir seguridad en la
informacin del proceso
de
gestin
de
continuidad del negocio.
A.14.1.2 Continuidad del negocio
y gestin de riesgos.
A.14.1.3 Desarrollo
e
implementacin
de
planes de continuidad
incluyendo seguridad de
la informacin.
A.14.1.4 Marco de planeacin de
continuidad del negocio.
A.14.1.5 Pruebas, mantenimiento
y reevaluacin de los
planes de continuidad
del negocio.
de
legislacin aplicable.
A.15.1.2 Derechos de propiedad
intelectual.
A.15.1.3 Proteccin
de
grabaciones
de
organizacionales.
25
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL

requerimientos
legales.
A.15 Cumplimiento.

polticas y
estndares de
seguridad y
cumplimiento
tcnico.
CONTROL
A.15.1.4 Proteccin
de
la
privacidad
y
datos
personales.
A.15.1.5 Prevencin de abuso de
procesamiento
de
informacin.
A.15.1.6 Regulacin de controles
criptogrficos.
A.15.2.1 Cumplimiento
con
polticas y estndares
de seguridad.
A.15.2.2 Verificacin
de
cumplimiento tcnico.
A.15.3.1 Controles de auditora

en
sistemas
de
A.15.3 Consideraciones en
informacin.
auditora de
A.15.3.2 Proteccin
de
sistemas de
herramientas
de
informacin.
auditora de sistemas
de informacin.
Tabla 1. Controles de seguridad en ISO/IEC 27001.
Para la implementacin y operacin del SGSI, se plantea lo siguiente:
Formulacin de un plan de tratamiento del riesgo.
Implementacin del plan de tratamiento del riesgo.
Implementacin de los controles seleccionados para satisfacer los

objetivos de control.
Definir mtricas para la efectividad de los controles o grupos de controles

seleccionados.
Implementar programas de capacitacin.
Manejo de las operaciones del SGSI.
Manejo de los recursos.
Implementacin de procedimientos para deteccin y respuesta de

incidentes de seguridad.
26
En el monitoreo y revisin del SGSI se plantea:
Ejecucin de procedimientos de monitoreo y revisin.
Revisiones regulares de la efectividad del SGSI.
Medicin de la efectividad de los controles.
Revisin de las evaluaciones de riesgo.
Realizar auditoras internas.
Revisin gerencial del SGSI.
Actualizacin de los planes de seguridad.
Registrar las acciones y eventos que pudieran tener impacto sobre el

desempeo del SGSI.
Para el mantenimiento y mejora del SGSI se propone realizar lo que se

menciona a continuacin:
Implementar las mejoras identificadas.
Tomar las acciones correctivas y preventivas apropiadas.
Comunicar los resultados y acciones a todas las partes interesadas.
Asegurar que las mejoras logren los objetivos sealados.
El estndar aborda una parte de documentacin en el punto del SGSI, en la

cual recomienda mencionar los enunciados de la poltica del SGSI, el alcance,
los procedimientos y controles, una descripcin de la metodologa del anlisis
de riesgo, el reporte del anlisis de riesgo, el plan del tratamiento del riesgo,
27
todos los procedimientos necesarios para asegurar la planeacin, operacin y
control de los procesos del SGSI y las mtricas de la efectividad de los
controles de seguridad. Tambin recomienda manejar un control de cambios en
la documentacin que se genere y llevar un registro de la misma.
El estndar seala adems, el aspecto de responsabilidad de la gerencia, en la

cual se propone la existencia de evidencia para plantear el compromiso que
tiene
con
el
establecimiento,
implementacin,
monitoreo,
revisin,
mantenimiento, y mejoramiento del SGSI. Recomienda que la organizacin

proporcione los recursos necesarios para la implementacin y desarrollo del
sistema, as como la capacitacin para el personal participante.
En la parte de auditora, el estndar indica que se lleven a cabo revisiones

peridicas para determinar que los objetivos de control, controles, procesos y
procedimientos del SGSI cumplan con los requerimientos del estndar y con la
normatividad interna. Asimismo, menciona que la norma ISO 19011:20023
podra ser una gua para llevar a cabo auditoras internas.
Tambin se hace mencin de que la gerencia realice revisiones peridicas del

SGSI, para asegurarse de su efectividad.
En lo correspondiente al mejoramiento del SGSI, el estndar propone llevar a

cabo acciones correctivas para eliminar inconformidades con los requerimientos
3
ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing.
28
del sistema y evitar recurrencias. De igual manera, propone realizar acciones
preventivas para eliminar inconformidades potenciales de los requerimientos del
sistema y evitar su ocurrencia.
2.3 CONCLUSIONES.
Se observa que el estndar ISO/IEC 27001:2005, en el punto nmero 4 de su
contenido, propone la alineacin del SGSI con los objetivos de la organizacin,
y propone adems, contar con una poltica de seguridad en la cual se sealen
los requerimientos de seguridad. Maneja tambin, el desarrollo de un anlisis
de riesgos aunque no proporciona una metodologa especfica, slo hace
referencia a un documento que puede ser utilizado como gua para la seleccin
de una metodologa adecuada.
Los controles de seguridad que propone, son los establecidos en el anexo A, los
cuales corresponden al estndar ISO/IEC 17799:2005.
Asimismo, a lo largo del documento se hace mencin sobre el proceso de

monitoreo y mejora continua, el cual est basado en la metodologa PDCA y se
habla sobre ello de manera ms detallada en el ltimo punto del estndar.
29
CAPTULO III.
ENISA (EUROPEAN NETWORK AND INFORMATION
SECURITY AGENCY).
3.1 DESCRIPCIN.
La
Unin
Europea
cuenta
con
varias
agencias
especializadas
descentralizadas en apoyo a los estados Miembros y a los ciudadanos, las

cuales responden a la necesidad de hacer frente a nuevas tareas de carcter
jurdico, tcnico y cientfico. Las Agencias se agrupan en cinco categoras:
Agencias comunitarias.
Agencias de poltica exterior y de seguridad comn.
Agencias de cooperacin policial y judicial en materia penal.
Agencias ejecutivas.
Agencias y organismos de Euratom1.
Dentro de las agencias comunitarias se encuentra la Agencia Europea de

Seguridad en las Redes y de la Informacin (ENISA, European Network and
Information
Security Agency),
la
cual
funciona
como
un
centro
de
asesoramiento sobre cuestiones de seguridad en las redes y de la informacin,

tanto para los estados miembros, como para las instituciones de la Unin
Europea [8].
1
Euratom, Tratado de la Comunidad Europea de la Energa Atmica.
30
Las tareas de la ENISA son:
Asesorar y asistir a la Comisin y a los Estados miembros en materia de

seguridad de la informacin y en hacer frente a los problemas de
seguridad del material y de los programas informticos (hardware y
software) en contacto con el sector empresarial.
Recoger y analizar datos sobre las incidencias que se producen en Europa

en materia de seguridad.
Fomentar la evaluacin y los mtodos de gestin de los riesgos para

mejorar la capacidad de hacer frente a cualquier amenaza a la seguridad
de la informacin.
Intercambiar buenas prcticas en materia de sensibilizacin y fomentar la

cooperacin entre los diferentes actores en el mbito de la seguridad de la
informacin, especialmente potenciando en el mundo empresarial
acuerdos de asociacin entre el sector pblico y el privado.
Respaldar el establecimiento de normas para productos y servicios

relacionados con la sociedad de la informacin.
Para la materializacin de sus labores, la ENISA lleva a cabo una serie de

publicaciones, tales como conferencias o eventos de seguridad, buenas
prcticas en materia de equipos de respuesta a incidentes, buenas prcticas
para la concientizacin del personal, temas sobre antivirus, ingeniera social,
anlisis de riesgos, redes, entre otros.
Dentro de los documentos que se encuentran publicados en el sitio web de la

