UNIVERSIDAD NACIONAL DE CHIMBORAZO

FACULTAD DE INGENIERÍA

CARRERA DE INGENIERIA EN SISTEMAS Y COMPUTACIÓN

GESTIÓN DE LA DEGURIDAD SE LA INFORMACIÓN

TEMA:

 RESUMEN

 CONSULTA

AUTOR:

BYAM FABRICIO YUCTA SILVA

RIOBAMBA- ECUADOR

2017
Errores comunes en la implantación de un SGSI

SGSI

Information security management system, Es un conjunto de políticas de administración

de la información. El termino es utilizado principalmente por la ISO/IEC 27001, aunque
no es la única normativa que utiliza este término o concepto
Un SGSI es para una organización el diseño, implantación, mantenimiento de un
conjunto de procesos para gestionar eficientemente la accesibilidad de la información,
buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de
información minimizando a la vez los riesgos de seguridad de la información.

‘CONTRATO A UNA CONSULTORA Y ELLOS LO HACEN TODO’

Por ello, para que la empresa consultora pueda hacer un buen análisis de riesgos va a
requerir colaboración por parte del cliente para identificar los riesgos, analizarlos y
valorarlos, seleccionar las opciones para su tratamiento, y para implantar el plan de
tratamiento de riesgos con el que se pretende mitigar el nivel de riesgo detectado.
Tampoco hay que dejar de lado que la organización ya dispondrá en muchas ocasiones
de controles de seguridad que en ocasiones serán suficientes, y en otras será necesario
ampliar.

Si bien los consultores deben invertir muchas horas en darle forma el sistema, la
organización debe invertir bastantes horas en proporcionarles la información que
necesitan para hacer un buen diseño y en ejecutar las tareas que se identifiquen como
necesarias para llevar a cabo su implantación, la implantación del SGSI será
inversamente proporcional al trabajo que hasta ese momento haya realizado en la
gestión de su seguridad. En ocasiones ese esfuerzo será significativo, y en otras, más
bien poco.

‘ESTE PROYECTO SÓLO CONCIERNE AL ÁREA TIC’

El error más común es que no integramos a todos los departamentos es por ello que
puede ser uno de los mejores SGSI, pero si no saben como funciona o si nunca les
indicamos a cada uno de los departamentos vamos a tener problemas
Todos deben ser conscientes de qué papel juegan ellos en el SGSI implantado, cómo
de crítica es para el negocio la información con la que trabajan a diario y de qué modo
debe cambiar su forma de manejarla para garantizar que se encuentra debidamente
protegida. Por supuesto, se les debe preguntar, explicar y escuchar, antes de decidir los
controles que se van a implantar y que les va a afectar, ya que de lo contrario se corre
el riesgo de que perciban las nuevas normativas o políticas que se van a definir en
materia por ejemplo de contraseñas, control de acceso, destrucción de información, uso
del correo electrónico, instalación de software, etc,

‘SE VAN LOS AUDITORES Y YA HEMOS TERMINADO’

Obviamente, siempre será responsabilidad de los consultores haberse asegurado de

que el SGSI diseñado, bien a partir de un sistema de gestión ya en funcionamiento, bien

PÁG. 2
a partir de la nada, es adecuado para la empresa en la que se ha implantado. Eso
significa que debe ser fácilmente operable, acorde al tamaño de la organización, de su
presupuesto y de los recursos que se pueden asignar a su mantenimiento.
En cualquier caso, el reto de lograr un SGSI bien diseñado será lograr que, cuando no
lo están ya, los procesos que conlleva se integren de manera lo más transparente
posible en el funcionamiento de la organización. A veces, este es casi el punto de
partida; en otros casos, la meta está un poco más lejana.
Con esta entrada no pretendo desanimar a nadie, ni mucho menos, sólo señalar
aspectos obvios: que la implantación, y sobre todo el mantenimiento de un SGSI es una
tarea continua, del día a día, en la que se deben involucrar a varias personas de la
organización, se le debe dotar de los recursos y presupuesto necesario, y que debe
contar con el apoyo de la alta dirección para tener garantizado su éxito. Nada, desde
luego, diferente de lo que cualquiera podría esperar de un sistema de gestión, sea cual
sea.
Cosas a tener en cuenta en la implantación de un SGSI

Cuesta hacer entender a los técnicos que el SGSI “va con ellos” y que no es algo
del responsable del Sistema o del Director de Área.

Normalmente, la decisión de implantar un Sistema de Gestión de Seguridad de la

Información la toma el director del área TIC, el Gerente de la organización, o algún cargo
de la alta dirección. Cuando esta decisión llega al departamento de informática o área
TI, es importante explicarles claramente el porqué de esa decisión, las ventajas que se
esperan conseguir con este proyecto, cómo se van a simplificar muchas de las tareas
de su área una vez implantado el sistema, etc.

