Professional Documents
Culture Documents
Asesor:
Dr. Jos de Jess Vzquez Gmez.
II
III
IV
AGRADECIMIENTOS Y DEDICATORIA
A mi esposa:
Por brindarme su enorme apoyo durante
todo este tiempo.
NDICE GENERAL
PRELIMINARES
ACTA DE REVISIN DE TESINA ............................................................................................ II
CARTA DE CESIN DE DERECHOS ..................................................................................... III
AGRADECIMIENTOS Y DEDICATORIA ................................................................................ IV
NDICE GENERAL .................................................................................................................. V
NDICE DE FIGURAS ............................................................................................................ VII
NDICE DE TABLAS ............................................................................................................. VII
RESUMEN ............................................................................................................................ VIII
ABSTRACT ............................................................................................................................ IX
INTRODUCCIN. .................................................................................................................... X
OBJETIVO GENERAL. ......................................................................................................... XII
OBJETIVOS PARTICULARES.............................................................................................. XII
JUSTIFICACIN. ................................................................................................................. XIII
CAPTULO I.
SISTEMA DE GESTIN DE SEGURIDAD INFORMTICA (SGSI).
1.1 MARCO DE REFERENCIA DEL SGSI. .......................................................................... 1
1.2 DESCRIPCIN. .............................................................................................................. 2
1.2.1 Alineacin del SGSI a las misiones de la organizacin y de seguridad de la
organizacin....................................................................................................... 3
1.2.2 Anlisis de riesgos. ........................................................................................... 4
1.2.3 Controles de seguridad. .................................................................................... 6
1.2.4 Polticas de seguridad informtica. ................................................................. 7
1.2.5 Monitoreo del sistema. ...................................................................................... 8
1.2.6 Recuperacin y continuidad del negocio. ....................................................... 9
1.2.7 Cultura de seguridad en la organizacin. ...................................................... 10
CAPTULO II.
ISO/IEC 27001:2005.
2.1 DESCRIPCIN. ............................................................................................................ 12
2.2 El SGSI en ISO/IEC 27001:2005. ................................................................................. 18
CAPTULO III.
ENISA (EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY).
3.1 DESCRIPCIN. ............................................................................................................ 29
CAPTULO IV.
NIST SP 800-53.
4.1 MARCO DE REFERENCIA. .......................................................................................... 36
4.1.1. FIPS-199. .......................................................................................................... 37
4.1.2. FIPS-200. .......................................................................................................... 39
4.2 NIST SP 800-53. ........................................................................................................... 40
CAPTULO V.
DEPARTAMENTO DE DEFENSA DE LOS ESTADOS UNIDOS DE AMRICA.
5.1 MARCO DE REFERENCIA. .......................................................................................... 46
5.2 DIRECTIVA DEL DoD 8500.01. .................................................................................... 48
VI
5.3 INSTRUCCIN DEL DoD 8500.2, IMPLEMENTACIN DEL IA. ................................. 52
CAPTULO VI.
COMPARATIVA DE LOS SISTEMAS DE GESTIN DE SEGURIDAD INFORMTICA.
6.1. DESCRIPCIN. ............................................................................................................ 58
6.2. PARMETROS DE COMPARACIN. .......................................................................... 58
6.3. ALCANCE. .................................................................................................................... 59
6.4. EVALUACIN DE RIESGOS. ....................................................................................... 60
6.5. POLTICA DE SEGURIDAD. ........................................................................................ 61
6.6. PROCESO DE GESTIN. ............................................................................................ 62
6.7. CONTROLES DE SEGURIDAD. .................................................................................. 63
CONCLUSIONES. .................................................................................................................. 66
RECOMENDACIONES........................................................................................................... 68
REFERENCIAS BIBLIOGRFICAS. ..................................................................................... 69
REFERENCIAS CIBEROGRFICAS..................................................................................... 71
VII
NDICE DE FIGURAS
NDICE DE TABLAS
VIII
RESUMEN
En el presente trabajo se lleva a cabo una revisin de cuatro documentos relacionados con
sistemas de gestin de seguridad de la informacin emitidos por las siguientes
organizaciones: Organizacin de Estndares Internacionales en su documento ISO/IEC
27001:2005, el Instituto Nacional de Estndares y Tecnologa de los Estados Unidos de
Amrica en su publicacin especial SP 800-53, la Agencia de Seguridad de la Informacin y
redes de la Unin Europea y el Departamento de Defensa de los Estados Unidos de Amrica
en su Directiva 8500.01 y en la instruccin 8500.2. El objeto de la revisin es realizar una
comparativa de los controles de seguridad que implementan, en la que se sealen sus
diferencias y se determine cuales seran adecuados a organizaciones de tipo privadas,
gubernamentales y militares.
IX
ABSTRACT
The present study conducts a review of four documents relating to information security
management systems, issued by the following organizations: International Standards
Organization through ISO/IEC 27001:2005, the National Institute of Standards and
Technology of United States of America through Special Publication SP 800-53, European
Network Information Security Agency and the Department of Defense of the United States of
America through Directive 8500.01 and Instruction 8500.02. The purpose of the review is to
conduct a security controls comparative giving their differences and determine which would
be appropriate to private, governmental and military organizations.
INTRODUCCIN.
En este trabajo se realiza la revisin de algunos estndares y documentacin
relativos a la administracin de la seguridad informtica, con el fin de elaborar
posteriormente una comparativa en la que se resalten los aspectos caractersticos y
ms sobresalientes de cada uno de los documentos revisados y que esto a su vez
sirva como referencia para llevar a cabo la administracin de un rea de seguridad
informtica en una organizacin.
XI
que sirve de gua en la aplicacin de controles de seguridad informtica en
organizaciones gubernamentales de los Estados Unidos de Amrica y se menciona
en el captulo cuatro.
Por ltimo, se muestran las conclusiones del presente trabajo y se hacen algunas
recomendaciones.
XII
OBJETIVO GENERAL.
Revisar normas y estndares en materia de gestin de seguridad de la informacin,
con el fin de sealar sus principales caractersticas y que a su vez permita al
administrador de seguridad de Tecnologas de la Informacin (TI) en una
organizacin, seleccionar la documentacin que mejor se adapte a las necesidades
de su empresa.