ENISA, no se cuenta con alguno que est orientado exclusivamente al
establecimiento de un SGSI, sin embargo, existe un sitio dedicado
completamente a la gestin del riesgo (Risk Management) en el cual se hace
mencin de los SGSI.
31
La ENISA considera la gestin del riesgo como la parte principal del SGSI, por
lo que en su sitio web publica amplia informacin del tema referido, en el cual
indica su importancia, describe su proceso, propone una estrategia para su
implementacin y cita diferentes metodologas y herramientas existentes.
El tema en el cual la ENISA hace referencia al SGSI dentro de su publicacin de

gestin de riesgos es Administracin de Riesgos y Sistemas de Gestin de
Seguridad de la Informacin (Risk Management and Information Security
Management Systems) [9], el cual a su vez, se divide en tres puntos:
La necesidad de un SGSI (The Need for ISMS).
Factores crticos de xito para los SGSI (Critical success factors for ISMS).
La estructura del SGSI (The ISMS Framework).
La necesidad de un SGSI. En este punto se hace hincapi sobre el hecho de

que la seguridad requiere de una administracin y no debe considerarse
nicamente como un tema puramente tcnico. La ENISA sustenta lo anterior en
datos estadsticos de expertos en seguridad, tales como el hecho de que un
administrador de seguridad invierte una tercera parte de su tiempo en aspectos
tcnicos y las otras dos terceras partes en aspectos administrativos como el
desarrollo de polticas y procedimientos, elaboracin de anlisis de riegos y
planes de continuidad del negocio, difusin sobre concientizacin de seguridad,
por
mencionar
algunos.
Asimismo,
seala
que
el
establecimiento,
mantenimiento y actualizacin de un SGSI provee un indicador de que una

organizacin
est
utilizando
un
enfoque
sistemtico
para
realizar
la
identificacin, evaluacin y gestin de los riesgos de seguridad de la

informacin.
Factores crticos de xito para los SGSI. Se menciona que un SGSI debe de
contar con lo siguiente para que sea efectivo:
32
Tener el compromiso inquebrantable del soporte por parte de la alta

gerencia de la organizacin.
Ser administrado de manera central, basado en una estrategia y una

poltica comunes para toda la organizacin.
Ser parte integral de la administracin completa de la organizacin, la cual

est relacionada al enfoque de gestin del riesgo, a los objetivos de
control y controles de seguridad y al grado de aseguramiento requerido.
Tener objetivos de seguridad y que las actividades estn alineadas a los

objetivos del negocio.
Llevar a cabo slo las tareas necesarias y evitar exceso de controles y de

recursos.
Cumplir de manera integral con la filosofa de la organizacin.
Basar el SGSI en capacitacin y concientizacin continuos del personal

que conforma a la organizacin.
Nunca considerar al proceso como terminado.
Se indica adems, que el establecimiento del SGSI involucra establecer la

estructura de gestin, implementar los controles seleccionados, documentar el
sistema, aplicar el control apropiado para la documentacin, y mantener
registros que demuestren su cumplimiento.
La estructura del SGSI. Se seala que el objetivo principal del SGSI es la

implementacin de medidas apropiadas para eliminar o minimizar el impacto de
las diferentes amenazas y vulnerabilidades de la organizacin. Manifiesta
adems, que no solamente el tamao de la organizacin sino sus actividades
especficas de negocio, dictan sus requerimientos de seguridad en un nivel
operacional, regulatorio y legal.
Se seala que las pequeas organizaciones con limitada infraestructura de

sistemas
de
informacin,
de
quienes
no
se
demanda
manejo
de
almacenamiento y procesamiento de datos personales o confidenciales,
33
muestran menores riesgos o riesgos de baja probabilidad de impacto. Por lo
que estas organizaciones estn orientadas a mantener un SGSI no
independiente y que forma parte de un proceso ms amplio de administracin
de riesgos.
Por otro lado, las grandes organizaciones como bancos e instituciones

financieras, de telecomunicaciones, hospitales e instituciones de salud y
pblicas o gubernamentales, tienen bastantes razones para manejar su
informacin de manera muy seria. Por lo tanto, los requerimientos legales y
regulatorios estn dirigidos al manejo de datos sensibles y personales, que
demandan de una mayor atencin y prioridad en la administracin de riesgos de
seguridad de la informacin. Por lo que la nica alternativa, es contar con el
desarrollo e implementacin de un proceso separado e independiente
denominado SGSI. En la figura 3.1 se muestran los 6 pasos para el desarrollo
de un SGSI que se manejan en el presente punto.
Framework, RM & ISMS, ENISA.
Figura 2. Estructura de un SGSI.
34
Los 6 pasos mostrados en la figura 2 son:
Definicin de la poltica de seguridad.
Definicin del alcance del SGSI.
Evaluacin del riesgo.
Administracin del riesgo.
Seleccin de los controles apropiados.
Declaracin de aplicabilidad.
Se establece que los procesos de evaluacin y administracin del riesgo,

conforman el corazn del SGSI y que el primero de ellos se transforma en
manejo de reglas y polticas de seguridad y el otro, transforma objetivos del
SGSI en planes especficos para la implementacin de controles y mecanismos
que minimicen vulnerabilidades y amenazas.
Los procesos y amenazas relativos a los pasos 5 y 6 (seleccin de controles

apropiados y declaracin de aplicabilidad) no son parte de los riesgos de
informacin. Los controles estn orientados a las acciones operativas que se
requieren para la implementacin tcnica, mantenimiento y control de las
medidas de seguridad.
Los controles de seguridad pueden ser derivados de conjuntos de controles y

mecanismos existentes
que
se
encuentran
incluidos comnmente en
estndares y guas de seguridad, o pueden ser el resultado de una combinacin

de controles propuestos para los requerimientos de una organizacin
especfica.
El ltimo paso, se refiere a la documentacin de los riesgos identificados y

aplicados a la organizacin con la implementacin tcnica de los mecanismos
de seguridad que la citada organizacin ha decidido utilizar.
35
Se indica adems, que los primeros pasos relativos a la definicin de la poltica
de seguridad y a la definicin del alcance del SGSI estn orientados a la
administracin y a temas estratgicos, mientras que los procesos de gestin de
riesgos son inherentes a la operacin del da a da.
3.2 CONCLUSIONES.
A pesar de que la ENISA carece de una publicacin en la que haga referencia
exclusivamente a los sistemas de gestin de seguridad de la informacin, en
uno de sus artculos se enfoca al tema de gestin de riesgos en el cual hace
mencin de la importancia de contar con un SGSI, de algunos factores que son
determinantes para su buen funcionamiento y describe su estructura.
La ENISA considera la gestin del riesgo (evaluacin y administracin) como la

parte principal de un SGSI, por lo que dedica una publicacin completa a la
evaluacin, tratamiento, aceptacin, monitoreo y revisin de riesgos; hace
mencin y describe diferentes metodologas y herramientas existentes para la
gestin de riesgos y su implementacin.
Si se hace referencia a la estructura de un SGSI, se observa que la informacin

que publica la ENISA, en su mayora est enfocada a buenas prcticas para la
implementacin de diferentes controles de seguridad y al anlisis de riesgos,
del cual propone una gestin completa y lo toma como base para la creacin de
polticas de seguridad y para realizar un monitoreo de los controles de
seguridad implementados.
36
CAPTULO IV.
NIST SP 800-53.
4.1 MARCO DE REFERENCIA.
El gobierno de los Estados Unidos de Amrica, en reconocimiento a la
importancia que tiene la seguridad de la informacin para los intereses de
seguridad nacional y econmicos de su pas, emiti en el ao 2002 la ley
Federal Information Security Management Act of 2002 (FISMA)1 en la que se
decretan las medidas que deben aplicarse con el fin de asegurar la informacin
y los sistemas de informacin federal. En esta ley se designa al Instituto
Nacional de Estndares y Tecnologa (NIST, National Institute of Standards and
Technology), para el desarrollo de estndares y guas de seguridad:
Estndares que sean utilizados por todas las agencias federales para que
lleven a cabo la categorizacin de su informacin y de sus sistemas de
informacin, basados en el objetivo de proveer niveles apropiados de
seguridad en la informacin de acuerdo a un rango de niveles de riesgo.
Guas que recomienden los tipos de informacin y sistemas de informacin

que deban ser incluidos en cada categora.
Los requerimientos mnimos de seguridad de la informacin para cada

categora de la informacin y sistemas de informacin.
Publicado en el ttulo III de la Public Law 107-347 del 17 de diciembre del 2002.
37
Los estndares y guas en los cuales se encuentran contenidos los lineamientos

para brindar seguridad a la informacin y a los sistemas de informacin federal
de los Estados Unidos de Amrica y que pretenden dar cumplimiento con lo
establecido en la ley FISMA, son el FIPS-199, FIPS-200 y NIST SP 800-53. El
estndar FIPS-199 sirve para determinar la categorizacin de seguridad de la
informacin y de los sistemas de informacin en una organizacin federal, el
FIPS-200 muestra los requerimientos de seguridad mnimos con los que debe
cumplir y el NIST SP 800-53 propone un conjunto de controles de seguridad
base para aplicar de manera apropiada. Los dos primeros estndares sirven de
referencia al NIST SP 800-53, siendo est ltimo el que propone un esquema
de administracin de controles de seguridad ms amplio.
A continuacin se har una breve revisin de los estndares FIPS-199 y FIPS200 antes de abordar la publicacin especial 800-53.
4.1.1.
FIPS-199.
El estndar FIPS-199 es la publicacin nmero 199 del NIST de los
Estndares
de
Procesamiento
de
Informacin
Federal
(Federal
Information Processing Standards), la cual se titula Standards for