Es difícil conseguir que perfiles eminentemente técnicos vean la utilidad de medir

para mejorar

En este tema es importante que tanto desde la Dirección de la organización como por
parte de la empresa consultora, se haga un esfuerzo extra en inculcar a los técnicos que
participen en el proyecto las ventajas que supone saber que, por ejemplo, ahora se
resuelven las incidencias de seguridad en 2 minutos menos de media que el mes
pasado, pero que sin embargo hay que hacer un esfuerzo extra en mejorar el proceso
de copias de respaldo ya que se han incrementado el número de fallos en un 10%.

Es costoso involucrar a Áreas como Recursos Humanos, Departamento Legal,

Administración, Comercial, etc., en un proyecto liderado por el Departamento TIC
y que ven como ajeno a ellos

Evidentemente, toda la información crítica para el negocio no está necesariamente ‘en

manos’ del área TI. En la mayoría de las empresas, no sólo muchos departamentos
tienen sus propias aplicaciones que se muestran reticentes a abandonar, sino que aun
hoy hay mucha documentación que se maneja y/o archiva en formato papel, algo que
también hay que tener en cuenta para que quede debidamente protegida (algo que en
cualquier caso la LOPD ya obliga a cumplir en relación con los datos de carácter
personal).

PÁG. 3
Además de estos departamentos, también es necesario que participen en el proyecto
de forma activa miembros del área de RR.HH, por los múltiples controles que les afectan
y el papel vital que tienen en el SGSI: CV-screening de las nuevas incorporaciones,
formación en materia de seguridad según la labor que van a desempeñar, medición de
la eficacia de las acciones formativas que reciban los empleados en materia de
seguridad, mantenimiento del registro de la educación-formación-experiencia y
habilidades de los miembros de la plantilla, etc.

Por último, uno de los dominios de control que incluye la ISO 27002 es el de conformidad
legal, y ahí es dónde entra en juego el departamento legal (si existe). Es imprescindible
cumplir con la legislación vigente en materia de seguridad de la información, y en
particular con la LOPD, que suele ser la legislación “a vigilar” en este ámbito (pero no la
única).

Si la dirección no apoya el proyecto activamente desde el principio y es

consciente de que debe asignar ciertos recursos internos para la definición e
implantación del sistema, el proyecto está condenado al fracaso

La afirmación previa no es particular para un Sistema de Gestión de Seguridad de la

información, sino que es válida para la implantación de cualquier Sistema de Gestión.
Al respecto, debe quedar claro que al menos el 80% de las tareas necesarias para
formalizar un SGSI ya las realizan la mayoría de empresas que tengan un área TI
medianamente organizada, pero esto no quita que durante la fase de definición del SGSI
se deba dedicar algo de tiempo extra a revisar, mejorar y en muchos casos documentar
las metodologías de trabajo del área, y en los casos en los que se detecten desviaciones
respecto a lo establecido por la norma se decida cómo abordar estas nuevas tareas y
se registre.

Seguridad de la Información en el Ecuador: Normativas, Legislación

El progreso tecnológico que ha experimentado la sociedad supone una evolución en las

formas de infringir la ley, dando lugar, tanto a las diversificaciones de los delitos
tradicionales como la aparición de nuevos actos ilícitos.

Esta situación ha motivado un debate en torno a la necesidad de diferenciar o no los

delitos informáticos del resto y de definir su tratamiento dentro del marco legal.

El delito electrónico en un sentido amplio es “cualquier conducta criminógena o criminal

que en su realización hace uso de la tecnología electrónica ya sea como método, medio
o fin”, y que, en un sentido estricto, el delito informático, es “cualquier acto ilícito penal
en el que las computadoras, sus técnicas y funciones desempeñan un papel ya sea
como método, medio o fin”.

El delito informático involucra acciones criminales que en primera instancia los países
han tratado de poner en figuras típicas, tales como: robo, fraudes, falsificaciones, estafa,
sabotaje, entre otros, por ello, es primordial mencionar que el uso indebido de las
computadoras es lo que ha creado la necesidad imperante de establecer regulaciones
por parte de la legislación.

PÁG. 4
El informe de Evolución de Incidentes de Seguridad que corresponde al año 2007,
elaborado anualmente desde 1999 por Red IRIS, determina que el incremento de
incidentes que ha habido entre el año 2006 y 2007 es el 63.32%.

En el que se involucran escaneo de puertos en busca de equipos vulnerables,

vulnerabilidades de sistemas web, errores de programación, vulnerabilidades de
navegadores.