OBJETIVOS PARTICULARES.
XIII
JUSTIFICACIN.
Diferentes organizaciones en la actualidad basan su administracin en lo que se
denomina el Gobierno Corporativo, el cual especifica la distribucin de los derechos y
responsabilidades entre los diferentes participantes de la organizacin y provee
tambin una estructura a travs de la cual se establecen los objetivos, los medios
para alcanzarlos y la forma de hacer un seguimiento a su desempeo. Asimismo, se
observa que las organizaciones utilizan de manera cotidiana las Tecnologas de la
Informacin (TI) con el fin de coadyuvar en el desarrollo de las actividades diarias y
apoyar la obtencin de los objetivos planteados. Debido a que las TI son parte
importante en las organizaciones, se denota la existencia de un rea responsable de
la administracin de su empleo y que algunos autores denominan Gobierno de TI.
Por otro lado, existen riesgos inmersos en el empleo inadecuado de las TI que
pueden afectar la confidencialidad, disponibilidad o integridad de la informacin. Para
ello, cualquier organizacin que haga uso de las TI requiere de un rea dedicada a la
observacin de los aspectos de seguridad informtica, con el objeto de mantener un
nivel de riesgo aceptable para la propia organizacin.
XIV
Conocido tambin como ISMS (Information Security Management System), por sus siglas en ingls.
CAPTULO I.
SISTEMA DE GESTIN DE SEGURIDAD
INFORMTICA (SGSI).
1.1 MARCO DE REFERENCIA DEL SGSI.
Algunos autores denominan al proceso de SGSI como gobierno de seguridad
en TI o como una parte fundamental de ste, el cual se encuentra contenido
dentro del Gobierno de TI y ste a su vez dentro del Gobierno Corporativo. Por
lo tanto, a continuacin se muestran definiciones de cada uno de estos
conceptos.
2
para la misma y a su vez, preservar el valor generado mediante una
adecuada administracin. Determina el marco para la toma de decisiones
y la responsabilidad para fomentar el comportamiento adecuado en el
uso de las TI y persigue la automatizacin de los procesos de la
organizacin.
Para llevar a cabo las actividades que cumplan con los objetivos de la
organizacin, se requiere de los diferentes servicios que proporcionan las
TI, las cuales deben estar alineadas y deben permitir a la organizacin
tomar ventaja total de su informacin para maximizar sus beneficios,
capitalizar oportunidades y ganar ventaja competitiva.
1.2 DESCRIPCIN.
La seguridad informtica puede describirse como un conjunto de actividades
orientadas a la proteccin de la informacin y de los activos informticos en una
organizacin, con el fin de garantizar su integridad, confidencialidad y
disponibilidad. Un SGSI es un sistema que identifica los riesgos de seguridad
de la informacin existentes en la organizacin, los presenta con niveles de
3
prioridad ante un comit encargado de definir la cantidad de recursos que se
debern invertir y establece polticas y procedimientos basados en los objetivos
de la organizacin. Coordina las actividades de seguridad informtica para dar
cumplimiento a los objetivos de gobierno.
4
En este punto se deben identificar de forma especfica los recursos y
procesos relacionados con la seguridad de TI y determinar el impacto
que tienen en los objetivos y metas de la organizacin.
5
se produzca. Normalmente se determinan valores numricos, los
resultados que se obtienen son objetivos y se expresan en porcentajes,
probabilidades de ocurrencia de amenazas, entre otros. Un anlisis de
riesgos de este tipo puede ser complejo debido a los clculos que deben
realizarse, adems de requerir una considerable inversin de tiempo y
esfuerzos. Cuando la organizacin no cuenta con datos estadsticos, es
difcil realizar un anlisis cuantitativo.
Vulnerabilidad.
Debilidad
falla.
En
seguridad
informtica
6
los siguientes pasos:
Define los activos informticos que se van a analizar, que deben ser
componentes del proceso de TI.
Documenta el proceso.
Asignacin de responsabilidades.
Supervisin o auditoras.
Cerraduras.
Bloqueadores de teclados.
Vigilantes de seguridad.
Alarmas.
Antivirus.
Firma digital.
Tarjetas inteligentes.
Responsabilidad.
Autorizacin.
Mnimo privilegio.
Separacin de cargo.
Auditora.
Redundancia.
Reduccin de riesgo.
controles
implementados
permite
llevar
cabo
una
La
organizacin
elabora
un
plan
comnmente
denominado
de
10
organizacin. El plan se da a conocer a la totalidad de individuos y para
poder garantizar su xito, se deben realizar simulacros de reaccin para
determinar el grado de conocimiento del plan y el entrenamiento por
parte del personal, as como los tiempos de respuesta a este tipo de
eventos.
11
1.3 CONCLUSIONES.
Se observa que de acuerdo al empleo existente de TI en las organizaciones, se
presenta la necesidad de contar con un SGSI el cual mantenga una ubicacin
en el organigrama, que a su vez es denominado por algunos autores como
gobierno de seguridad en TI. El gobierno de seguridad en TI debe estar
alineado a la misin y objetivos de la organizacin. Asimismo, el SGSI parte
normalmente de la elaboracin de un anlisis de riesgos, en el cual se
describen amenazas, vulnerabilidades en los activos, riesgos y su impacto en la
organizacin. En base a los resultados obtenidos del anlisis de riesgos, se
pueden determinar los controles de seguridad que se deben implementar, los
cuales pueden ser de tipo administrativos, fsicos y/ tcnicos. Una vez que se
implementan los controles de seguridad, se realiza un monitoreo en el que se
pretende detectar fallas en su implementacin para llevar a cabo una
retroalimentacin de todo el sistema, permitiendo a su vez, un proceso de
mejora continua que mantenga actualizado al SGSI.
12
CAPTULO II.
ISO/IEC 27001:2005.
