SEGURIDAD DE LA INFORMACION - ISO 27003

TCNICAS DE SEGURIDAD. DIRECTRICES PARA LA IMPLEMENTACIN DE

UN SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN
PARTE I. MARCO TEORICO
El Sistema de Gestin de Seguridad de la Informacin ISMS es la parte del
sistema integral de gestin, basado en un enfoque del riesgo de la informacin
para establecer , implementar , operar, monitorear, revisar, mantener y
mejorar la seguridad de la informacin. [NTP-ISO/IEC 27001]
Este sistema de gestin incluye la estructura organizacional, polticas,
actividades de planificacin, responsabilidades, practicas, procedimientos,
procesos y recursos, basado en el modelo PDCA (Figura 1).

Fuente: NTP 27001:2008

Figura 1 Modelo PDCA aplicado al proceso ISMS

El Objetivo del ISO 27003 es proporcionar orientacin prctica en el desarrollo
del plan de implementacin para un Sistema de Gestin de Seguridad de
Informacin.
Para el presente desarrollo del tema se tom como referencia el Proyecto de
Norma Peruana PNTP-ISO/IEC 27003:2012 TECNOLOGA DE LA INFORMACIN.
Tcnicas de seguridad Directrices para la implementacin de un sistema de
gestin de la seguridad de la informacin, que es un equivalente de la ISO/IEC
27003:2010 Information technology -- Security techniques -- Information

security management system implementation guidance, esto debido a la falta

de documentacin oficial en espaol del presente ISO.
Algunas restricciones a considerar es que PNTP-ISO/IEC 27003:2012 no cubre
las actividades de operacin y otras actividades del ISMS, sino que abarca los
conceptos sobre cmo disear las actividades que tendrn lugar despus de
que comiencen las operaciones del ISMS
Tiene como objeto y campo de aplicacin los aspectos crticos necesarios para
el diseo e implementacin exitosa de un Sistema de Gestin de la Seguridad
de la Informacin (SGSI) de acuerdo con NTP-ISO/IEC 27001:2008
1. ESTRUCTURA GENERAL DE CAPTULOS:
La PNTP-ISO/IEC 27003 explica la implementacin de un SGSI enfocando
en la iniciacin, planificacin y definicin del proyecto. El proceso de
planificacin de la implementacin final del SGSI contiene cinco fases y
cada fase est representada por un captulo independiente. Todos los
captulos tienen una estructura similar, las cinco fases son:
a) Obtener la aprobacin gerencial para iniciar un proyecto SGSI
(Captulo 5).
b) Definir el Alcance del SGSI y la Poltica del SGSI (Captulo 6).
c) Realizar un Anlisis de la Organizacin (Captulo 7). d) Realizar una
Evaluacin del
d) Riesgo y planificar el Tratamiento del Riesgo (Captulo 8).
e) Disear el SGSI (Captulo 9).
La Figura 2 ilustra las cinco fases de la planificacin del proyecto SGSI
con las referencias a las normas ISO/IEC y los documentos de salida
principales.

F
uente: PNTP-ISO/IEC 27003

Figura 2 Fases del proyecto SGSI

2. FASES DE IMPLEMENTACION DEL SGSI
2.1DEFINIR EL ALCANCE, LMITES Y POLTICA DEL SGSI
El Objetivo de esta fase es definir detalladamente el alcance y los
lmites del SGSI y desarrollar la poltica del SGSI, obteniendo el aval
de la direccin.
2.2REALIZAR UN ANLISIS DE REQUERIMIENTOS DE SEGURIDAD DE LA
INFORMACIN
El Objetivo de esta fase es definir los requerimientos relevantes a ser
soportados por el SGSI, identificar los activos de informacin y
obtener el estado actual de la seguridad dentro del alcance.
2.3REALIZAR UNA EVALUACIN DEL RIESGO Y PLANIFICAR EL
TRATAMIENTO DEL RIESGO
El Objetivo de esta fase es definir la metodologa de evaluacin del
riesgo, identificar, analizar y evaluar los riesgos de seguridad de
informacin para seleccionar las opciones de tratamiento del riesgo y
seleccionar los objetivos de control y los controles.
2.4DISEAR EL SGSI
El objetivo de esta fase es completar el plan final de implementacin
del SGSI a travs de: el diseo de seguridad de la organizacin
basado en las opciones seleccionadas para el tratamiento del riesgo,
as como los requisitos relativos a registro y documentacin y el
diseo de los controles que integran las disposiciones de seguridad
en los procesos de TIC, fsicos y organizacionales y del diseo de los
requisitos especficos del SGSI.
3. DESCRIPCION DE LA LISTA DE VERIFICACION
En el presente cuadro se muestra cada uno de los pasos a considerar
para la implementacin de la SGSI en base a las fases descritas en el
punto 2. Su propsito es:
Proveer una lista de verificacin de actividades requeridas para
establecer e implementar un SGSI;
Apoyar el seguimiento del progreso de la implementacin de un SGSI;
Relacionar las actividades de implementacin de un SGSI con sus
respectivos requisitos en NTP-ISO/IEC 27001.
FASE DE
IMPLEMENTACIN
ISO/IEC 27003
5.Obtener la
aprobacin de la
direccin para la
implementacin de
un SGSI

