Estándares para la seguridad

de la información.

Introducción

La información y los procesos que la utilizan hacen parte de los activos más
importantes de una organización. Definir, lograr, mantener y mejorar la
seguridad de la información es esencial para mantener una ventaja
competitiva que permita alcanzar el éxito y lograr continuidad en un
mercado globalizado.

Para una organización competitiva es necesario implantar un sistema para

la gestión de la seguridad de la información, que permita tener unos
objetivos claros de seguridad y una evaluación de los riesgos posibles a los
que esté expuesta su información, asegurando así la continuidad del
negocio, minimizando el riesgo comercial y maximizando el retorno de las
inversiones y las oportunidades comerciales.

La International Organization for Standardization e International

Electrotechnical Commission ISO/IEC son los encargados de los estándares
que proporcionan un marco de la gestión de la seguridad de la información
utilizable para cualquier tipo de organización, privada o pública, pequeña o
grande.

1. Marco Teórico

La norma ISO 17799 es un código de buenas prácticas para la Gestión

de la Seguridad de la Información, esta norma surge como evolución
histórica de la norma británica BS 7799 y actualmente existen varias
adaptaciones de la misma que convergerán en un futuro próximo a las
normas de la serie ISO 27000.

La ISO 17799 introduce un cambio importante en los sistemas de

gestión de la seguridad de la información ya que los aborda desde un
punto de vista de continuidad de negocio y de mejora continua. Esta
norma hereda muchos conceptos de la serie de normas ISO 9000 y
subraya la seguridad entendida como proceso.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de

desarrollo- por ISO e IEC que proporcionan un marco de gestión de la
seguridad de la información utilizable por cualquier tipo de organización,
pública o privada, grande o pequeña; Los rangos de numeración
reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
3

1.1 Historia

La primera entidad normalizadora a nivel mundial BSI (British Standards

Institution) apareció por primera vez en 1995, proporcionando la gestión
de la seguridad de la información en las empresas Británicas con la norma
BS 7799. Esta norma se conformó por 2 partes, la BS 7799-1 fue la guía de
buenas prácticas (no certificable) y la BS 7799-2, publicada en 1998, que
estableció el SGSI (Sistema de Gestión de Seguridad de la Información)
como una entidad independiente para ser certificable.

Las normas mencionadas fueron revisadas en el año 1999, al año 2000

la norma BS-1799-1, sin cambios sustanciales, fue adoptada como la
norma ISO 17799.

Al año 2005 la norma BS 7799-2 se publicaría como ISO 27001 con

algunos cambios, en ese entonces, más de 1700 empresas estaban
certificadas con la norma BS 7799-2. Para la misma fecha fue revisada y
actualizada la norma ISO 17799, posteriormente el 1 de julio del 2007,
esta norma fue renombrada como ISO 27002:2005. En marzo de 2006,
BSI publicó la BS 7799-3:2006 centrada en la gestión del riesgo de los
sistemas de información.

Actualmente, ISO ha continuado el desarrollo de las normas de la serie

27000 apoyando a las organizaciones en la interpretación de la ISO/IEC
27001, que es la única norma certificable de la serie.

1.2 Línea de tiempo

Fue una guía de

buenas prácticas, para
la que no se establecía
un esquema de
certificación.

4
SENA - Servicio Nacional de Aprendizaje
 Fue una guía de buenas
BS 7799 Parte1 prácticas, para la que no se
Código de buenas establecía un esquema de
1995 Prácticas certificación.
...............................
Estableció los requisitos de
BS 7799 Parte 2 un sistema de seguridad de
Especificación del la información (SGSI) para
1998 SGSI
ser certificable.

...............................

Revisión de las
partes 1 y 2 de
1999 BS 7799
............................... La primera parte se adoptó
por ISO.
ISO/IEC 17799:2000
Parte 1 se adopta
2000 como ISO
...............................
Se revisó BS 7799-2 para
BS 7779-2:2002 adecuarse a la filosofía de
Revisión de la normas ISO de sistemas de
2002 Parte 2 gestión.