Security Categorization of Federal Information and Information Systems
y tiene como objeto dar cumplimiento a lo establecido en FISMA de 2002
[10].
Las categoras de seguridad que establece el estndar estn basadas en

el impacto potencial que tendra una organizacin si ocurriera un evento
que ponga en peligro la informacin y los sistemas de informacin
necesarios para cumplir con su misin. Para ello, establece tres objetivos
de seguridad:
38
Confidencialidad (Confidentiality). Preservar restricciones autorizadas
en el acceso y revelacin de informacin, incluyendo los medios para la
proteccin de la privacidad de datos personales y la propiedad de
informacin. Define la prdida de confidencialidad como la revelacin no
autorizada de informacin.
Integridad (Integrity). Proteger contra la modificacin o destruccin

indebida de informacin, e incluye el aseguramiento de no repudio y
autenticidad de informacin. Una prdida de integridad es la modificacin
o destruccin no autorizada de informacin.
Disponibilidad (Availability). Asegurar el acceso y el uso de

informacin en tiempo y de manera confiable. La prdida de
disponibilidad es la interrupcin del acceso o uso de la informacin o de
un sistema de informacin.
FIPS-199 indica tres niveles de impacto potencial, para los cuales debe
existir una brecha de seguridad (prdida de confidencialidad, integridad o
disponibilidad).
Impacto potencial BAJO si, se espera que la prdida de confidencialidad,

integridad o disponibilidad tenga un efecto adverso limitado en las
operaciones, activos o en los individuos de la organizacin.
Impacto potencial MODERADO si, se espera que la prdida de

confidencialidad, integridad o disponibilidad tenga un efecto adverso
serio en las operaciones, activos o en los individuos de la organizacin.
Impacto potencial ALTO si, se espera que la prdida de confidencialidad,

integridad o disponibilidad tenga un efecto adverso
severo o
catastrfico en las operaciones, activos o en los individuos de la
39
organizacin.
El formato general que se utiliza para realizar la categorizacin de

seguridad en un tipo de informacin tipo de sistema de informacin es
el siguiente:
SCInformation
type or Information system type
= {(confidentiality, impact), (integrity,
impact), (availability, impact)}
Donde los valores aceptables para el impacto potencial son BAJO,

MODERADO, ALTO o NO APLICABLE para el caso de tipo de
informacin y BAJO, MODERADO o ALTO para el tipo de sistema de
informacin.
4.1.2. FIPS-200.
El estndar FIPS-200 Requerimientos de seguridad mnimos para
informacin y sistemas de informacin federal, al igual que FIPS-199,
tiene como objeto dar cumplimiento a lo establecido en FISMA de 2002
[11].
FIPS-200 cubre diecisiete reas relativas a seguridad con la intencin de

proteger la confidencialidad, integridad y disponibilidad de los sistemas
de informacin federal y la informacin que se procesa, almacena y
transmite por estos sistemas. Las diecisiete reas son las siguientes:
Control de Acceso (Access Control, AC).
Concientizacin y Entrenamiento (Awareness and Training, AT).
Auditora y responsabilidad (Audit and Accountability, AU).
Certificacin, Acreditacin y Evaluacin de Seguridad, (Certification,

Accreditation and Security Evaluation, CA).
Administracin de Configuraciones (Configuration Management, CM).
40
-
Planes de contingencia (Contingency Planning, CP).
Identificacin y Autenticacin (Identification and Authentication, IA).
Respuesta a Incidentes (Incident Response, IR).
Mantenimiento (Maintenance, MA).
Proteccin de Medios (Media Protection, MP).
Proteccin Fsica y del Entorno (Physical and Environmental

Protection, PE).
Planeacin (Planning, PL).
Seguridad en el Personal (Personnel Security, PS).
Evaluacin de Riesgos (Risk Assessment, RA).
Adquisicin
de
Sistemas
Servicios
(System
and
Services
Acquisition, SA).
-
Proteccin
de
Sistemas
Comunicaciones
(System
and
Communications Protection, SC).

-
Integridad en los Sistemas e Informacin (System and Information

Integrity, SI).
Los controles de seguridad que se seleccionen en la organizacin para

alcanzar los requerimientos de seguridad mnimos manejados en este
estndar, deben basarse en lo que se encuentra contenido en la
Publicacin Especial 800-53 del NIST.
4.2 NIST SP 800-53.

El NIST, como instituto que forma parte del Departamento de Comercio de los
Estados Unidos de Amrica, tiene como misin promover la innovacin y la
competitividad industrial a travs del progreso de la ciencia, estndares y
tecnologa, de tal manera que mejore la seguridad econmica y proporcione
calidad de vida [12].
Como ya se mencion anteriormente, la publicacin especial 800-53 del NIST
41
propone un conjunto de controles de seguridad con el fin de que sean
implementados en una organizacin para brindar proteccin a la informacin y a
los sistemas de informacin de tipo federal [13]. Para la organizacin y
estructura de los controles de seguridad que establece el NIST SP 800-53, se
utiliza una clasificacin de diecisiete familias de controles de seguridad
manejadas en el FIPS-200, a las cuales asigna un identificador de dos
caracteres, adems de incluirlas dentro de tres clases generales de seguridad:
de administracin, operacionales y tcnicos (Tabla 4.1).
Asimismo, para identificar un control de seguridad dentro de una familia de

controles, se le agrega un identificador numrico.
IDENTIFICADOR
FAMILIA
CLASE
AC
Control de Acceso
Tcnico
AT
Concientizacin y Entrenamiento
Operacional
AU
Auditora y Responsabilidad
Tcnico
CA
Evaluacin de Seguridad y Autorizacin
Administracin
CM
Administracin de Configuraciones
Operacional
CP
Planes de Contingencia
Operacional
IA
Identificacin y Autenticacin
Tcnico
IR
Respuesta a Incidentes
Operacional
MA
Mantenimiento
Operacional
MP
Proteccin de Medios
Operacional
PE
Proteccin Fsica y de Entorno
Operacional
PL
Planeacin
Administracin
PS
Seguridad en el Personal
Operacional
RA
Evaluacin de Riesgos
Administracin
SA
Adquisicin de Sistemas y Servicios
Administracin
SC
Proteccin de Sistemas y Comunicaciones
Tcnico
SI
Integridad del Sistema e Informacin
Operacional
Tabla 2. Identificadores, familias y clases de controles de seguridad.
La estructura de los controles de seguridad que maneja el NIST SP 800-53 est

conformada por cuatro secciones clave:
42
Seccin de Control. Provee un estado conciso de la capacidad de

seguridad especfica necesaria para proteger un aspecto particular de una
organizacin o sistema de informacin.
Seccin de Mejoras de Control. Proporciona estados de capacidad de

control para dar funcionalidad a un control bsico y/o para incrementar la
fortaleza de un control.
Seccin de Gua adicional. Provee informacin adicional y relativa al

control de seguridad especfico.
Seccin de Referencias. Incluye una lista de leyes federales aplicables,

rdenes ejecutivas, polticas, directivas, estndares y guas que son
relevantes para un control de seguridad particular o para una mejora de
control.
El NIST SP 800-53, encuadra al proceso de seleccin y especificacin de

controles de seguridad dentro de un programa de seguridad de la informacin
que se encuentra orientado a la administracin del riesgo. Para ello, establece
un Marco de Administracin del Riesgo (Risk Management Framework, RMF)
que cuenta con las siguientes actividades:
Categoriza (Categorize) el sistema de informacin y la informacin

procesada, almacenada y transmitida por el propio sistema, basado en un
anlisis de impacto del FIPS-199.
Selecciona (Select) un conjunto de controles de seguridad de referencia

para el sistema de informacin basado en la categorizacin de seguridad
del FIPS-199 y en los requerimientos mnimos de seguridad definidos en
el FIPS-200. Indica la adecuacin de los controles en base a una
evaluacin de riesgos y propone como gua la publicacin especial 800-30
43
Gua de Administracin de Riesgos para Sistemas de Tecnologas de
Informacin (Risk Management Guide for Information Technology
Systems).
Implementa (Implement) los controles de seguridad y describe cmo son