NRO.
DE
PASO
1
2
3

ACTIVIDAD, REFERENCIA ISO/IEC

27003
Obtener objetivos del negocio de
la organizacin
Lograr la comprensin de los
sistemas de gestin existentes
5.2 Definir objetivos, necesidades
de seguridad de informacin,
requerimientos del negocio para
un SGSI

PASO
PREREQUISI
TO
Ninguno
Ninguno
1,2

DOCUMENTO DE SALIDA
Lista de objetivos de negocio de la
organizacin
Descripcin de sistemas de
gestin existentes
Resumen de los objetivos,
necesidades de seguridad de
informacin y requerimientos de
negocio para el SGSI

Obtener las normas

reglamentarias, de cumplimiento y
de la industria aplicables a la
empresa

5.3 Definir alcance preliminar del

SGSI

6. Definir alcance y
poltica de un SGSI

5.4 Crear el caso de negocio y el

plan de proyecto para aprobacin
de la direccin
5.5 Obtener aprobacin de la
direccin y compromiso para
iniciar un proyecto para
implementar un SGSI

Ninguno

3,4

Definir lmites organizacionales

6.3 Definir lmites de las

tecnologas de la informacin y las
comunicaciones

10

6.4 Definir lmites fsicos

11

6.5 Finalizar lmites para el alcance

del SGSI

12

6.6 Desarrollar la poltica del SGSI

13

7.2 Definir los requerimientos de

seguridad de la informacin que
den soporte al SGSI

12

14

7.3 Identificar activos dentro del

alcance del SGSI

13

8,9,10
11

7 Realizar un
anlisis de la
organizacin

15

7.4 Generar una evaluacin de

seguridad de la informacin

14

Resumen de las normas

reglamentarias, de cumplimiento y
de la industria aplicables a la
empresa
Descripcin de alcance preliminar
del SGSI(5.3.1)
Definicin de roles y
responsabilidades del SGSI (5.3.2)
Caso de negocio y plan de
proyecto propuesto
Aprobacin de la direccin para
iniciar un proyecto para
implementar un SGSI
Descripcin de lmites
organizacionales
Funciones y estructura de la
organizacin
Intercambio de informacin a
travs de lmites
Procesos de negocio y
responsabilidad sobre los activos
de informacin dentro y fuera del
alcance
Descripcin de los lmites de las
TIC
Descripcin de sistemas de
informacin y redes de
telecomunicacin describiendo lo
comprendido y lo fuera del alcance
Descripcin de lmites fsicos
para el SGSI
Descripcin de la organizacin y
sus caractersticas geogrficas
describiendo alcance interno y
externo
Un documento describiendo el
alcance y los lmites del SGSI
Poltica del SGSI aprobada por la
direccin
Lista de las principales funciones,
ubicaciones, sistemas de
informacin, redes de
comunicacin
Requerimientos de la organizacin
referentes a confidencialidad,
disponibilidad e integridad
Requerimientos de la organizacin
relacionados a requisitos legales y
reglamentarios, contractuales y de
seguridad de informacin del
negocio
Lista de vulnerabilidades
conocidas de la organizacin
Descripcin de los principales
proceso de la organizacin
Identificacin de activos de
informacin de los principales
procesos de la organizacin
Clasificacin de proceso/activos
crticos
Documento del estado actual de
seguridad de la informacin de la
organizacin y su evaluacin
incluyendo controles de seguridad
existentes.