2.1 DESCRIPCIN.
La ISO/IEC 27001:2005, Information Technology -- Security techniques -Information security management systems -- Requirements (Requerimientos -Sistemas de gestin de seguridad de la informacin -- Tcnicas de seguridad -Tecnologas de la Informacin) [6] es un estndar internacional publicado por la
Organizacin Internacional para la Estandarizacin (ISO) y la Comisin
Electrotcnica Internacional (IEC). El documento tiene sus orgenes en el
Estndar Britnico BS7799 emitido por el Instituto de Normas Britnico (British
Standard Institute, BSI) y fue adoptado, bajo la supervisin del grupo de trabajo
Tecnologas de la Informacin del Comit Tcnico ISO/IEC JTC 1 1. El citado
estndar es parte de la familia de estndares ISO-2700x [7], el cual incluye los
siguientes estndares:
13
management.
Plan.
14
con las polticas y objetivos generales de la organizacin.
Do.
En la Figura 2.1 se muestra que el proceso del SGSI toma como entrada los
requerimientos y expectativas de la seguridad de informacin de las partes
interesadas, internamente desarrolla el modelo PDCA en un ciclo continuo, y en
la salida entrega resultados que satisfacen los requerimientos y expectativas
que se plantearon inicialmente. De manera interna, se observa la interaccin de
las etapas que conforman al ciclo PDCA; la etapa de Plan establece el SGSI, la
cual permite la implementacin y operacin en la etapa de Do, una vez que se
cuenta con ello, se monitorea y revisa el sistema en la etapa de Check y con los
resultados obtenidos, se retroalimenta el sistema para mantenerlo y mejorarlo
en la etapa de Act.
15
Plan
Partes
interesadas
Requerimientos
y expectativas
de la seguridad
de informacin.
Partes
interesadas
Establecer el
SGSI
Do
Implementar
y operar el
SGSI
Desarrollar,
mantener y
mejorar el
ciclo.
Mantener
y mejorar
el SGSI
Act
Seguridad de
informacin
manejada.
Monitorear y
revisar el
SGSI
Check
Modelo PDCA, ISO/IEC 27001:2005
0 Introduccin.
1 Alcance.
2 Referencias normativas.
3 Trminos y definiciones.
5 Responsabilidades de la gerencia.
6 Auditoras internas.
16
Anexos.
Requerimientos generales.
17
Requerimientos de documentacin.
OECD, Lineamientos OECD para la Seguridad de los Sistemas y Redes de Informacin Hacia una
cultura de seguridad. Paris: OECD, Julio 2002, www.oecd.org.
18
con el estndar ISO/IEC 27001:2005.
19
Para el enfoque de valuacin de riesgo de la organizacin, se propone la
identificacin de una metodologa de clculo de riesgo y el desarrollo de
criterios para aceptar el riesgo e identificar los niveles de riesgo aceptables.
Para ello, propone la revisin del estndar ISO/IEC TR 13335-3, Tecnologa de
Informacin Lineamiento para la gestin de la seguridad TI Tcnicas para la
gestin de la seguridad TI.
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.6 Organizacin de la
seguridad de la
informacin.
CONTROL
A.5.1.1 Documento de la poltica
de
seguridad
de
la
informacin.
A.5.1.2 Revisin de la poltica de
seguridad
de
la
informacin.
A.6.1.1 Administracin
del
compromiso de seguridad
de la informacin.
A.6.1.2 Coordinacin
de
la
seguridad
de
la
informacin.
20
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.6 Organizacin de la
seguridad de la
informacin.
A.7.1 Responsabilidad de
los activos.
A.7 Gestin de activos.
A.7.2 Clasificacin de la
informacin.
A.8 Seguridad en el
personal.
CONTROL
A.6.1.3 Asignacin
de
responsabilidades
de
seguridad
de
la
informacin.
A.6.1.4 Proceso de autorizacin
para
facilidades
de
procesamiento
de
informacin.
A.6.1.5 Acuerdos
de
confidencialidad.
A.6.1.6 Contacto con autoridades.
A.6.1.7 Contacto con grupos de
inters especial.
A.6.1.8 Revisin independiente de
la
seguridad
de
la
informacin.
A.6.2.1 Identificacin de riesgos
relativos
a
partes
externas.
A.6.2.2 Orientacin
de
la
seguridad cuando se trata
con clientes.
A.6.2.3 Orientacin
de
la
seguridad en acuerdos
con terceros.
A.7.1.1 Inventario de activos.
A.7.1.2 Propiedad de activos.
A.7.1.3 Uso aceptable de activos.
A.7.2.1 Guas
para
la
clasificacin.
A.7.2.2 Manejo y etiquetado de
informacin.
A.8.1.1 Roles
y
responsabilidades.
A.8.1.2 Antecedentes.
A.8.1.3 Trminos y condiciones de
contrato.
A.8.2.1 Administracin
de
responsabilidades.
A.8.2.2 Concientizacin,
educacin
y
entrenamiento
en
seguridad
de
la
informacin.
A.8.2.3 Proceso disciplinario.
A.8.3.1 Responsabilidades
por
terminacin en el empleo.
A.8.3.2 Devolucin de activos.
A.8.3.3 Eliminacin de derechos
de acceso.
A.9.1.1 Permetro de seguridad
fsica.
21
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.9.2 Seguridad en el
equipo.
A.10.1 Procedimientos
operacionales y
responsabilidades.
A.10.3 Planeacin y
aprobacin del
sistema.
A.10.4 Proteccin contra
cdigo malicioso y
cdigo mvil.
A.10.5 Respaldos.
A.10.6 Gestin de
seguridad en red.
CONTROL
A.9.1.2 Controles
fsicos
de
entrada.
A.9.1.3 Seguridad en oficinas,
reas e instalaciones.
A.9.1.4 Proteccin
contra
amenazas externas y de
entorno.
A.9.1.5 Trabajo en reas seguras.
A.9.1.6 Acceso pblico, reas de
entrega y recepcin.
A.9.2.1 Colocacin y proteccin
de equipo.
A.9.2.2 Utilidades de soporte.
A.9.2.3 Seguridad en el cableado.
A.9.2.4 Mantenimiento de equipo.
A.9.2.5 Seguridad en equipo en
localidades externas.
