ESTNDARES Y BUENAS PRCTICAS

DE SEGURIDAD INFORMTICA
Juan Sebastin Santacruz P.
Andrs David Ros L.

Diego Fernando Figueroa V.

ESTNDARES Y BUENAS PRCTICAS

DE SEGURIDAD INFORMTICA

ITIL
Propone el establecimiento de estndares que nos
ayuden
en
el
control,
operacin
y
administracin de los recursos.
Plantea hacer una revisin y reestructuracin de
los procesos existentes en caso de que estos lo
necesiten.
Otra de las cosas que propone es que para cada
actividad que se realice se debe de hacer la
documentacin pertinente (con fechas de cambio
y modificaciones), ya que esta puede ser de gran
utilidad para otros miembros del rea.

BIBLIOTECA ITIL

La biblioteca de infraestructura de ITIL toma

este nombre por tener su origen en un conjunto
de libros, cada uno dedicado a una prctica
especfica dentro de la gestin de TI.
El conjunto de mejores prcticas ITIL provee un
conjunto completo de prcticas que abarca no slo
los procesos y requerimientos tcnicos y
operacionales, sino que se relaciona con la
gestin
estratgica,
la
gestin
de
operaciones y la gestin financiera de una
organizacin moderna.

LOS OCHO LIBROS DE ITIL Y SUS TEMAS SON:

Gestin de Servicios de TI
1. Prestacin de Servicios
2. Soporte al Servicio

Otras guas operativas

3. Gestin de la infraestructura de TI
4. Gestin de la seguridad
5. Perspectiva de negocio
6. Gestin de aplicaciones
7. Gestin de activos de software

Para asistir en la implementacin de prcticas ITIL, se public un libro adicional

con guas de implementacin
8. Planeando implementar la Gestin de Servicios

Adicional a los ocho libros originales, ms recientemente se aadi una gua con
recomendaciones para departamentos de TIC ms pequeos:
9. Implementacin de ITIL a pequea escala

CONTROL OBJECTIVES FOR

INFORMATION AND RELATED
TECHNOLOGY (COBIT)
Es un estndar abierto desarrollado y promovido
por el Instituto de Gobernacin de TI.
Apoyado en las necesidades gerenciales en cuanto
a monitoreo de los niveles apropiados de
seguridad de TI que se deben seguir en las
organizaciones.
El Modelo de Madurez en el cual se basa COBIT,
consiste en un mtodo que evala el grado de
control sobre los procesos de TI de una
organizacin en una escala de 0 a 5, donde el
menor (0) significa "No existe" y el mayor
"Optimizado" (5).

LA ESCALA DE MADUREZ ES LA SIGUIENTE:

0 No existe: Los procesos gerenciales no son

aplicados: No existen procesos reconocidos. La
organizacin no ha reconocido que existe un
problema que debe ser resuelto.
1
Inicial: Los procesos son AdHoc y
desorganizados: Existe la evidencia de que la
organizacin ha reconocido que existe un problema
y la necesidad de resolverlo.
2 Repetitivo: Los procesos siguen un patrn
regular: Los procesos se han desarrollado a un
determinado nivel y procedimientos similares son
seguidos por diferentes personas que realizan la
misma tarea dentro de la empresa.

3 Definido: Los procesos estn documentados y comunicados: Los

procedimientos han sido estandarizados, documentados y
comunicados por medio de entrenamiento. Sin embargo, est
pendiente el cumplimiento de dichos procesos por cada individuo,
con lo cual es poco probable que las desviaciones sean detectadas.
4 Gerenciado: Los procesos son monitoreados y medidos: Es posible
la medicin y monitorizacin conforme a los procedimientos y
realizar acciones donde existan procesos que no parezcan estar
funcionando con efectividad. Los procesos estn bajo constantes
mejoras y se proveen de buenas prcticas.
5 Optimizado: Basados en mejores prcticas y estn automatizadas:
Los procesos han sido refinados a nivel de mejores prcticas,
basados en resultados de mejoras continuas y modelos de madurez
respecto de otras organizaciones. Las TI son usadas para
automatizar de manera integral el flujo de trabajo, suministrando
herramientas para mejorar la efectividad y la calidad, haciendo que
la organizacin se adapte de manera rpida a los cambios del
entorno.