...............................

ISO/IEC 17799:2005 1700 empresas certificadas

en BS 7799-2, esta norma se
JUN Revisión de publicó por ISO.
2005 ISO 17799
...............................
Contiene los requisitos de
ISO/IEC 27001 SGSI, origen de la BS 7799-
2:2002 (que ya quedó
OCT Parte 2 se adopta anulada), es la única norma
como ISO de la serie 27000 que es
2005 certificable.

5
2. Dominios de control de las Normas

Cada una de las áreas o dominios de control de las normas establece una
serie de pautas que serán seleccionadas dependiendo de los resultados
obtenidos en el análisis de riesgos, además, existen controles obligatorios
para toda organización, como es el de las políticas de seguridad cuyo
número dependerá más de la organización que del estándar, el cual no
establece este nivel de detalle.

1.POLÍTICA DE SEGURIDAD

2. ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD

Seguridad
Organizativa
3. CLASIFICACIÓN Y CONTROL DE ACTIVOS

Seguridad
4. SEGURIDAD 5. SEGURIDAD 6. GESTIÓN DE
Lógica
EN EL FÍSICA Y DEL COMUNICACIONES 8. DESARROLLO Y

PERSONAL ENTORNO Y OPERACIONES MANTENIMIENTO

DE SISTEMAS
Seguridad
Física
7. CONTROL DE ACCESOS
9. GESTIÓN DE CONTINUIDAD DEL NEGOCIO Seguridad

10. CONFORMIDAD Legal

2.1 Políticas de seguridad

El estándar define que se deben

constituir las políticas de seguridad
donde se documenten los
procedimientos internos de la
organización, reflejando las expectativas
en materia de seguridad, las cuales
deben servir de soporte para el comité
de seguridad que revisa y actualiza
dichos procedimientos.

6
 2.2 Estructura organizativa para la
seguridad

El estándar define que se deben constituir las

políticas de seguridad donde se documenten los
procedimientos internos de la organización,
reflejando las expectativas en materia de
seguridad, las cuales deben servir de soporte para
el comité de seguridad que revisa y actualiza dichos
procedimientos.

2.3 Clasificación y control de activos

Se debe elaborar un inventario de activos

relacionados con los recursos de información, para
asegurar un nivel de protección adecuado a estos
con base en ciertos criterios de clasificación y
etiquetado de información, es decir, los activos
serán etiquetados de acuerdo con su nivel de
confidencialidad. Los recursos más importantes se
describen a continuación:

• Computadoras (PCs, portátiles, servidores,

mini) e impresoras.
• Equipos de comunicaciones (módem, switch,
router, PBX, fax, etc.)
• Archivos y bases de datos (con independencia de
los medios de comunicación: el disco duro, CD-
ROM, cinta, etc.)
• Aplicaciones (software)
• Documentos (contratos, procedimientos,
planes, registros, etc.).

2.4 Seguridad en el personal

La seguridad del personal no se orienta desde la

óptica de protección civil, sino para proporcionar
controles a las acciones del personal que opera con
los activos de información. El objetivo contempla
establecer un plan que permita informar a los
empleados sobre como operar con los activos de
información en materia de seguridad y
confidencialidad. Cada persona debe ser consciente
de implementar los procesos adecuados y saber que

7
 está sujeto a sanciones (incluso legales) en caso de
incumplimiento.

2.5 Seguridad física y del entorno

Este dominio trata sobre la incorporación de

medidas de protección a los equipos y software, así
como los controles en el manejo y transferencia de
información y el acceso a las diferentes áreas, son
puntos de vital importancia para evitar pérdidas o
daños tanto físicos como lógicos en la información.

El perímetro de seguridad de un local debe ser

protegido contra accesos no autorizados y contar
con sistemas de protección ante riesgos o desastres
naturales tales como fuego, inundaciones, sismos,
etc. Esta debe ser una de las primeras acciones en
ser implementada.

2.6 Gestión de comunicaciones y operaciones

Se debe asegurar la operación de la infraestructura

tecnológica y de controles de seguridad para evitar
la pérdida, modificación o uso indebido de la
información que se intercambia dentro y desde la
organización.

Para esto se integran los procedimientos de

operación de la infraestructura tecnológica y de
controles de seguridad documentados, documentando
los procesos que van desde el control de cambios en
la configuración de los equipos, manejo de incidentes,
administración de aceptación de sistemas, hasta el
control de código malicioso.

2.7 Control de accesos

Establecer mecanismos que permitan monitorear y

controlar el acceso a los activos de información,
para esto se deben definir procedimientos para la
gestión de usuarios, identificación de
responsabilidades o perfiles de seguridad y el
control de acceso a las aplicaciones.

8
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 2.8 Desarrollo y mantenimiento de sistemas

Se deben incorporar controles de seguridad en

todas las etapas del procesamiento de sistemas
dentro de la organización, a partir de la gestión de
las operaciones que se establezcan para garantizar
la seguridad de acuerdo con las mejores prácticas
definidas en las normas.

Se deben disponer de procedimientos que

garanticen la calidad y seguridad de los sistemas
desarrollados para tareas específicas de la
organización.

2.9 Gestión de continuidad del negocios

Para garantizar la disponibilidad del servicio se

deben contemplar planes de contingencia y
recuperación ante desastres, donde se detallen los
procedimientos a seguir para contrarrestar
interrupciones en las actividades de la organización
así como los procesos más importantes, los cuales
deberán ser revisados de manera constante para
determinar las limitaciones de los mismos.

2.10 Cumplimiento o conformidad de

la legislación

Se debe verificar que el cumplimiento de la norma

concuerda con otros requisitos jurídicos. La
organización debe establecer los requerimientos de
seguridad que deben todas las partes involucradas
en los procesos y estos se encontrarán
formalizados en los contratos o convenios.

9
AVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
3. Normas ISO 27000

El estándar ISO 27000 apunta a exigir niveles concretos y adecuados de

seguridad informática, niveles necesarios para las empresas que compiten
a través del comercio electrónico y que por lo tanto tienen que exponer sus
infraestructuras de información.

Al aplicar en una empresa o institución un estándar como ISO 27000 el

trabajo sobre la norma debe ser continuo, pues ISO año tras año publica
nuevas modificaciones con el fin de asegurar una correcta gestión de la
información de las organizaciones. Modificaciones orientadas a cubrir todas
las posibles brechas de seguridad informática, que puedan llevar a
cualquier tipo de riesgo la información de una organización.
La certificación ISO 27000 será una obligación de cualquier organización
que desee exigir niveles concretos y adecuados de seguridad informática.

Algunas normas que están en fase de desarrollo son las ISO/IEC 27010,
ISO/IEC 27013, ISO/IEC 27014, ISO/IEC 27015, ISO/IEC TR 27016,
ISO/IEC 27017, ISO/IEC 27032, ISO/IEC 27033, ISO/IEC 27034, ISO/IEC
27036, ISO/IEC 27037, ISO/IEC 27038, ISO/IEC 27039, ISO/IEC 27040.

3.1 ISO/IEC 27000

Publicada 1 de mayo de 2009.

Norma general de toda la serie 27000, una introducción a los SGSI, una
breve descripción del ciclo PDCA.

3.2 ISO/IEC 27001

Publicada el 15 de Octubre de 2005.

Contiene requisitos de los SGSI, es el origen de la norma BS 7799-
2:2002 (que ya quedó anulada), es la única norma de la serie 27000
que es certificable

3.3 ISO/IEC 27002

Publicada el 1 de Julio de 2007.

Nuevo nombre de la ISO 17799:2005.
Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la información.

10
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 3.4 ISO/IEC 27003

Publicada el 1 de Febrero de 2010.

Se centra en el diseño, implementación, procesos, aprobación y planes
en marcha para la dirección de un SGSI. Origen anexo B de la norma BS
7799-2.

3.5 ISO/IEC 27004

Publicada el 15 de Diciembre de 2009.

Determina la eficacia de un SGSI mediante el desarrollo de técnicas,
controles y grupos implementados según ISO/IEC 27001.

3.6 ISO/IEC 27005

Publicado el 15 de Junio de 2008 segunda edición 1 de Junio 2011.

Proporcionado para la gestión de riesgo en la seguridad de la
información, ayuda a la aplicación de la seguridad basada en el enfoque
de gestión de riesgos.

4. Seguridad

Una organización debe identificar sus requerimientos de seguridad, existen

tres fuentes generales para fomentar la seguridad de la información.

4.1 Requerimientos de seguridad

.................................................................................................
Se toman de los objetivos y estrategias de la
Evaluar los organización, se evalúan la vulnerabilidad y la
riesgos probabilidad de ocurrencia.
.................................................................................................
Requerimientos Satisfacer a sus socios comerciales, proveedores y
legales contratistas.
.................................................................................................
Principios Procesa la información de la organización para
comerciales sostener sus operaciones.
.................................................................................................
 4.2 Principios de seguridad
.................................................................................................
Asegurar que únicamente personal autorizado tenga
Confidencialidad acceso a la información.
.................................................................................................
Garantizar que la información no será alterada,
Integridad eliminada o destruida por entidades no autorizadas.
.................................................................................................
Asegurar que los usuarios autorizados tendrán acceso
Disponibilidad a la información cuando la requieran.
.................................................................................................

5. Norma ISO/IEC17799

Esta norma establece un conjunto de recomendaciones para las prácticas

exitosas de seguridad, aplicables a cualquier tipo de organización. A través de
la definición de metodologías o políticas, establece los criterios técnicos a
implementar o controlar para el manejo de la seguridad de la información.

La norma busca promover la competitividad en las empresas a partir de la

implantación de una cultura de gestión, seguridad y calidad para afrontar las
demandas de su sector, mejorando sus procesos con la garantía del aumento
de la seguridad de sus sistemas de información y de las comunicaciones.

Algunos de los aspectos que busca mejorar en cuanto a garantías de

seguridad y protección están relacionados con:

• Información recibida, procesada y administrada.

• Activos humanos, de información y materiales.
• Disponibilidad e integridad de la información.
• Confidencialidad de la información, a partir de la seguridad de acceso.
• Relaciones corporativas seguras.
• Planes de contingencia.
• Acreditación de la empresa a nivel sectorial.

12
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 5.1 Organización

La norma está organizada en áreas o dominios de control, objetivos

para cada una de ellas y controles aplicables a ella.

10 ÁREAS

36 OBJETIVOS

127 CONTROLES

Las áreas o dominios de control cubren las actividades requeridas para

garantizar la gestión de la seguridad de la información y son:

Tipo de seguridad: Táctico

Política de seguridad
Organizativa Lógica
Estructura Organizativa
Legal Física para la seguridad

Clasificación y
Control de accesos
Estratégico

Control de Activos

Conformidad

Operativo
Seguridad Seguridad
en el personal física y del entorno

Desarrollo y Gestión de Gestión de

mantenimiento comunicaciones continuidad
de sistemas y operaciones del negocio

Una vez que se han aplicado las recomendaciones de la norma, las

organizaciones adquieren una ventaja competitiva ya que se contará
con una gestión más eficiente de los aspectos de seguridad generando
mayor confianza hacia el exterior con sus clientes, así como al interior
por la planeación y definición de procesos para el aseguramiento de la
información.