A.9.2.6 Seguridad en el desecho o
reutilizacin de equipo.
A.9.2.7 Eliminacin de propiedad.
A.10.1.1 Procedimientos
de
operacin
documentados.
A.10.1.2 Gestin de cambios.
A.10.1.3 Segregacin
de
obligaciones.
A.10.1.4 Separacin
de
instalaciones
de
desarrollo, de prueba y
operacin.
A.10.2.1 Entrega de servicio.
A.10.2.2 Monitoreo y revisin de
servicios a terceros.
A.10.2.3 Gestin de cambios de
terceros.
A.10.3.1 Administracin
de
capacidades.
A.10.3.2 Aceptacin de sistema.
A.10.4.1 Controles contra cdigo
malicioso.
A.10.4.2 Controles contra cdigo
mvil.
A.10.5.1 Informacin
de
respaldos.
A.10.6.1 Controles de red.
A.10.6.2 Seguridad de servicios
de red.
A.10.7.1 Administracin
de
medios removibles.
A.10.7.2 Eliminacin de medios
A.10.7.3 Procedimientos
de
manejo de informacin.
22
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.10.8 Intercambio de
informacin.
A.10.9 Servicios de
comercio
electrnico.
A.10.10 Monitoreo.
A.11.2 Administracin de
acceso de usuario.
A.11.3 Responsabilidades
de usuarios.
CONTROL
A.10.7.4 Seguridad
en
la
documentacin
del
sistema.
A.10.8.1 Poltica
y
procedimientos
de
intercambio
de
informacin.
A.10.8.2 Acuerdos
de
intercambio.
A.10.8.3 Medios
fsicos
en
trnsito.
A.10.8.4 Mensajera electrnica.
A.10.8.5 Sistemas
de
informacin del negocio.
A.10.9.1 Comercio electrnico.
A.10.9.2 Transacciones en lnea.
A.10.9.3 Informacin
en
publicidad disponible.
A.10.10.1 Auditora de registros.
A.10.10.2 Monitoreo del uso del
sistema.
A.10.10.3 Proteccin
de
la
informacin
de
registros.
A.10.10.4 Registros
de
administradores
y
operadores.
A.10.10.5 Registro de errores.
A.10.10.6 Sincronizacin
de
relojes.
A.11.1.1 Poltica de control de
acceso.
A.11.2.1 Registro de usuarios.
A.11.2.2 Administracin
de
privilegios.
A.11.2.3 Administracin
de
passwords de usuarios.
A.11.2.4 Revisin de derechos
de acceso de usuarios.
A.11.3.1 Empleo de passwords.
A.11.3.2 Desatencin de equipo
de usuario.
A.11.3.3 Poltica de escritorios y
pantallas limpios.
A.11.4.1 Poltica del empleo de
servicios de red.
A.11.4.2 Autenticacin
de
usuarios
para
conexiones externas.
A.11.4.3 Identificacin
de
equipos en las redes.
23
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.12.2 Procesamiento
correcto en las
aplicaciones.
A.12 Adquisicin,
desarrollo y
mantenimiento de
sistemas de
informacin.
A.12.3 Controles
criptogrficos.
A.12.4 Seguridad en
archivos de sistema.
CONTROL
A.11.4.4 Diagnstico remoto y
configuracin
de
proteccin de puertos.
A.11.4.5 Segregacin en redes.
A.11.4.6 Control
de
las
conexiones de red.
A.11.4.7 Control del ruteo de red.
A.11.5.1 Procedimientos
de
seguridad en inicio de
sesin.
A.11.5.2 Identificacin
y
autenticacin
de
usuarios.
A.11.5.3 Sistema
de
administracin
de
passwords.
A.11.5.4 Empleo de utilidades de
sistema.
A.11.5.5 Finalizacin
de
sesiones.
A.11.5.6 Lmite del tiempo de
conexin.
A.11.6.1 Restriccin de acceso a
la informacin.
A.11.6.2 Aislamiento de sistemas
sensibles.
A.11.7.1 Cmputo
mvil
y
teletrabajo.
A.11.7.2 Teletrabajo.
A.12.1.1 Requerimientos,
anlisis
y
especificaciones
de
seguridad.
A.12.2.1 Validacin de datos de
entrada.
A.12.2.2 Control
de
procesamiento interno.
A.12.2.3 Integridad de mensajes.
A.12.2.4 Validacin de datos de
salida.
A.12.3.1 Poltica de empleo de
controles criptogrficos.
A.12.3.2 Administracin
de
llaves.
A.12.4.1 Control de software
operativo.
A.12.4.2 Proteccin de datos de
prueba de sistema.
A.12.4.3 Control de acceso para
cdigo
fuente
de
programas.
24
CATEGORA DE
SEGURIDAD PRINCIPAL
A.12 Adquisicin,
desarrollo y
mantenimiento de
sistemas de
informacin.
OBJETIVO DE CONTROL
A.12.5 Seguridad en el
desarrollo y soporte
de procesos.
A.12.6 Administracin de
vulnerabilidades
tcnicas.
A.13 Gestin de
incidentes de
seguridad de
informacin.
A.14 Gestin de
continuidad del
negocio.
A.15 Cumplimiento.
A.14.1 Aspectos de
seguridad de la
informacin de la
gestin de
continuidad del
negocio.
CONTROL
A.12.5.1 Procedimientos
de
control de cambios.
A.12.5.2 Revisin tcnica de
aplicaciones
despus
de realizar cambios en
el sistema operativo.
A.12.5.3 Restricciones
en
cambios de paquetes
de software.
A.12.5.4 Fuga de informacin.
A.12.5.5 Contratacin
externa
para
desarrollo
de
software.
A.12.6.1 Control
de
vulnerabilidades
tcnicas.
A.13.1.1 Reporte de eventos de
seguridad
de
informacin.
A.13.1.2 Reporte
de
vulnerabilidades
de
seguridad.
A.13.2.1 Responsabilidades
y
procedimientos.
A.13.2.2 Aprendizaje
en
incidentes de seguridad
de informacin.
A.13.2.3 Coleccin de evidencia.