NIST-NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY

La gua del NIST est enfocada para su uso en agencias

Federales estadounidenses.
Entornos gubernamentales
Entornos privados.

Publicaciones draft, es decir, un borrador, y no una

versin final.
Fundado en 1901, es una agencia federal no regulador
que forma parte del Departamento de Comercio
(Department
of
Commerce)
de
los
EE.UU.

La misin del NIST consiste en

Elaborar y promover patrones de la medicin.

Elaborar estndares y la tecnologa con el fin de

realzar la productividad.

Facilitar el comercio y mejorar la calidad de vida.

En el ao fiscal 2008, los recursos totales de

NIST son 931,5 millones de dlares.

NIST LLEVA A CABO SU MISIN A TRAVS DE

CUATRO PROGRAMAS COOPERATIVOS:

Laboratorios del NIST (NIST Laboratories)

Programa de Calidad Nacional Baldrige (Baldrige

National Quality Program)

La Asociacin de Extensin Manufacturera

(Manufacturing Extension Partnership - MEP)

Programa de la Tecnologa e Innovacin (TIP)

El NIST emplea aproximadamente

2900 cientficos, ingenieros, tcnicos, y personal
administrativo y de apoyo.
2600 colegas y usuarios de las instalaciones de la
academia, la industria y otros organismos
gubernamentales.
1600
especialistas en la fabricacin MEP
(asociacin de extensin de manufacturero)
http://www.nist.gov/

NIST DRAFT SP 800-123

Esta gua tiene como objetivo ayudar a las
organizaciones a instalar, configurar y mantener
servidores seguros.
Proporciona recomendaciones sobre cmo
securizar el sistema operativo y el software de un
servidor, as como mantener la configuracin
segura a travs de parches y actualizaciones,
tests de seguridad, monitorizacin de logs y
backup de ficheros de datos y de sistema
operativo.

OSSTMM

Metodologa Abierta de Comprobacin de la Seguridad creada por la

organizacin ISECOM, el Instituto para la Seguridad y las
Metodologas Abiertas, es uno de los estndares profesionales ms
completos y comnmente utilizados en Auditoras de Seguridad para
revisar la Seguridad de los Sistemas desde Internet. Incluye un
marco de trabajo que describe las fases que habra de realizar para la
ejecucin de la auditora.
El "Manual de la Metodologa Abierta de Testeo de Seguridad" es un
documento que refiere, de forma estandarizada y ordenada, las
diversas verificaciones y pruebas que debe realizar un profesional de
la seguridad informtica durante el desarrollo de las auditorias y
verificaciones de la seguridad.
OSSTMM se centra en los detalles tcnicos en exactamente qu
artculos deben someterse a prueba, qu hacer antes, durante y
despus de una prueba de seguridad, y cmo medir los resultados.

Seccin A -Seguridad de la Informacin

Seccin B - Seguridad de los Procesos

Seccin C - Seguridad en las tecnologas de Internet

Seccin D - Seguridad en las Comunicaciones

Seccin E - Seguridad Inalmbrica

Seccin F - Seguridad Fsica

http://www.isecom.org/

SANS

En 1999, se fund SANS GIAC, el Global Information Assurance

Certification, que ha permitido a ms de 20.000 profesionales de
seguridad demostrar sus habilidades y satisfacer las normas
desafiantes. GIAC es nico en el mbito de las certificaciones de
seguridad de la informacin no slo la prueba de conocimientos de un
candidato, sino tambin la prueba de la capacidad de un candidato
para poner ese conocimiento en prctica en el mundo real.
Es una oorganizacin lder en capacitacin en seguridad informtica,
el Instituto SANS es conocido por proveer capacitacin intensiva en
inmersin de diseado para ayudar a tomar las medidas prcticas
necesarias para la defensa de los sistemas y redes. Adems de
desarrollar, mantener y poner a disposicin sin costo la mayor
coleccin de documentos de investigacin sobre diversos aspectos de
la seguridad de la informacin
SANS cuenta con documentacin certificada en temas como:

Cliente Vulnerabilidades en:

-Navegadores Web
-Software de oficina
-Clientes de correo electrnico
Servidor Vulnerabilidades en:
-Aplicaciones Web
- Servicios de Windows
-Unix y Mac OS Servicios
-Software de copia de seguridad
-Anti-virus software
- Servidores de administracin
- Base de datos de software
Seguridad comn y de personal:
-Excesiva de derechos de usuario y dispositivos no autorizados
- Phishing / Spear phishing
Abuso de la aplicacin:
-Mensajera instantnea
-Programas Peer-to-Peer
Los dispositivos de red:
-Servidores de VoIP y Telefona http://www.sans.org

COMMON CRITERIA

En estos primeros aos 90, es cuando la Organizacin Internacional para la

Estandarizacin (ISO) tambin comienza su inters y trabajo en esta materia,
que le llevar a dar como fruto, en 1999, lo que hoy conocemos como ISO-IEC
15408 o certificacin Common Criteria (CC).
Define los criterios para evaluar la seguridad de los productos o sistemas de
las TI. Este certificado establece el nivel ms completo y riguroso de
seguridad a nivel mundial.
El propsito de esta norma es permitir la especificacin de los requisitos de
seguridad a todos los niveles: usuarios, desarrolladores y evaluadores, siendo
stos ltimos los que verifican si los requisitos que un usuario o desarrollador
proclama se cumplen de un modo efectivo para un producto determinado
Es importante notar CC utiliza una graduacin de requisitos llamada
Evaluation Assurance Levels, normalmente conocidas como EALs, las cuales
estn numeradas del 1 al 7, siendo creciente el nmero de controles y
requisitos a cumplir.

1: funcionalmente Probado
2: Probado estructuralmente
3: metdicamente Probado y comprobado
4: metdicamente diseado, probado y revisado
5: Semi formalmente diseado y probado
6: Semi formalmente Verificado Diseo y Prueba
7: Formalmente Verificado Diseo y Prueba

Beneficios y ventajas de la CC
Entre los beneficios y ventajas de conseguir una certificacin Common
Criteria est, en primer lugar, el prestigio internacional en materia de
seguridad que este sello posee. Por otra parte, el CCN destaca que el
propio proceso de evaluacin conlleva, por un lado, la mejora de las
caractersticas de seguridad del producto y, en ocasiones, incluso la
mejora de los procesos de desarrollo del fabricante.

http://www.commoncriteriaportal.org/index.html

MAGERIT-METHODOLOGY FOR INFORMATION

SYSTEMS RISK ANALYSIS AND MANAGEMENT

Es una metodologa de anlisis y gestin de riesgos de

los Sistemas de Informacin
Elaborada por el Consejo Superior de Administracin
Electrnica para minimizar los riesgos de la
implantacin y uso de las Tecnologas de la
Informacin.
Actualmente est en su versin 2.
MAGERIT ofrece una aplicacin, PILAR para el
anlisis y gestin de riesgos de un Sistema de
Informacin.

Evaluacin del riesgo.

Conocer el riesgo al que estn sometidos los
elementos de trabajo es imprescindible para poder
gestionarlos.
Por ello han aparecido multitud de guas
informales,
aproximaciones
metdicas
y
herramientas de soporte todas las cuales buscan
objetivar el anlisis para saber cun seguros (o
inseguros) estn y no llamarse a engao.
Es por ello que Magerit persigue una aproximacin
metdica que no deje lugar a la improvisacin, ni
dependa de la arbitrariedad del analista.