16

8.2 Realizar una evaluacin del

riesgo

15

Documento de las deficiencias

de la organizacin evaluadas y
valoradas
Alcance para la evaluacin del
riesgo
Metodologa de evaluacin del
riesgo aprobada, alineada con el
contexto de gestin de riesgos de
la organizacin.
Criterio de aceptacin del riesgo.

17
8. Realizar una
evaluacin del
riesgo y Seleccionar
Opciones de
Tratamiento del
Riesgo

8.3 Seleccionar objetivos de

control y controles

16

18

8.4 Obtener aprobacin de la

direccin para implementar un
SGSI

17

19

Aprobacin de la direccin del

riesgo residual

18

20

Autorizacin de la direccin para

implementar y operar el SGSI

19

21

Preparar declaracin de
aplicabilidad

18

9 Disear el SGSI

22

9.2 Disear la seguridad de la

organizacin

23

9.3 Disear la seguridad de la

informacin fsica y de las TIC

24

9.4 Disear la seguridad de la

informacin especfica del SGSI

20

20, 21

22,23

25
26
27

9.5 Producir el plan final del

proyecto SGSI

25

Evaluacin del riesgo de alto nivel

documentada
Identificar la necesidad de una
evaluacin del riesgo ms
detallada
Evaluacin de riesgos detallada
Resultados totales de la evaluacin
de riesgos
Riesgos y las opciones
identificadas para el tratamiento
del mismo
Objetivos de control y controles
para la reduccin de riesgos
seleccionados.
Aprobacin de la direccin
documentada del riesgo residual
propuesto (debera ser la salida de
8.4)
Autorizacin de la direccin
documentada para implementar y
operar SGSI (debera ser la salida
de 8.4)
Declaracin de aplicabilidad
Estructura de la organizacin y
sus roles y responsabilidades
relacionados con la seguridad de la
informacin
Identificacin de documentacin
relacionada al SGSI
Plantillas para los registros del
SGSI e instrucciones para su uso y
almacenamiento
Documento de poltica de
seguridad de informacin
Lnea base de polticas de
seguridad de la informacin y
procedimientos (y si es aplicable
planes para desarrollar polticas,
procedimientos, etc. especficos)
Implementacin del plan de
proyecto para el proceso de
implementacin para los controles
de seguridad fsicos y de las TIC
seleccionados
Procedimientos describiendo el
reporte y los procesos de revisin
por la direccin.
Descripciones para auditoras,
seguimientos y mediciones
Programa de entrenamiento y
concientizacin
Plan de proyecto de
implementacin aprobado por la
direccin para los procesos de
implementacin

28

El plan final del proyecto SGSI

28

Plan de proyecto de
implementacin del SGSI
especifico de la organizacin
cubriendo el plan de ejecucin de
las actividades para seguridad de
la informacin organizacional,
fsica y de las TIC, as como
tambin los Requerimientos
especficos para implementar un
SGSI de acuerdo al resultado de
las actividades incluidas en ISO/IEC
27003

Fuente: PNTP-ISO/IEC 27003 Anexo A / Descripcin de

Lista de Verificacin

PARTE II. CASO PRCTICO

CASO FICTICIO: Aplicacin de la NTP/ISO 27003 en la Fbrica de Software
WANCA-SOFT
I.

Obtencin de la aprobacin de la direccin para la implementacin de un

SGSI
Esta parte permiti que la alta gerencia de la empresa entendiera la importancia del
proyecto y la necesidad del apoyo del recurso humano, factor vital para el inicio de la
fase de levantamiento de informacin. Esta fase fue exitosa gracias a que se mostraron
puntos tales como: cumplimiento y rendimiento de la inversin de una forma eficaz,
hacindoles entender que si una organizacin cumple con la normatividad sobre
proteccin de datos sensibles, privacidad y control de TI, los resultados a futuro
mejoraran de forma sustancial el impacto estratgico de la compaa, y aunque
represente un gasto considerable, genera as mismo a futuro un Retorno de la Inversin
(ROI Return Over Investment) y una ganancia financiera representados en incidentes
o desastres durante el proceso de desarrollo de software.

II.