A.14.1.1 Incluir seguridad en la
informacin del proceso
de
gestin
de
continuidad del negocio.
A.14.1.2 Continuidad del negocio
y gestin de riesgos.
A.14.1.3 Desarrollo
e
implementacin
de
planes de continuidad
incluyendo seguridad de
la informacin.
A.14.1.4 Marco de planeacin de
continuidad del negocio.
A.14.1.5 Pruebas, mantenimiento
y reevaluacin de los
planes de continuidad
del negocio.
A.15.1.1 Identificacin
de
legislacin aplicable.
A.15.1.2 Derechos de propiedad
intelectual.
A.15.1.3 Proteccin
de
grabaciones
de
organizacionales.
25
CATEGORA DE
SEGURIDAD PRINCIPAL
OBJETIVO DE CONTROL
A.15 Cumplimiento.
CONTROL
A.15.1.4 Proteccin
de
la
privacidad
y
datos
personales.
A.15.1.5 Prevencin de abuso de
procesamiento
de
informacin.
A.15.1.6 Regulacin de controles
criptogrficos.
A.15.2.1 Cumplimiento
con
polticas y estndares
de seguridad.
A.15.2.2 Verificacin
de
cumplimiento tcnico.
26
27
todos los procedimientos necesarios para asegurar la planeacin, operacin y
control de los procesos del SGSI y las mtricas de la efectividad de los
controles de seguridad. Tambin recomienda manejar un control de cambios en
la documentacin que se genere y llevar un registro de la misma.
con
el
establecimiento,
implementacin,
monitoreo,
revisin,
ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing.
28
del sistema y evitar recurrencias. De igual manera, propone realizar acciones
preventivas para eliminar inconformidades potenciales de los requerimientos del
sistema y evitar su ocurrencia.
2.3 CONCLUSIONES.
Se observa que el estndar ISO/IEC 27001:2005, en el punto nmero 4 de su
contenido, propone la alineacin del SGSI con los objetivos de la organizacin,
y propone adems, contar con una poltica de seguridad en la cual se sealen
los requerimientos de seguridad. Maneja tambin, el desarrollo de un anlisis
de riesgos aunque no proporciona una metodologa especfica, slo hace
referencia a un documento que puede ser utilizado como gua para la seleccin
de una metodologa adecuada.
Los controles de seguridad que propone, son los establecidos en el anexo A, los
cuales corresponden al estndar ISO/IEC 17799:2005.
29
CAPTULO III.
ENISA (EUROPEAN NETWORK AND INFORMATION
SECURITY AGENCY).
3.1 DESCRIPCIN.
La
Unin
Europea
cuenta
con
varias
agencias
especializadas
Agencias comunitarias.
Agencias ejecutivas.
Security Agency),
la
cual
funciona
como
un
centro
de
30
31
La ENISA considera la gestin del riesgo como la parte principal del SGSI, por
lo que en su sitio web publica amplia informacin del tema referido, en el cual
indica su importancia, describe su proceso, propone una estrategia para su
implementacin y cita diferentes metodologas y herramientas existentes.
Factores crticos de xito para los SGSI (Critical success factors for ISMS).
mencionar
algunos.
Asimismo,
seala
que
el
establecimiento,
est
utilizando
un
enfoque
sistemtico
para
realizar
la
Factores crticos de xito para los SGSI. Se menciona que un SGSI debe de
contar con lo siguiente para que sea efectivo:
32
de
informacin,
de
quienes
no
se
demanda
manejo
de
33
muestran menores riesgos o riesgos de baja probabilidad de impacto. Por lo
que estas organizaciones estn orientadas a mantener un SGSI no
independiente y que forma parte de un proceso ms amplio de administracin
de riesgos.
34
Los 6 pasos mostrados en la figura 2 son:
Declaracin de aplicabilidad.
que
se
encuentran
incluidos comnmente en
35
Se indica adems, que los primeros pasos relativos a la definicin de la poltica
de seguridad y a la definicin del alcance del SGSI estn orientados a la
administracin y a temas estratgicos, mientras que los procesos de gestin de
riesgos son inherentes a la operacin del da a da.
3.2 CONCLUSIONES.
A pesar de que la ENISA carece de una publicacin en la que haga referencia
exclusivamente a los sistemas de gestin de seguridad de la informacin, en
uno de sus artculos se enfoca al tema de gestin de riesgos en el cual hace
mencin de la importancia de contar con un SGSI, de algunos factores que son
determinantes para su buen funcionamiento y describe su estructura.
36
CAPTULO IV.
NIST SP 800-53.
4.1 MARCO DE REFERENCIA.
El gobierno de los Estados Unidos de Amrica, en reconocimiento a la
importancia que tiene la seguridad de la informacin para los intereses de
seguridad nacional y econmicos de su pas, emiti en el ao 2002 la ley
Federal Information Security Management Act of 2002 (FISMA)1 en la que se
decretan las medidas que deben aplicarse con el fin de asegurar la informacin
y los sistemas de informacin federal. En esta ley se designa al Instituto
Nacional de Estndares y Tecnologa (NIST, National Institute of Standards and
Technology), para el desarrollo de estndares y guas de seguridad:
Estndares que sean utilizados por todas las agencias federales para que
lleven a cabo la categorizacin de su informacin y de sus sistemas de
informacin, basados en el objetivo de proveer niveles apropiados de
seguridad en la informacin de acuerdo a un rango de niveles de riesgo.
Publicado en el ttulo III de la Public Law 107-347 del 17 de diciembre del 2002.
37
A continuacin se har una breve revisin de los estndares FIPS-199 y FIPS200 antes de abordar la publicacin especial 800-53.
4.1.1.
FIPS-199.
El estndar FIPS-199 es la publicacin nmero 199 del NIST de los
Estndares
de
Procesamiento
de
Informacin
Federal
(Federal
38
Confidencialidad (Confidentiality). Preservar restricciones autorizadas
en el acceso y revelacin de informacin, incluyendo los medios para la
proteccin de la privacidad de datos personales y la propiedad de
informacin. Define la prdida de confidencialidad como la revelacin no
autorizada de informacin.