En la legislación del Ecuador bajo el contexto de que la información es un bien jurídico

a proteger, se mantienen leyes y decretos que establecen apartados y especificaciones
acordes con la importancia de las tecnologías, tales como:

International Business. Money Exchange. Real Estate. Legal Advice Online.

Panamá. ÁreaBancaria. Calle Ricardo Arias. Piso 1ª. Ecuador. City Office.
Benjamín Carrión y Emilio Romero. Piso 4°.

1. Ley Orgánica de Transparencia y Acceso a la Información Pública.

2. Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.
3. Ley de Propiedad Intelectual.
4. Ley Especial de Telecomunicaciones.
5. Ley de Control Constitucional (Reglamento Habeas Data).

Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.

La Ley de Comercio Electrónico, Firmas Digitales y Mensaje de Datos (LCElec.) fue

publicada en el Registro Oficial N° 557 del 17 de Abril del 2002 en el que se dispone
que los mensajes de datos tendrán, igual valor jurídico que los documentos escritos.

La Ley de Comercio Electrónico, Firmas Digitales y Mensaje de Datos está conformada

por cinco títulos conteniendo cada uno varios capítulos y artículos

1. Título Preliminar.
2. De las Firmas electrónicas, certificados de firmas electrónicas, entidades de
certificación de información, organismos de promoción de los servicios
electrónicos, y de regulación y control de las entidades de certificación
acreditadas.
3. De los servicios electrónicos, la contratación electrónica y telemática, los
derechos de los usuarios, e instrumentos públicos.
4. De la prueba y notificaciones electrónicas.
5. De las infracciones informáticas.

La Ley contiene los principios jurídicos que regirán las transmisiones de los mensajes
de datos. Se le concede pleno valor y eficacia jurídica a los mensajes de datos, tanto a
su información como a su contenido general; la interpretación de la Ley y el ejercicio de
la Propiedad Intelectual se rigen por la legislación ecuatoriana y por los tratados
internacionales incorporados al cuerpo legal ecuatoriano.

International Business. Money Exchange. Real Estate. Legal Advice Online.

Panamá. ÁreaBancaria. Calle Ricardo Arias. Piso 1ª. Ecuador. City Office.
Benjamín Carrión y Emilio Romero. Piso 4°.

Se protege la confidencialidad de los mensajes de datos en sus diversas formas,

señalando lo que se entenderá por tal concepto y su violación. Se equipará el
documento escrito con el documento electrónico para el caso en que se requiera la

PÁG. 5
presentación de un documento escrito, procediendo de igual manera con el documento
original y la información contenida en él, siempre y cuando exista garantía de su
conservación inalterable.

Como punto esencial, se establece que la firma electrónica tendrá validez cuando conste
como un requisito de legalidad documental. Además se protege las bases de datos
creadas u obtenidas por transmisión electrónica de un mensaje de datos, concediendo
al titular de dichos datos el poder para autorizar la disposición de su información, sea
que dichos datos fueron obtenidos como usuario de un servicio o sea que fueron
obtenidos en el intercambio de mensajes de datos. Se ratifica la defensa legal mediante
el Derecho Constitucional de Habeas Data.

Ley Especial de Telecomunicaciones.

La Ley Especial de Telecomunicaciones fue publicada en el Registro Oficial N° 996 del

10 de Agosto de 1992, en el que se declara que es indispensable proveer a los servicios
de telecomunicaciones de un marco legal acorde con la importancia, complejidad,
magnitud tecnología y especialidad de dichos servicios, así como también asegurar una
adecuada regulación y expansión de los sistemas radioeléctricos, y servicios de
telecomunicaciones a la comunidad que mejore de forma permanente la prestación de
los servicios existentes.

La Ley Especial de Telecomunicaciones tiene por objeto normar en el territorio nacional

la instalación, operación, utilización y desarrollo de toda transmisión, emisión o
recepción de signos, señales, imágenes, sonidos e información de cualquier naturaleza
por hilo radioelectricidad, medios ópticos y otros sistemas electromagnéticos.

PÁG. 6
Bibliografía

 https://www.securityartwork.es/2009/03/29/errores-comunes-en-la-
implantacion-de-un-sgsi/
 https://www.securityartwork.es/2009/05/21/cosas-a-tener-en-cuenta-en-la-
implantacion-de-un-sgsi/
 Guagalango Vega, R. N., & Moscoso Montalvo, P. E. (2011). Evaluación técnica de la
seguridad informática del Data Center de la Escuela Politécnica del
Ejército (Bachelor's thesis, SANGOLQUI/ESPE/2011).
 Landi Diez, J. C. (2007). Introducción a la biometría informática y análisis de huella
dactilar como fuentes de autenticación en sistemas de seguridad (Bachelor's thesis).

PÁG. 7