empleados en componentes de hardware, software o firmware especficos
del sistema de informacin.
Evala (Assess) los controles de seguridad utilizando procedimientos de

evaluacin apropiados para determinar que operen como se tiene previsto
y que produzcan los resultados deseados respecto a lo acordado en los
requerimientos de seguridad del sistema.
Autorizar (Authorize) la operacin del sistema de informacin basada en

una
determinacin
del
riesgo
para
los
activos
operaciones
organizacionales, individuos, otras organizaciones y la Nacin como

resultado de la operacin del sistema de informacin y la decisin de que
el riesgo es aceptable.
Monitorear (Monitor) los controles de seguridad en el sistema de

informacin en el que se incluya la evaluacin de la efectividad del control,
la documentacin de cambios en el sistema o en su entorno de operacin,
conducir los anlisis de impacto de seguridad de los cambios asociados y
reportar el estado de seguridad del sistema a las autoridades
organizacionales designadas.
La figura 4.1 ilustra las actividades especficas en el Marco de Administracin

del Riesgo, los estndares y guas asociados con cada actividad.
El paso 1 se refiere a la categorizacin del sistema de seguridad que establece

el estndar FIPS-199 y el cual se mencion anteriormente.
44
El paso 2 relativo a la seleccin de controles de seguridad, se encuentra
conformado a su vez por tres pasos:
Seleccionar los controles de seguridad de referencia iniciales.
Adaptar los controles de seguridad de referencia.
Complementar los controles de referencia adaptados.
NIST SP 800-53, Rev. 3.
Figura 3. Marco de Administracin de Riesgo (Risk Amanagement Framework).
Despus de que los controles de seguridad son implementados (paso 3 del

RMF), evaluados en efectividad (paso 4 del RMF) y el sistema de informacin
es autorizado (paso 5 del RMF) para entrar en operacin de acuerdo a la
estrategia de administracin de riesgo de la organizacin, se inician las
acciones especficas de seguimiento como parte de un programa continuo de
45
monitoreo (RMF paso 6). El programa de monitoreo continuo incluye una
evaluacin de la efectividad de los controles de seguridad para determinar si
existe la necesidad de modificar o actualizar el conjunto de controles actuales
basndose en cambios en el sistema o en su entorno de operacin.
4.3 CONCLUSIONES.
Las publicaciones del NIST consideran un esquema de administracin de
seguridad en los documentos FIPS-199, FIPS-200 y NIST SP 800-53, en los
cuales, el ltimo de ellos es el que menciona una estructura referenciada
principalmente en los controles de seguridad que deben ser implementados en
una organizacin de tipo gubernamental. La publicacin especial 800-53 tiene
como objetivo dar cumplimiento a ley establecida en el FISMA que tiene como
fin proteger la informacin y los sistemas de informacin de tipo federal,
asimismo, establece una organizacin y una estructura de controles de
referencia bien definida que debe servir a cualquier organizacin federal de los
Estados Unidos de Amrica. Por lo tanto, esta publicacin cumple con la parte
de alineacin con la misin de la organizacin. Por la parte de polticas, se
cuenta con lo establecido en la ley del FISMA para llevar a cabo la proteccin
de la informacin y los sistemas de informacin de tipo federal, y a pesar de que
no sea una propuesta especfica de elaboracin de polticas, puede ser
considerada como una poltica general en la cual se fundamentan todos los
esfuerzos de seguridad en las agencias federales.
En la parte de anlisis de riesgos se propone la utilizacin de la gua contenida

en la publicacin especial 800-30, la cual se encuadra dentro del marco de
administracin de riesgos que maneja el ciclo de mejora continua para llevar a
cabo el monitoreo de la efectividad de la aplicacin de los controles de
seguridad y su retroalimentacin con el fin de optimizar su empleo.
46
CAPTULO V.
DEPARTAMENTO DE DEFENSA DE LOS ESTADOS
UNIDOS DE AMRICA.
5.1 MARCO DE REFERENCIA.
El Departamento de Defensa de los Estados Unidos de Amrica (DoD), es un
departamento ejecutivo federal que tiene como responsabilidad proveer las
fuerzas militares necesarias para disuadir en la guerra y proteger la seguridad
del pas [14]. Las fuerzas militares citadas son el Ejrcito, la Marina, la Fuerza
Area y la Infantera de Marina (Army, Navy, Air Force and Marine Corps.). El
Secretario de Defensa ejerce autoridad, direccin y control sobre el DoD,
incluyendo la Oficina del Secretario de Defensa, el Presidente de la Junta de
Jefes de Estado Mayor, tres Departamentos Militares, nueve Comandos
Combatientes Unificados, el Inspector General del DoD, quince Agencias de
Defensa y siete Actividades de Campo del DoD.
La Oficina del Secretario de Defensa (Office of the Secretary of Defense, OSD)

es el elemento principal de personal del Secretario de Defensa en el ejercicio de
desarrollo de polticas, planeacin, administracin de recursos, fiscales y
programa de evaluacin de responsabilidades [15]. La OSD incluye Asistentes
del Secretario de Defensa, de los cuales, el Asistente del Secretario de Defensa
para Redes e Integracin de Informacin/Jefe de Informacin del DoD
(Assistant Secretary of Defense (Network and Information Integration)/DoD
Chief Information Officer, ASD (NII)/DoD CIO) es el encargado de asesorar,
47
entre otros asuntos, al Secretario y Subsecretario de Defensa en lo
concerniente a TI [16].
La Seccin 2224 del Ttulo 10 del Cdigo de los Estados Unidos, Establece que
el Secretario de Defensa de los Estados Unidos debe llevar a cabo un
Programa de Aseguramiento de Informacin de Defensa, el cual proteja y
defienda la informacin y sistemas de informacin del DoD, as como las redes
de informacin que son crticas para el Departamento y para las fuerzas
armadas durante las operaciones del da a da y en tiempo de crisis [17].
El programa de Aseguramiento de la Informacin tiene como objetivos proveer

continuamente de disponibilidad, integridad, autenticacin, confidencialidad, no
repudio y la rpida restitucin de la informacin y de los sistemas de
informacin que son elementos esenciales en la infraestructura de Informacin
de la Defensa.
Para ello, el ASD (NII)/DoD CIO cuenta con publicaciones de documentos

relacionadas al Aseguramiento de Informacin, en los cuales da cumplimiento a
lo establecido en la seccin 2224 del ttulo 10 del Cdigo de los Estados
Unidos, algunos de ellos son los siguientes:
Directiva del DoD 8500.01, Aseguramiento de la Informacin (Information

Assurance, IA) [18].
Instruccin del DoD 8500.2, Implementacin del Aseguramiento de la

Informacin (IA) [19].
El primer documento, tiene como propsito establecer las polticas y asignar

responsabilidades para lograr el aseguramiento de informacin del DoD a
travs de un enfoque de defensa en profundidad que integre las capacidades
de personal, operaciones y tecnologa.
48
El segundo documento implementa las polticas establecidas en el primero,
asigna responsabilidades y prescribe procedimientos para proporcionar
proteccin integral a los sistemas de informacin y redes del DoD. A
continuacin se describen cada uno de los citados documentos:
5.2 DIRECTIVA DEL DoD 8500.01.

La directiva contiene 26 polticas generales en las que se indica lo siguiente:
1.
Los requerimientos de IA deben ser identificados e incluidos en el diseo,

adquisicin, instalacin, operacin, actualizacin o reemplazo de todos los
sistemas de informacin del DoD.
2.
Todos los sistemas de informacin deben mantener un nivel apropiado de

confidencialidad, integridad, autenticidad, no repudio y disponibilidad, que
refleje un balance entre la importancia y sensibilidad de la informacin y
los activos informticos; amenazas y vulnerabilidades documentadas;
fiabilidad de usuarios y sistemas de interconexin; el impacto del deterioro
o destruccin de los sistemas de informacin y la efectividad del costo.
Para propsitos del IA, todos los sistemas de informacin del DoD deben
ser organizados y administrados en cuatro categoras: aplicaciones de
sistemas de informacin automatizados (Automated Information System
Application,
AIS
Application),
enclaves1,
procesos
basados
en
outsourcing de TI y plataforma de interconexin de TI.
3.
El IA debe ser un elemento visible de todos los portafolios de inversin

incorporando sistemas de informacin propios del DoD o controlados, para
incluir procesos de negocio de outsourcing soportados por sistemas de
informacin del sector privado y tecnologas de outsourcing.
Enclave: coleccin de entornos de cmputo interconectados por una o ms redes internas bajo el
control de una sola autoridad y poltica de seguridad.
49
4.
La interoperabilidad e integracin de soluciones de IA dentro de o

soportando al DoD, deben ser alcanzadas a travs de la incorporacin a
una arquitectura que permita la evolucin de guerra de red centralizada,
manteniendo consistencia con el Comando, Control, Comunicaciones,
Cmputo,
Inteligencia,
Vigilancia,
Marco
de
Arquitectura
de
Reconocimiento, y un enfoque de defensa en profundidad.

5.
El DoD debe organizar, planear, evaluar, entrenar y conducir la defensa de

sus redes de cmputo como operaciones de defensa de red de cmputo
(Computer Network Defense, CND) las cuales son coordinadas a travs
de mltiples disciplinas.
6.
El IA debe ser monitoreado, reportado y evaluado como un elemento

distinguible de la misin a travs de todos sus componentes y debe ser
validado por el CIO del DoD.
7.
A todos los sistemas de informacin les debe ser asignada una categora
de aseguramiento de la misin que est directamente asociada con la
importancia de la informacin que contienen, la cual est relacionada al
alcance de las metas y objetivos, particularmente a la misin de combate.
8.
El acceso a todos los sistemas de informacin debe ser basado en una

necesidad demostrada y garantizada de acuerdo con las leyes aplicables
del DoD.
9.
Para el personal extranjero y representantes de naciones extranjeras,

coaliciones y organizaciones internacionales, pueden ser autorizados para
acceder a los sistemas de informacin del DoD que contienen informacin
clasificada o informacin sensible slo bajo las condiciones establecidas
por el DoD.
10. Los usuarios externos al DoD, deben mostrar siempre su afiliacin.
50
11. El acceso a sitios web del DoD, deben ser estrictamente controlado por el
propietario del sitio web utilizando medidas tcnicas, operacionales o de
procedimientos.
12. Los sistemas de informacin del DoD deben regular el acceso remoto y el
acceso a Internet empleando controles tcnicos, tales como servicios de
proxy y zonas desmilitarizadas (DMZ).
13. Todos los sistemas de informacin del DoD deben ser certificados y
acreditados de acuerdo con las instrucciones del DoD.
14. Todas las interconexiones de los sistemas de informacin del DoD deben
ser administradas para minimizar los riesgos.
15. Todos los sistemas de informacin del DoD deben cumplir con la gua de
puertos y protocolos del DoD y administracin de procesos como se
encuentre establecido.
16. El conducto de todas las actividades de seguridad de comunicaciones del
DoD, incluyendo la adquisicin de productos, debe ser de acuerdo a las
Directivas establecidas por el mismo departamento.
17. Todo el hardware, firmware y componentes de software o productos del IA
incorporados dentro de los sistemas de informacin del DoD deben
cumplir con los requerimientos de evaluacin y validacin de la Poltica de
Seguridad de Sistemas de Informacin y Telecomunicaciones de
Seguridad Nacional Nmero 11.
18. Todos los productos de TI del IA incorporados dentro de los sistemas de
informacin del DoD deben ser configurados de acuerdo a las guas de
configuracin de seguridad aprobadas por el DoD.
19. Los productos de software de dominio pblico y otros productos de
51
software que no poseen garanta o poseen garanta limitada, solamente
deben ser usados en sistemas de informacin del DoD para cumplir los
requerimientos operacionales.
20. Los sistemas de informacin del DoD deben ser monitoreados en base a
la categora de aseguramiento de la misin asignada y a la evaluacin del
riesgo para impedir, detectar y reaccionar a intrusiones, interrupcin de
servicios u otros incidentes que amenacen las operaciones del DoD o los
recursos de TI, incluyendo el mal uso interno.
21. Las vulnerabilidades de los sistemas de informacin del DoD que sean
detectadas, deben ser evaluadas de acuerdo al impacto del DoD y deben
tener un seguimiento y ser mitigadas conforme a las soluciones del
departamento.
22. Todo el personal autorizado para acceder a los sistemas de informacin
del DoD, debe ser capacitado adecuadamente conforme a las polticas del
DoD.
23. Los individuos deben ser notificados de sus derechos de privacidad y
responsabilidades de seguridad conforme a lo establecido en el DoD.
24. Las tecnologas mviles deben ser categorizadas y controladas para
reducir amenazas a los sistemas de informacin de acuerdo a lo
establecido en el DoD.
25. Una autoridad designada debe ser la encargada de la operacin de cada
sistema de informacin del DoD, incluyendo sistemas de informacin
soportados por el sector privado y tecnologas de informacin contratadas
con organizaciones externas.
26. Todos los sistemas de voz y radio, incluyendo servicios de telefona celular
y servicios comerciales, deben ser protegidos de acuerdo a la clasificacin
y sensibilidad de la informacin transmitida en el sistema.
52
5.3 INSTRUCCIN DEL DoD 8500.2, IMPLEMENTACIN DEL IA.

El documento Department of Defense, Instruction 8500.2, se encuentra
conformado por la propia instruccin y cuatro apartados, de los cuales, los
apartados 3 y 4 describen la implementacin del programa de IA. El apartado 3
provee una visin general del programa de IA del DoD.
El programa de IA se manifiesta a travs de cinco competencias esenciales, las

cuales son el sello distintivo de cualquier programa de administracin de
riesgos exitoso:
La posibilidad de evaluar necesidades de seguridad y capacidades.
La capacidad de desarrollar un propsito de diseo de seguridad o

configuracin que se adhiera a una arquitectura comn y maximice el uso
de servicios comunes.
La capacidad de implementar los controles o salvaguardas requeridos.
La capacidad de probar y verificar.
La capacidad de administrar cambios en una referencia mnima

establecida y de una manera segura.
La integracin del IA se lleva a cabo a travs de mltiples sistemas de

informacin, los cuales aseguran el cumplimiento con los controles federales y
del IA del DoD. Para propsitos de administracin del IA, los sistemas de
informacin del DoD se organizan dentro de cuatro categoras:
Aplicaciones de Sistemas de Informacin Automatizados (Automated

Information System, AIS).
Enclaves.
Procesos basados en Outsourcing de TI.
Plataforma de TI.
53
Aplicaciones de AIS. Una aplicacin de un AIS es el producto o entregable de

un programa de adquisicin de TI, el cual tiene fcilmente identificados los
requerimientos de seguridad que deben ser dirigidos como parte de la
adquisicin. Estos requerimientos son establecidos de acuerdo a su categora
de seguridad de la misin, a la clasificacin o sensibilidad de la informacin y a
la necesidad de conocimiento (need-to-know)2.
Enclaves. Un enclave es definido por el DoD como una coleccin de entornos

de cmputo que est conectada por una o ms redes internas y se encuentra
bajo el control de una sola autoridad y una poltica de seguridad. Ejemplos de
estos incluyen a las redes de rea local y sus aplicaciones AIS operacionales,
backbones de redes y centros de procesamiento de datos. Los enclaves del
DoD entregan capacidades estndares de IA, tales como defensa perimetral,
respuesta y deteccin de incidentes y administracin de llaves. Tambin
entregan aplicaciones comunes como automatizacin de oficina y correo
electrnico.
Procesos basados en Outsourcing de TI. Incluyen procesos de negocio

soportados por sistemas de informacin del sector privado, tecnologas de la
informacin y servicios de informacin contratados con organizaciones
externas. Estos procesos pueden proporcionar funcionalidad asociada con una
aplicacin, un enclave, una plataforma de TI o una combinacin de estos.
Plataforma de Interconexin de TI. Plataforma de TI se refiere a recursos de

cmputo, software y hardware que son fsicamente parte de, estn dedicados a
o son esenciales en tiempo real al desempeo de la misin de sistemas de
propsito especial tales como armas, simuladores de entrenamiento, pruebas
de diagnstico y mantenimiento de equipo, calibracin de equipo, equipo
Trmino que se utiliza para indicar quines son las entidades autorizadas para conocer alguna
informacin.
54
utilizado en la investigacin y en el desarrollo de sistemas de armas,
tecnologas mdicas, vehculos de transporte, construcciones y utilidades de
sistemas de distribucin, tales como agua y energa elctrica.
Asimismo, el programa de IA se encuentra conformado por las siguientes

partes:
Programa de Coordinacin. Es efectuado por la Oficina del Sub-Asistente del

Secretario de Defensa para las Operaciones de Seguridad e Informacin a
travs de una Oficina del Programa de Aseguramiento de la Informacin para
toda la Defensa (DIAP).
Controles de IA. El Programa de IA de Defensa establece un conjunto de

Controles de IA de referencia que son aplicados a todos los sistemas de
informacin del DoD. Los Controles de IA del DoD son proporcionados en el
apartado 4. Cada control es identificado de manera nica y es catalogado
formalmente; puede ser referenciado, medido y reportado en todo el ciclo de
vida de un sistema de informacin del DoD.
Evaluacin y revisin de la gestin del IA. Indica la obligacin que tienen las
Agencias y Departamentos Federales para incluir planes de adquisicin de
recursos para el IA.
Marco Tcnico del IA. Bajo el liderazgo de la NSA3 y en asociacin con el
NIST, los ingenieros en seguridad de sistemas, propietarios y usuarios de
sistemas, cientficos, investigadores, vendedores de productos y servicios y
representantes de estndares y otros consorcios trabajan juntos para mantener
el Marco Tcnico de Aseguramiento de Informacin (Information Assurance
Technical Framework, IATF). El IATF es una gua de referencia comn para
aplicar adecuada y apropiadamente la tecnologa del IA conforme a los
3
Agencia Nacional de Seguridad, National Security Agency, NSA.
55
principios de la arquitectura de defensa en profundidad descritos a
continuacin:
Defensa tcnica en mltiples localidades.
Defensas tcnicas de capas. Maneja la implementacin de mltiples

mecanismos de defensa entre el adversario y el objetivo.
Robustez
especfica.
Se
implementa
un
nivel
de
fortaleza
de
confidencialidad de acuerdo al valor que se est protegiendo y la

amenaza. Los niveles de robustez manejados son Alta, Media y Baja
robustez de mecanismos y servicios de seguridad.
Evaluacin y especificacin de productos. Las especificaciones para la

implementacin de productos de TI para el IA se proporcionan en forma de
perfiles de proteccin.
Especificacin
de
Configuracin
de
Seguridad.
Se
proporcionan
especificaciones para la implementacin de seguridad en la configuracin de los

productos de TI del IA a travs de guas desarrolladas por la NSA.
Administracin de Conexiones. Se administra lo relativo a conflictos y

decisiones de conexin en la Red del Sistema de Informacin de la Defensa
(Defense Information System Network, DISN).
Defensa de Red en cmputo. Establece la responsabilidad que tiene el

Comandante del Comando Estratgico de los Estados Unidos para coordinar y
dirigir las operaciones de Defensa de Red en Cmputo (CND).
Infraestructura de administracin de llave. Proporciona un proceso unificado

para la administracin de productos criptogrficos.
Servicios de Soporte del IA. Se proporciona soporte y mantenimiento al IA a
56
travs de recursos basados en web.
En el apartado nmero 4 de la Instruccin 8500.2 se establecen los niveles

mnimos de seguridad de la informacin para los controles especficos del IA de
cada sistema.
La asignacin de controles se realiza de acuerdo a la categora de seguridad de

la misin y al nivel de confidencialidad. Las Categoras de Seguridad de la
Misin (Mission Assurance Category, MAC) son tres:
MAC I. Los sistemas requieren integridad alta y disponibilidad alta.
MAC II. Los sistemas requieren Integridad alta y disponibilidad media.
MAC III. Los sistemas requieren integridad y disponibilidad bsicas.
Los niveles de confidencialidad son:
Informacin clasificada.
Informacin sensible.
Informacin pblica.
Los niveles de referencia de aseguramiento de la informacin se establecen a

partir de las nueve combinaciones de los niveles de confidencialidad con las
MAC. Un Control de IA describe una condicin de objetivo de IA para ser
alcanzada a travs de la aplicacin de salvaguardas especficos o de la
regulacin de actividades especficas. La condicin de objetivo puede ser
probada, su cumplimiento es medible y las actividades requeridas para alcanzar
el control de IA son asignables y por lo tanto cuentan con responsabilidad.
Un Control de IA est conformado por: tema, nmero, nombre y texto. Los

posibles temas se indican en la siguiente tabla:
57
Abreviacin
Nombre del tema.
DC
Diseo y Configuracin de Seguridad
IA
Identificacin y Autenticacin
EC
Enclave y Entorno de Cmputo
EB
Defensa Perimetral de Enclave
PE
Fsica y Entorno
PR
Personal
CO
Continuidad
VI
Administracin de Vulnerabilidades e Incidentes

Tabla 3. Temas de Control de IA.
5.4 CONCLUSIONES.
El DoD cuenta con un sistema de gestin de seguridad de la informacin bien
definido a travs de diferentes documentos en los que se establecen las
polticas de seguridad, y el programa de aseguramiento de la informacin. No
Implementa explcitamente una metodologa de anlisis de riesgos, sin
embargo, aplica cinco competencias esenciales que segn el programa de IA,
son parte de cualquier programa de administracin de riesgos. Implementa
controles de seguridad mnimos categorizados de acuerdo a los diferentes
niveles de seguridad y clasificacin de la informacin y sistemas de informacin
existentes en la organizacin. Adicionalmente, se apoya del NIST y la NSA para
algunos de los aspectos de implantacin de su sistema de gestin.
Dentro del programa de aseguramiento de la informacin se cuenta con un

proceso de revisin y evaluacin en el cual se realiza la parte de monitoreo de
seguridad de un SGSI.
58
CAPTULO VI.
COMPARATIVA DE LOS SISTEMAS DE GESTIN DE
SEGURIDAD INFORMTICA.
6.1. DESCRIPCIN.
En este captulo se pretenden sealar los diferentes aspectos de seguridad que
conforman a cada uno de los documentos que fueron revisados en el presente
trabajo, con el fin de que sean plasmados en una comparativa que sirva de
referencia al administrador de seguridad de la informacin de una organizacin,
para llevar a cabo la seleccin de estos aspectos y su implementacin en un
SGSI.
6.2. PARMETROS DE COMPARACIN.

Para llevar a cabo la elaboracin de la comparativa se tomarn los siguientes
parmetros de comparacin que, de alguna manera, son comunes a los
documentos revisados y forman parte de un SGSI:
Alcance. Define el mbito hacia donde se encuentra orientado el SGSI.

Puede ser para organizaciones de tipo comerciales, gubernamentales,
militares, sin fines de lucro, privadas, etc.
59
-
Evaluacin de riesgos. Se describe el tipo de metodologa que se utiliza

para realizar el anlisis de riesgos, puede ser propia del SGSI o adoptada
de otro tipo de estndar o institucin.
Poltica de seguridad. Se menciona si existe o se propone una poltica de

seguridad y de qu manera se lleva a cabo.
Proceso de gestin. Describe el proceso a travs del cual se lleva a cabo

la implementacin del SGSI.
Controles de seguridad. Se mencionan las familias o categoras de los

controles de seguridad que utiliza el SGSI.
6.3. ALCANCE.
El alcance que contemplan cada uno de los documentos revisados, es el
siguiente:
ISO/IEC 27001:2005. Se encuentra orientado a todo tipo de organizaciones,

privadas, gubernamentales, comerciales, etc. Es un estndar de aplicacin
general.
ENISA. La informacin que publica ENISA en su portal, est dirigida a todo tipo
de instituciones de la Unin Europea, aunque no cuenta con un sistema de
gestin propio y la informacin publicada est basada en la ISO/IEC
27001:2005.
NIST SP 800-53. Est dirigido a todas las instituciones gubernamentales de los

Estados Unidos de Amrica.
Directiva 8500.01 e Instruccin 8500.02 del DoD. Se encuentran orientados

hacia organizaciones militares, especficamente para las reas que conforman
60
al Departamento de Defensa de los Estados Unidos de Amrica.
A continuacin se muestra la tabla 6.1 con la comparativa de los diferentes

alcances que tienen los documentos revisados.
DOCUMENTO DE SGSI
ALCANCE
ISO/IEC 27001:2005
Todo tipo de organizaciones.
ENISA
Todo tipo de organizaciones de los Estados Miembros de

la Unin Europea.
NIST SP 800-53
Organizaciones gubernamentales de los Estados Unidos

de Amrica.
DoD
Departamentos,
oficinas,
agencias
todas
las
organizaciones que conforman el Departamento de

Defensa de los Estados Unidos de Amrica.
Tabla 4. Comparativa del alcance de los SGSI.
6.4. EVALUACIN DE RIESGOS.

Las metodologas de anlisis de riesgos que utilizan los diferentes documentos
revisados son las siguientes:
ISO/IEC 27001:2005. Hace mencin sobre la evaluacin de riesgos y propone

el empleo del ISO/IEC TR 13335-3 como referencia para la implementacin de
una metodologa. No cuenta con una metodologa propia.
ENISA. Indica los conceptos generales sobre evaluacin de riesgos y menciona

diferentes metodologas que son conocidas a nivel internacional.
NIST SP 800-53. Describe la forma en que se debe implementar la evaluacin

de riesgos y hace referencia a la publicacin especial 800-30 en la que se
encuentra la metodologa detallada.
61
DoD. No cuenta con una metodologa de anlisis de riesgos, en cambio, se
basa en cinco competencias esenciales que forman parte de cualquier
programa de administracin de riesgos.
DOCUMENTO DE SGSI
METODOLOGA PROPIA
OBSERVACIONES.
DE ANLISIS DE RIESGOS
ISO/IEC 27001:2005
Propone la revisin de la ISO/IEC

27005.
ENISA
No
Proporciona informacin general y

muestra algunas metodologas.
NIST SP 800-53
Cuenta
con
una
metodologa
descrita en NIST SP 800-30.

DoD
No
Establece
esenciales
cinco
para
competencias
realizar
la
administracin de riesgos
Tabla 5. Comparativa de metodologa de anlisis de riesgos.
6.5. POLTICA DE SEGURIDAD.

En este rubro se considera la proposicin de polticas o el cumplimiento de una
poltica establecida para llevar a cabo el SGSI. Las polticas son consideradas
en los SGSI estudiados como se indica a continuacin:
ISO/IEC 27001:2005. Propone la elaboracin de polticas como parte de los

controles de seguridad. Debido a que es un estndar de referencia, hace
mencin de que debe existir una poltica de seguridad de la informacin, por lo
que no cuenta con una poltica en la cual se deba apegar especficamente.
ENISA. No cuenta con una poltica de seguridad en la cual se deba apegar y

debido a que no establece un SGSI, slo hace referencia a la ISO/IEC
27001:2005.
62
NIST SP 800-53. El NIST es un documento que tiene como intencin dar
cumplimiento a la ley FISMA, en la cual se establece la poltica de seguridad de
la Informacin para las organizaciones gubernamentales de los Estados Unidos
de Amrica.
DoD. El DoD da cumplimiento a la Seccin 2224 del Ttulo 10 del Cdigo de los
Estados Unidos de Amrica a travs de la Directiva 8500.01, en la cual
establece las polticas de seguridad de la informacin
DOCUMENTO DE SGSI
POLTICA DE
OBSERVACIONES.
SEGURIDAD
ISO/IEC 27001:2005
Propone la implementacin de la poltica de

seguridad e indica la manera de realizarla.
ENISA
No
Slo recomienda basarse en la ISO/IEC

27001:2005.
NIST SP 800-53
Comprendida en la ley FISMA 2002 de E.U.A.
DoD
Contenida en la Directiva 8500.01
Tabla 6. Comparativa de implementacin de polticas de seguridad.
6.6. PROCESO DE GESTIN.

En el proceso de gestin se definen los pasos generales a seguir para la
implementacin, mantenimiento y mejora del SGSI. A continuacin se
mencionan los procesos de gestin para cada uno de los documentos
revisados:
ISO/IEC 27001:2005. El proceso se encuentra basado en el modelo de mejora

continua PDCA, en el cual se establecen cuatro fases principales: establecer y
administrar; implementar y operar; monitorear y revisar; y mantener y mejorar.
La ENISA no cuenta con un proceso de gestin y slo hace referencia al

ISO/IEC 27001:2005.
63
NIST SP 800-53. El proceso de gestin se establece en el Marco de

Administracin del riesgo. Considera 6 pasos para realizar su implementacin.
DoD. El DoD no cuenta con un proceso de gestin especfico, no obstante

utiliza las cinco competencias esenciales para llevar a cabo la administracin
del riesgo y enfoca la administracin del programa de IA en los sistemas de
informacin del DoD, los cuales se dividen en cuatro categoras.
DOCUMENTO DE SGSI
PROCESO DE
OBSERVACIONES.
GESTIN
ISO/IEC 27001:2005
Utiliza la metodologa PDCA.
ENISA
No

27001:2005.
NIST SP 800-53
Implementa el proceso a travs del Marco de

Administracin del Riesgo.
DoD
No
Se basa en las cinco competencias esenciales

de la administracin del riesgo y se enfoca en
los sistemas de informacin del DoD.
Tabla 7. Comparativa de procesos de gestin.
6.7. CONTROLES DE SEGURIDAD.

Los controles de seguridad de la informacin son los salvaguardas que se
utilizan para llevar a cabo el cumplimiento de las polticas de seguridad que
establece la organizacin. Para cada uno de los documentos de SGSI
revisados los controles de seguridad son considerados de la siguiente manera:
ISO/IEC 27001:2005. Establece en su anexo A 11 categoras de seguridad, 38

objetivos de control y 133 controles de seguridad.
ENISA. Nuevamente hace referencia a la ISO/IEC 27001:2005.
64
NIST SP 800-53. Cuenta con 17 familias de controles de seguridad basados en

tres clases de controles: operacionales, tcnicos y administrativos.
DoD. Establece en su apartado nmero 4, los controles de seguridad mnimos

que deben aplicarse en los sistemas de informacin del DoD, los cuales estn
basados en cuatro tipos de sistemas de informacin. Adems, los controles
deben considerar las categoras de seguridad de la misin y los niveles de
confidencialidad de la informacin.
DOCUMENTO DE SGSI
CONTROLES DE
OBSERVACIONES.
SEGURIDAD
ISO/IEC 27001:2005
11 Categoras de seguridad, 38 objetivos de

control y 133 controles.
ENISA
No

27001:2005.
NIST SP 800-53
17 familias de controles de seguridad divididos

en tres clases (Administrativos, tcnicos y
operacionales).
DoD
No
Recomienda
los
controles
mnimos
de
seguridad a implementar en los sistemas de

informacin
del
DoD,
basados
en
tres
categoras de la misin y en tres niveles de

confidencialidad de la informacin.
Tabla 8. Comparativa de controles de seguridad.
6.8 CONCLUSIONES.
Los documentos revisados en el presente trabajo, muestran diferentes maneras
de implementar un SGSI en una organizacin. Mientras el ISO/IEC 27001:2005
es un documento que se encuentra orientado a cualquier tipo de organizacin,
los documentos del NIST SP 800-53 y la Instruccin 8500.02 del DoD estn
enfocadas a organizaciones especficas de tipo gubernamental la primera y de
tipo militar la segunda. Estos ltimos documentos, cuentan con caractersticas
65
muy especficas que se encuentran orientadas al tipo de funciones que realizan
y a la informacin que manejan.
66
CONCLUSIONES.
En la revisin de los documentos mencionados en el presente trabajo, se observan
diferentes maneras de implementar un SGSI en una organizacin, las cuales
dependen, entre otras cosas, del tipo de alcance que establezca el documento, la
forma de evaluar los riesgos, los controles de seguridad y su manera de
implementarlos, as como el proceso de gestin del sistema en el cual se consideran
fases para planear, establecer, implementar, revisar y mejorar el SGSI.
Los resultados obtenidos en la revisin de los documentos de SGSI, pueden ser

utilizados como gua por un administrador de seguridad de la informacin, para llevar
a cabo la materializacin de un SGSI; todo depender de las necesidades propias de
seguridad de la organizacin. Deber considerar el tipo de informacin que maneja,
su clasificacin y categorizacin, el objetivo y misin de la organizacin en la que
pretende implementar el SGSI, la necesidad de realizar una evaluacin de riesgos o
si partir de la implementacin de controles mnimos de seguridad, as como las
fases que deber establecer para llevar a cabo el proceso de gestin del sistema.
Estos factores sern determinantes para realizar la seleccin del SGSI, el cual puede
tomar como referencia un documento completo de SGSI, o establecer su propio
SGSI a partir de diversos componentes de ms de un documentos.
Como se mencionaba en el esquema europeo, es recomendable que el proyecto de

gestin de la seguridad de la informacin se implemente bajo un esquema dedicado
e independiente, siempre y cuando el tipo de organizacin cuente con sistemas de
informacin cuya importancia sea evidente para la organizacin.
67
Asimismo, el enfoque del NIST al proponer controles de base (mnimos necesarios)
para un sistema de gestin, es relevante pensando en que un sistema de gestin se
inscribe en un ciclo de mejora continua, como lo refieren los estndares ISO, y por lo
tanto se espera que se mejore o adecue conforme los cambios (amenazas,
vulnerabilidades, nuevas tecnologas, etc.) del entorno lo demanden.
Es importante sealar que estos cambios del entorno deben ser monitoreados
continuamente mediante un esquema de anlisis y gestin de riesgos.
68
RECOMENDACIONES.
Los documentos revisados en el presente trabajo fueron seleccionados por el autor
utilizando un criterio en el cual se consideraron diferentes mbitos de organizaciones,
tratando de que fueran representativos para los objetivos establecidos. Asimismo, los
documentos fueron revisados de tal manera que presentaran informacin general y
que sirvieran como una gua para llevar a cabo la seleccin de los componentes que
permitan el establecimiento de un SGSI en una organizacin, pero sin profundizar
demasiado en cada uno de sus aspectos. Por lo tanto, se recomienda que para aquel
administrador que tome como referencia el presente trabajo, realice una revisin
detallada de los componentes que por su importancia para la organizacin, requieran
ser implementados como parte de un SGSI.
69
REFERENCIAS BIBLIOGRFICAS.
[1]
Fernndez-Medina Patn Eduardo, Seguridad de las Tecnologas de la