FIPS-199 indica tres niveles de impacto potencial, para los cuales debe
existir una brecha de seguridad (prdida de confidencialidad, integridad o
disponibilidad).
severo o
39
organizacin.
4.1.2. FIPS-200.
El estndar FIPS-200 Requerimientos de seguridad mnimos para
informacin y sistemas de informacin federal, al igual que FIPS-199,
tiene como objeto dar cumplimiento a lo establecido en FISMA de 2002
[11].
40
-
Adquisicin
de
Sistemas
Servicios
(System
and
Services
Acquisition, SA).
-
Proteccin
de
Sistemas
Comunicaciones
(System
and
41
propone un conjunto de controles de seguridad con el fin de que sean
implementados en una organizacin para brindar proteccin a la informacin y a
los sistemas de informacin de tipo federal [13]. Para la organizacin y
estructura de los controles de seguridad que establece el NIST SP 800-53, se
utiliza una clasificacin de diecisiete familias de controles de seguridad
manejadas en el FIPS-200, a las cuales asigna un identificador de dos
caracteres, adems de incluirlas dentro de tres clases generales de seguridad:
de administracin, operacionales y tcnicos (Tabla 4.1).
IDENTIFICADOR
FAMILIA
CLASE
AC
Control de Acceso
Tcnico
AT
Concientizacin y Entrenamiento
Operacional
AU
Auditora y Responsabilidad
Tcnico
CA
Administracin
CM
Administracin de Configuraciones
Operacional
CP
Planes de Contingencia
Operacional
IA
Identificacin y Autenticacin
Tcnico
IR
Respuesta a Incidentes
Operacional
MA
Mantenimiento
Operacional
MP
Proteccin de Medios
Operacional
PE
Operacional
PL
Planeacin
Administracin
PS
Seguridad en el Personal
Operacional
RA
Evaluacin de Riesgos
Administracin
SA
Administracin
SC
Tcnico
SI
Operacional
42
43
Gua de Administracin de Riesgos para Sistemas de Tecnologas de
Informacin (Risk Management Guide for Information Technology
Systems).
determinacin
del
riesgo
para
los
activos
operaciones
44
El paso 2 relativo a la seleccin de controles de seguridad, se encuentra
conformado a su vez por tres pasos:
45
monitoreo (RMF paso 6). El programa de monitoreo continuo incluye una
evaluacin de la efectividad de los controles de seguridad para determinar si
existe la necesidad de modificar o actualizar el conjunto de controles actuales
basndose en cambios en el sistema o en su entorno de operacin.
4.3 CONCLUSIONES.
Las publicaciones del NIST consideran un esquema de administracin de
seguridad en los documentos FIPS-199, FIPS-200 y NIST SP 800-53, en los
cuales, el ltimo de ellos es el que menciona una estructura referenciada
principalmente en los controles de seguridad que deben ser implementados en
una organizacin de tipo gubernamental. La publicacin especial 800-53 tiene
como objetivo dar cumplimiento a ley establecida en el FISMA que tiene como
fin proteger la informacin y los sistemas de informacin de tipo federal,
asimismo, establece una organizacin y una estructura de controles de
referencia bien definida que debe servir a cualquier organizacin federal de los
Estados Unidos de Amrica. Por lo tanto, esta publicacin cumple con la parte
de alineacin con la misin de la organizacin. Por la parte de polticas, se
cuenta con lo establecido en la ley del FISMA para llevar a cabo la proteccin
de la informacin y los sistemas de informacin de tipo federal, y a pesar de que
no sea una propuesta especfica de elaboracin de polticas, puede ser
considerada como una poltica general en la cual se fundamentan todos los
esfuerzos de seguridad en las agencias federales.
46
CAPTULO V.
DEPARTAMENTO DE DEFENSA DE LOS ESTADOS
UNIDOS DE AMRICA.
5.1 MARCO DE REFERENCIA.
El Departamento de Defensa de los Estados Unidos de Amrica (DoD), es un
departamento ejecutivo federal que tiene como responsabilidad proveer las
fuerzas militares necesarias para disuadir en la guerra y proteger la seguridad
del pas [14]. Las fuerzas militares citadas son el Ejrcito, la Marina, la Fuerza
Area y la Infantera de Marina (Army, Navy, Air Force and Marine Corps.). El
Secretario de Defensa ejerce autoridad, direccin y control sobre el DoD,
incluyendo la Oficina del Secretario de Defensa, el Presidente de la Junta de
Jefes de Estado Mayor, tres Departamentos Militares, nueve Comandos
Combatientes Unificados, el Inspector General del DoD, quince Agencias de
Defensa y siete Actividades de Campo del DoD.
47
entre otros asuntos, al Secretario y Subsecretario de Defensa en lo
concerniente a TI [16].
La Seccin 2224 del Ttulo 10 del Cdigo de los Estados Unidos, Establece que
el Secretario de Defensa de los Estados Unidos debe llevar a cabo un
Programa de Aseguramiento de Informacin de Defensa, el cual proteja y
defienda la informacin y sistemas de informacin del DoD, as como las redes
de informacin que son crticas para el Departamento y para las fuerzas
armadas durante las operaciones del da a da y en tiempo de crisis [17].
48
El segundo documento implementa las polticas establecidas en el primero,
asigna responsabilidades y prescribe procedimientos para proporcionar
proteccin integral a los sistemas de informacin y redes del DoD. A
continuacin se describen cada uno de los citados documentos:
1.
2.
AIS
Application),
enclaves1,
procesos
basados
en
3.
Enclave: coleccin de entornos de cmputo interconectados por una o ms redes internas bajo el
control de una sola autoridad y poltica de seguridad.
49
4.
Inteligencia,
Vigilancia,
Marco
de
Arquitectura
de
6.
7.
A todos los sistemas de informacin les debe ser asignada una categora
de aseguramiento de la misin que est directamente asociada con la
importancia de la informacin que contienen, la cual est relacionada al
alcance de las metas y objetivos, particularmente a la misin de combate.
8.
9.
50
11. El acceso a sitios web del DoD, deben ser estrictamente controlado por el
propietario del sitio web utilizando medidas tcnicas, operacionales o de
procedimientos.