Definir alcance y poltica de un SGSI

Por la complejidad de la implementacin de la norma, se recomend definir de manera
sistemtica el alcance del proyecto, en las reas de DESARROLLO DE SOFTWARE y
SEGURIDAD DE RECURSOS HUMANOS.
Cualquier otro proceso que la organizacin considere incluir dentro del SGSI es vlido,
lo que se recomienda es que la decisin de incluir ms procesos sea con base en un
anlisis que en efecto sugiera la importancia de incluir dicho proceso, no se quiere
hacer un SGSI muy robusto y poco efectivo, por el contrario, hacerlo lo ms simple
posible es una buena prctica, ms aun cuando la organizacin empieza desde ceros el
desarrollo del Sistema.

III. Realizar un anlisis de la organizacin

a) Identificacin de activos dentro del alcance del SGSI: Para este punto se
sugiri realizar un inventario de los activos para tener un control ms riguroso de los
mismos. Toda la informacin y activos asociados a los recursos para el tratamiento

de la informacin, deberan tener un propietario y pertenecer a una parte designada

de la Organizacin.
Para realizar un anlisis de riesgos se parte del inventario de activos. Para
determinar cul era la situacin actual de la Organizacin, se realiz un anlisis de
gap, cuyos resultados se muestran en la figura 1, donde se puede apreciar que un
20% de los activos de la Comunidad no tienen un procedimiento implantado, lo cual
representa un porcentaje bastante alto.

Figura 1. Anlisis gestin de activos

b) Evaluacin de seguridad de la informacin en relacin a los recursos
humanos: Tuvo como objetivo evaluar si los empleados, contratistas y usuarios de
terceras partes, entienden sus responsabilidades y son aptos para ejercer las
funciones para las cuales fueron considerados, con el fin reducir el riesgo de hurto,
fraude o uso inadecuado de las instalaciones.
IV. Evaluacin del riesgo y Seleccin de Opciones de Tratamiento del Riesgo
a) Se realizo una evaluacin del riesgo en base a la metodologa que cuenta
Wanka-Soft el cual se denomina MERWS (Metodologa de Evaluacin de Riesgos
Wanka-Soft), La evaluacin de riesgo se dio sobre el proceso de Desarrollo de
Software y los Recursos Humanos. Esta metodologa permiti:
- Identificar los riesgos
- Analizar y evaluar los riesgos encontrados
- Definir objetivos de Control y Controles para el tratamiento de riesgos
- Proponer opciones para el tratamiento de riesgos
b) Asimismo se realizo el anlisis de las amenazas y vulnerabilidades, lo cual
requiri las siguientes actividades:
- Realizar una lista de las amenazas que puedan presentarse en forma
accidental o intencional con relacin a los activos de informacin. Diferenciar
estas amenazas de las vulnerabilidades de los activos ya que el anlisis debe
radicar en las amenazas.
- Identificar los riesgos internos de los procesos analizando tanto las
actividades que se desarrollan como las amenazas identificadas.
- Identificar los riesgos externos de los procesos. Es necesario analizar los
riesgos que se pueden presentar cuando se subcontrata un servicio o existe
personal externo a la organizacin.
- Realizar un anlisis del ambiente organizacional, el ambiente tecnolgico y
los aspectos socioculturales que rodea la Organizacin para definir las
amenazas a las que pueden estar expuestos los activos.

EXTERNO
- Suplantacin de identidad
- Virus informtico o cdigo
malicioso
AMENAZAS- Robo de informacin del rea de desarrollo
- Hackers espionaje
- Hurto por personal externo
- Perdida de informacin causada
por virus o un cdigo malicioso
- Plagio de informes de resultados
- La filtracin de informacin de
RIESGOS
los proceso de desarrollo de
software
- Perdida de estatus y
reconocimiento de la empresa
en el mercado

INTERNO
Acceso no autorizado al rea de
desarrollo
Hurto por colaboradores
Alteracin de resultados
Divulgacin de la informacin
Uso indebido de la imagen
corporativa
Sabotaje
Falla del servidor o sistema
Emisin de informes de
resultados no confiables al ser
alterados por conveniencia
Perdida de informacin por
fallos en el servidor
Perdida de confidencialidad
Incoherencia en la informacin
entregada al cliente
Altos costos por reproceso de
anlisis

Ilustracin de Amenazas y riesgos identificados.

c) Aprobacin de la direccin para implementar un SGSI El criterio de aceptacin
estara
d)
V.