Informacin, Ediciones AENOR (Asociacin Espaola de Normalizacin y
Certificacin), Espaa, 2003.
[2]
Huerta, Antonio Villaln. Seguridad en Unix y Redes (Versin 1.2).
[3]
RFC 1244, Site Security Handbook. J. Reynolds - P Holbrook, Julio 1991.
[4]
Universidad de Oriente (UNIVO), El Salvador. Manual de normas y polticas de

seguridad informtica.
[5]
Gestin del riesgo: Principios de implementacin de herramientas y mtodos

para la evaluacin y gestin del riesgo para inventarios, Agencia de Redes y
Seguridad de la Informacin de la Unin Europea (ENISA), 2006.
[6]
ISO/IEC 27001:2005, Information Technology -- Security techniques -Information security management systems Requirements, Organizacin
Internacional para la Estandarizacin/Comisin electrotcnica Internacional,
ISO/IEC ao 2005.
[7]
International Organization for Standardization, International Standards for

Business, Government and Society, By TC, JTC 1 Information Technology, SC
27.
[9]
Risk Management: Implementation principles and Inventories for Risk

Management/Risk Assessment methods and tools, Technical Department of
ENISA Section Risk Management, June 2006.
[10] Standards for Security Categorization of Federal Information and Information

Systems, Federal Information Processing Standards Publication 199 (FIPS199), Computer Security Division, Information Technology Laboratory, National
Institute of Standards and Technology, February 2004.
[11] Minimum Security Requirements for Federal Information and Information
Systems, Federal Information Processing Standards Publication 200 (FIPS200), Computer Security Division, Information Technology Laboratory, National
Institute of Standards and Technology, March 2006.
[13] NIST Special Publication 800-53 Revision 3, Recommended Security Controls
70
for Federal Information Systems and Organizations, National Institute of
Standards and Technology, U.S. Department of Commerce, Computer Security
Division, Information Technology Laboratory, Join Task Force, Transformation
Initiative, June 2009.
[16] Department of Defense Directive, Number 5144.1, Deputy Secretary of Defense,
May 2, 2005. United States of America.
[17] Defense Information Assurance Program, Section 2224, Chapter 131, Part IV,
Subtitle A, Title 10, United States Code, January 8, 2008.
[18] Information Assurance (IA) Department of Defense Directive Number
8500.01E, October 24, 2002, Certified Current as of April 23, 2007, ASD
(NII)/DoD CIO.
[19] Information Assurance (IA) Implementation, Department of Defense Instruction
Number 8500.2, February 6, 2003.
71
REFERENCIAS CIBEROGRFICAS
[8]
Portal de la Unin Europea, Agencias de la Unin Europea, Agencias

Comunitarias, ENISA. (Consultada en junio de 2009). Disponible en:
http://europa.eu/agencies/community_agencies/enisa/index_es.htm.
[12] www.nist.gov/public_affairs/general2.htm.
[14] The Department of Defense Organizational Structure, Organization and
functions guide, Director of Administration & Management, Office of the
Secretary of Defense, updated March 2008. (Consultado en junio de 2009).
Disponible en: http://www.defenselink.mil/odam/omp/pubs/GuideBook/DoD.htm.
[15] Office
of
the
Secretary
of
http://www.defenselink.mil/osd/.
Defense,
June
2009.
Disponible
en:

Revisión de Normas y Estándares de Sistemas de Gestión de Seguridad de La Información

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Revisión de Normas y Estándares de Sistemas de Gestión de Seguridad de La Información

Uploaded by

Copyright:

Available Formats

INSTITUTO POLITCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA

SECCIN DE ESTUDIOS DE POSGRADO E INVESTIGACIN

REVISIN DE NORMAS Y ESTNDARES DE SISTEMAS DE GESTIN DE

Trabajo que para obtener el grado de

Ing. Fernando Alcntar Hernndez

Ciudad de Mxico, Junio de 2009

ACTA DE REVISIN DE TESINA

CARTA DE CESIN DE DERECHOS

Al Dr. Jos de Jess Vzquez Gmez:

Figura 1. Modelo PDCA aplicado a los procesos SGSI. .................................................... 15

Tabla 1. Controles de seguridad en ISO/IEC 27001............................................................ 25

En el primer captulo se define el Sistema de Gestin de Seguridad de la

En el captulo dos se describe el estndar internacional ISO 27001, el cual es de

La Agencia de Seguridad de la Informacin de la Unin Europea (European Network

La Publicacin Especial 800-53 del Instituto Nacional de Estndares y Tecnologa

En el quinto captulo se habla sobre documentacin existente en el Departamento de

Posteriormente se elabora una comparativa de los documentos revisados en los

Revisar normas y estndares nacionales y/o internacionales relativos a Gestin

Sealar las caractersticas ms sobresalientes de cada uno de los documentos

Elaborar una comparativa en la que se sealen las diferencias entre los

En este sentido, hoy en da existen diferentes soluciones o controles que brindan

La administracin de los recursos y esfuerzos invertidos en la proteccin de los

Gobierno Corporativo. El gobierno corporativo puede ser entendido

Gobierno de TI. El gobierno de TI tiene como objetivo la alineacin del

Gobierno de Seguridad en TI. El proceso de gobierno de seguridad de TI

El gobierno de seguridad de TI tiene como objetivo la proteccin de los

En general, un SGSI cumple con los siguientes puntos fundamentales:

Se mantiene alineado a la misin de la organizacin y a la misin de

Propone un anlisis de riesgos.

Plantea la elaboracin de polticas de seguridad Informtica.

Sugiere controles de seguridad.

Propone el monitoreo del sistema.

Establece esquemas de recuperacin y continuidad del negocio.

Fomenta una cultura de seguridad en la organizacin.

Cada uno de los puntos sealados anteriormente, establece una parte

1.2.1 Alineacin del SGSI a las misiones de la organizacin y de

Como ya se ha mencionado anteriormente, el SGSI debe estar alineado

Si la misin de seguridad no se encuentra alineada a la misin de la

1.2.2 Anlisis de riesgos.

El anlisis de riesgos es uno de los primeros pasos a realizar en un

En este punto se establece una metodologa, la cual contiene una fase

Al final del anlisis de riesgos, la organizacin se encuentra en

Los anlisis de riesgos suelen dividirse en dos tipos fundamentales:

Los anlisis de riesgos cuantitativos se basan en la probabilidad de que

El anlisis de riesgos cualitativo es la metodologa ms utilizada. En este

El anlisis de riesgos hace uso de los siguientes conceptos para su

Amenaza. Hecho que puede producir un dao. Las amenazas

comnmente se refiere a la debilidad o falla en un sistema.

Riesgo. Un riesgo es un evento que tiene la caracterstica de ser

Una metodologa de anlisis de riesgos, de manera general, comprende

Establece el alcance, conforme a los procesos crticos de TI de la

Identifica las amenazas que pueden comprometer la seguridad de

Determina la probabilidad o posibilidad de ocurrencia de las

Determina el impacto de las amenazas.

Recomienda controles que disminuyan la probabilidad de los

1.2.3 Controles de seguridad.

Los controles de seguridad pueden ir enfocados a proteger los activos o

Los controles administrativos comprenden las polticas y procedimientos

Recuperacin tras fallos.

Elaboracin de planes de contingencia.

A los controles que delimitan el acceso fsico a los activos informticos se

Sistemas de deteccin de fuego y humo.