12. Los sistemas de informacin del DoD deben regular el acceso remoto y el
acceso a Internet empleando controles tcnicos, tales como servicios de
proxy y zonas desmilitarizadas (DMZ).
13. Todos los sistemas de informacin del DoD deben ser certificados y
acreditados de acuerdo con las instrucciones del DoD.
14. Todas las interconexiones de los sistemas de informacin del DoD deben
ser administradas para minimizar los riesgos.
15. Todos los sistemas de informacin del DoD deben cumplir con la gua de
puertos y protocolos del DoD y administracin de procesos como se
encuentre establecido.
16. El conducto de todas las actividades de seguridad de comunicaciones del
DoD, incluyendo la adquisicin de productos, debe ser de acuerdo a las
Directivas establecidas por el mismo departamento.
17. Todo el hardware, firmware y componentes de software o productos del IA
incorporados dentro de los sistemas de informacin del DoD deben
cumplir con los requerimientos de evaluacin y validacin de la Poltica de
Seguridad de Sistemas de Informacin y Telecomunicaciones de
Seguridad Nacional Nmero 11.
18. Todos los productos de TI del IA incorporados dentro de los sistemas de
informacin del DoD deben ser configurados de acuerdo a las guas de
configuracin de seguridad aprobadas por el DoD.
19. Los productos de software de dominio pblico y otros productos de
51
software que no poseen garanta o poseen garanta limitada, solamente
deben ser usados en sistemas de informacin del DoD para cumplir los
requerimientos operacionales.
20. Los sistemas de informacin del DoD deben ser monitoreados en base a
la categora de aseguramiento de la misin asignada y a la evaluacin del
riesgo para impedir, detectar y reaccionar a intrusiones, interrupcin de
servicios u otros incidentes que amenacen las operaciones del DoD o los
recursos de TI, incluyendo el mal uso interno.
21. Las vulnerabilidades de los sistemas de informacin del DoD que sean
detectadas, deben ser evaluadas de acuerdo al impacto del DoD y deben
tener un seguimiento y ser mitigadas conforme a las soluciones del
departamento.
22. Todo el personal autorizado para acceder a los sistemas de informacin
del DoD, debe ser capacitado adecuadamente conforme a las polticas del
DoD.
23. Los individuos deben ser notificados de sus derechos de privacidad y
responsabilidades de seguridad conforme a lo establecido en el DoD.
24. Las tecnologas mviles deben ser categorizadas y controladas para
reducir amenazas a los sistemas de informacin de acuerdo a lo
establecido en el DoD.
25. Una autoridad designada debe ser la encargada de la operacin de cada
sistema de informacin del DoD, incluyendo sistemas de informacin
soportados por el sector privado y tecnologas de informacin contratadas
con organizaciones externas.
26. Todos los sistemas de voz y radio, incluyendo servicios de telefona celular
y servicios comerciales, deben ser protegidos de acuerdo a la clasificacin
y sensibilidad de la informacin transmitida en el sistema.
52
Enclaves.
Plataforma de TI.
53
Trmino que se utiliza para indicar quines son las entidades autorizadas para conocer alguna
informacin.
54
utilizado en la investigacin y en el desarrollo de sistemas de armas,
tecnologas mdicas, vehculos de transporte, construcciones y utilidades de
sistemas de distribucin, tales como agua y energa elctrica.
Evaluacin y revisin de la gestin del IA. Indica la obligacin que tienen las
Agencias y Departamentos Federales para incluir planes de adquisicin de
recursos para el IA.
Marco Tcnico del IA. Bajo el liderazgo de la NSA3 y en asociacin con el
NIST, los ingenieros en seguridad de sistemas, propietarios y usuarios de
sistemas, cientficos, investigadores, vendedores de productos y servicios y
representantes de estndares y otros consorcios trabajan juntos para mantener
el Marco Tcnico de Aseguramiento de Informacin (Information Assurance
Technical Framework, IATF). El IATF es una gua de referencia comn para
aplicar adecuada y apropiadamente la tecnologa del IA conforme a los
3
55
principios de la arquitectura de defensa en profundidad descritos a
continuacin:
Robustez
especfica.
Se
implementa
un
nivel
de
fortaleza
de
Especificacin
de
Configuracin
de
Seguridad.
Se
proporcionan
56
travs de recursos basados en web.
Informacin clasificada.
Informacin sensible.
Informacin pblica.
57
Abreviacin
DC
IA
Identificacin y Autenticacin
EC
EB
PE
Fsica y Entorno
PR
Personal
CO
Continuidad
VI
5.4 CONCLUSIONES.
El DoD cuenta con un sistema de gestin de seguridad de la informacin bien
definido a travs de diferentes documentos en los que se establecen las
polticas de seguridad, y el programa de aseguramiento de la informacin. No
Implementa explcitamente una metodologa de anlisis de riesgos, sin
embargo, aplica cinco competencias esenciales que segn el programa de IA,
son parte de cualquier programa de administracin de riesgos. Implementa
controles de seguridad mnimos categorizados de acuerdo a los diferentes
niveles de seguridad y clasificacin de la informacin y sistemas de informacin
existentes en la organizacin. Adicionalmente, se apoya del NIST y la NSA para
algunos de los aspectos de implantacin de su sistema de gestin.
58
CAPTULO VI.
COMPARATIVA DE LOS SISTEMAS DE GESTIN DE
SEGURIDAD INFORMTICA.
6.1. DESCRIPCIN.
En este captulo se pretenden sealar los diferentes aspectos de seguridad que
conforman a cada uno de los documentos que fueron revisados en el presente
trabajo, con el fin de que sean plasmados en una comparativa que sirva de
referencia al administrador de seguridad de la informacin de una organizacin,
para llevar a cabo la seleccin de estos aspectos y su implementacin en un
SGSI.
59
-
6.3. ALCANCE.
El alcance que contemplan cada uno de los documentos revisados, es el
siguiente:
ENISA. La informacin que publica ENISA en su portal, est dirigida a todo tipo
de instituciones de la Unin Europea, aunque no cuenta con un sistema de
gestin propio y la informacin publicada est basada en la ISO/IEC
27001:2005.