Guas:
Aproximacin
Procedimientos
Tcnicas
Responsables del dominio protegible
Desarrolladores de aplicaciones
Arquitectura de la informacin y especificaciones
de la interfaz de intercambio de datos.
Referencias de Normas Legales y Tcnicas( 31 de
diciembre de 1996)

ISM3

Es un estandar de ISECOM para la gestin de la seguridad de la informacin. Est pensado

para una mejorar la integracin con otras metodologas y normas como COBIT, ITIL o
CMMI. Ofrece muchas ventajas para la creacin de sistemas de gestin de la seguridad
ISM3 ve como objetivo la seguridad de la informacin, el garantizar la consecucin de
objetivos de negocio.de la informacin.
ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de
una organizacin con los objetivos de seguridad (como dar acceso a las bases de datos slo a
los usuarios autorizados).
Algunas caractersticas significativas de ISM3 son:

Mtricas de Seguridad de la Informacin

Niveles de Madurez
Basado en Procesos
Adopcin de las Mejores Prcticas
Certificacin
Accesible

OCTAVE

Evala amenazas y vulnerabilidades de los recursos

tecnolgicos y operacionales importantes de una
organizacin
Usa mltiples niveles de la organizacin, principalmente
se enfocan en:
Identifica asuntos y labores crticas as como las
amenazas a esos asuntos.
Identificar vulnerabilidades organizacionales y
tecnolgicas, que exponen amenazas creando riesgo a la
organizacin.
Desarrollar una estrategia de proteccin basada en la
prctica as como planes de migracin de riesgos para
mantener la misin y prioridades de la organizacin.

NIVELES
Proceso 1

Identificacin de
la informacin a
nivel gerencial

Proceso 4

Proceso 2

Identificacin de
la informacin a
nivel operacional.

Identificacin de
la informacin a
nivel de usuario
final

Proceso 5

Proceso 6

Consolidacin y
creacin de
perfiles de
amenaza

Identificacin de
componentes
clave

Proceso 7

Proceso 8

Anlisis de
riesgos y
recursos crticos

Proceso 3

Desarrollo de
estrategias de
proteccin

Evaluacin de
componentes
seleccionados

AGENCIA EUROPEA DE SEGURIDAD DE

REDES Y DE INFORMACIN (ENISA)

ENISA permite mejorar la capacidad de los

Estados miembros, de las Instituciones de la UE
y de la comunidad empresarial de hacer frente
a los problemas de seguridad de las redes y
de la informacin
La misin de ENISA, es ayudar a la Comunidad
a obtener unos niveles particularmente altos
de seguridad de las redes y de la
informacin.

Para ello, las actividades de ENISA se centran en:

Asesorar y hacer frente a los problemas de seguridad del
material y de los programas informticos (hardware y
software) en contacto con el sector empresarial.
Recoger y analizar datos sobre las incidencias que se
producen en Europa en materia de seguridad.
Fomentar la evaluacin y los mtodos de gestin de los
riesgos para mejorar la capacidad de hacer frente a
cualquier amenaza a la seguridad de la informacin.
Respaldar el establecimiento de normas para productos
y servicios relacionados con la sociedad de la
informacin

http://www.enisa.europa.eu/

GUA DEL USUARIO: ELABORAR PROGRAMAS

DE SENSIBILIZACIN SOBRE LA SEGURIDAD
DE LA INFORMACIN

Ilustra los principales procesos para planificar,

organizar y poner en prctica iniciativas
destinadas a sensibilizar al pblico sobre la
seguridad de la informacin: planificacin y
valoracin, ejecucin y gestin, evaluacin y
modificacin.
En ella, se analiza cada uno de estos procesos y
se identifican cronolgicamente las actuaciones y
dependencias.