60
al Departamento de Defensa de los Estados Unidos de Amrica.
DOCUMENTO DE SGSI
ALCANCE
ISO/IEC 27001:2005
ENISA
NIST SP 800-53
DoD
Departamentos,
oficinas,
agencias
todas
las
61
DoD. No cuenta con una metodologa de anlisis de riesgos, en cambio, se
basa en cinco competencias esenciales que forman parte de cualquier
programa de administracin de riesgos.
DOCUMENTO DE SGSI
METODOLOGA PROPIA
OBSERVACIONES.
DE ANLISIS DE RIESGOS
ISO/IEC 27001:2005
ENISA
No
NIST SP 800-53
Cuenta
con
una
metodologa
No
Establece
esenciales
cinco
para
competencias
realizar
la
administracin de riesgos
Tabla 5. Comparativa de metodologa de anlisis de riesgos.
62
NIST SP 800-53. El NIST es un documento que tiene como intencin dar
cumplimiento a la ley FISMA, en la cual se establece la poltica de seguridad de
la Informacin para las organizaciones gubernamentales de los Estados Unidos
de Amrica.
DoD. El DoD da cumplimiento a la Seccin 2224 del Ttulo 10 del Cdigo de los
Estados Unidos de Amrica a travs de la Directiva 8500.01, en la cual
establece las polticas de seguridad de la informacin
DOCUMENTO DE SGSI
POLTICA DE
OBSERVACIONES.
SEGURIDAD
ISO/IEC 27001:2005
ENISA
No
NIST SP 800-53
DoD
63
DOCUMENTO DE SGSI
PROCESO DE
OBSERVACIONES.
GESTIN
ISO/IEC 27001:2005
ENISA
No
NIST SP 800-53
DoD
No
64
DOCUMENTO DE SGSI
CONTROLES DE
OBSERVACIONES.
SEGURIDAD
ISO/IEC 27001:2005
ENISA
No
NIST SP 800-53
DoD
No
Recomienda
los
controles
mnimos
de
del
DoD,
basados
en
tres
6.8 CONCLUSIONES.
Los documentos revisados en el presente trabajo, muestran diferentes maneras
de implementar un SGSI en una organizacin. Mientras el ISO/IEC 27001:2005
es un documento que se encuentra orientado a cualquier tipo de organizacin,
los documentos del NIST SP 800-53 y la Instruccin 8500.02 del DoD estn
enfocadas a organizaciones especficas de tipo gubernamental la primera y de
tipo militar la segunda. Estos ltimos documentos, cuentan con caractersticas
65
muy especficas que se encuentran orientadas al tipo de funciones que realizan
y a la informacin que manejan.
66
CONCLUSIONES.
En la revisin de los documentos mencionados en el presente trabajo, se observan
diferentes maneras de implementar un SGSI en una organizacin, las cuales
dependen, entre otras cosas, del tipo de alcance que establezca el documento, la
forma de evaluar los riesgos, los controles de seguridad y su manera de
implementarlos, as como el proceso de gestin del sistema en el cual se consideran
fases para planear, establecer, implementar, revisar y mejorar el SGSI.
67
Asimismo, el enfoque del NIST al proponer controles de base (mnimos necesarios)
para un sistema de gestin, es relevante pensando en que un sistema de gestin se
inscribe en un ciclo de mejora continua, como lo refieren los estndares ISO, y por lo
tanto se espera que se mejore o adecue conforme los cambios (amenazas,
vulnerabilidades, nuevas tecnologas, etc.) del entorno lo demanden.
Es importante sealar que estos cambios del entorno deben ser monitoreados
continuamente mediante un esquema de anlisis y gestin de riesgos.
68
RECOMENDACIONES.
Los documentos revisados en el presente trabajo fueron seleccionados por el autor
utilizando un criterio en el cual se consideraron diferentes mbitos de organizaciones,
tratando de que fueran representativos para los objetivos establecidos. Asimismo, los
documentos fueron revisados de tal manera que presentaran informacin general y
que sirvieran como una gua para llevar a cabo la seleccin de los componentes que
permitan el establecimiento de un SGSI en una organizacin, pero sin profundizar
demasiado en cada uno de sus aspectos. Por lo tanto, se recomienda que para aquel
administrador que tome como referencia el presente trabajo, realice una revisin
detallada de los componentes que por su importancia para la organizacin, requieran
ser implementados como parte de un SGSI.
69
REFERENCIAS BIBLIOGRFICAS.
[1]
[2]
[3]
[4]
[5]
[6]
ISO/IEC 27001:2005, Information Technology -- Security techniques -Information security management systems Requirements, Organizacin
Internacional para la Estandarizacin/Comisin electrotcnica Internacional,
ISO/IEC ao 2005.
[7]
[9]
70
for Federal Information Systems and Organizations, National Institute of
Standards and Technology, U.S. Department of Commerce, Computer Security
Division, Information Technology Laboratory, Join Task Force, Transformation
Initiative, June 2009.
[16] Department of Defense Directive, Number 5144.1, Deputy Secretary of Defense,
May 2, 2005. United States of America.
[17] Defense Information Assurance Program, Section 2224, Chapter 131, Part IV,
Subtitle A, Title 10, United States Code, January 8, 2008.
[18] Information Assurance (IA) Department of Defense Directive Number
8500.01E, October 24, 2002, Certified Current as of April 23, 2007, ASD
(NII)/DoD CIO.
[19] Information Assurance (IA) Implementation, Department of Defense Instruction
Number 8500.2, February 6, 2003.
71
REFERENCIAS CIBEROGRFICAS
[8]
[12] www.nist.gov/public_affairs/general2.htm.
[14] The Department of Defense Organizational Structure, Organization and
functions guide, Director of Administration & Management, Office of the
Secretary of Defense, updated March 2008. (Consultado en junio de 2009).
Disponible en: http://www.defenselink.mil/odam/omp/pubs/GuideBook/DoD.htm.
[15] Office
of
the
Secretary
of
http://www.defenselink.mil/osd/.
Defense,
June
2009.
Disponible
en: