cuestionario aud. y seg. en tecnol. de inf

7/26/2019 Cuestionario AUD. Y SEG. EN TECNOL. DE INF.

1/34

Cuestionario[AUD. Y SEG. EN TECNOL. DE INF.]

GARCIA PEREZ ANGELHERNANDEZ MARTINEZ FRANCISCO ISRAEL

SANCHEZ HUERTA OCTAVIO

EQUIPO 01

02/09/09

1. Cul e l! "#$%&'!()"! *e l! Se+u&"*!* I(,%'")!-


2/34

Garantizar que los recursos informticos de una compaa estn disponibles para cumplirsus propsitos es decir que no estn daados o alterados por circunstancias o factorese!ternos es una de"nicin #til para conocer lo que implica el concepto de se$uridadinformtica%

. Cul e l! "#$%&'!()"! *e l! Au*"'%&"! I(,%'")!-

&a auditora es un e!amen crtico pero no mecnico que no implica la pree!istencia defallas en la entidad auditada ' que persi$ue el "n de e(aluar ' me)orar la e"cacia 'e"ciencia de una seccin o de un or$anismo%

&os principales ob)eti(os que constitu'en a la auditora *nformtica son el control de lafuncin informtica el anlisis de la e"ciencia de los +istemas *nformticos que comportala (eri"cacin del cumplimiento de la ,ormati(a $eneral de la empresa en este mbito ' lare(isin de la e"caz $estin de los recursos materiales ' -umanos informticos%

Con esto podemos decir que la auditoria informtica es importante porque e!amina losprocesos ' controles de la produccin para (eri"car que estos cumplan con los estndaresestablecidos ' as no detener la producti(idad en una empresa por al$una anomala le$al o

tcnica%

/. P%& u l! Au*"'%&"! 2 l! Se+u&"*!* %( Me)!("#% *eC%('&%l-

.orque nos a'udan a (eri"car el correcto funcionamiento de los recursos informticos conel "n de no poner en ries$o a los recursos materiales ' -umanos ' as ele(ar laproducti(idad en una empresa%

3. El )%('&%l "('e&(% *e('&% *e l! %&+!("4!)"%(e $&"5!*!6$78l")! 2 %)"!le6 '"e(e( ,%&'!le4! 2 *e8"l"*!*e.

De)&"8! e( )!*! '"$% *e %&+!("4!)"9( Cule %( e'!-

l control interno -a sido diseado aplicado ' considerado como la -erramienta msimportante para el lo$ro de los ob)eti(os la utilizacin e"ciente de los recursos ' paraobtener la producti(idad adems de pre(enir fraudes errores (iolacin a principios 'normas contable "scal ' tributaria%

Generalmente la ma'or de las debilidades en las empresas ' or$anizaciones me!icanas esla corrupcin que e!iste para e(itar auditoras que -aran que estas quebraran o quedaranen e(idencia frente a la sociedad ' frente a sus clientes%

na $ran fortaleza del control interno es que se pueden de"nir diferentes tendencias ' as

me)orar los procedimientos con los cuales se puede pasar una auditoria sin ma'ordi"cultad sabiendo que los procesos estn estandarizados ' normalizados esto con el "nde lle$ar a ser una empresa de calidad%

:. Qu %( l% &"e+% ,;")% 2 l9+")% 2 )%#% e )u!('"


3/34

R"e+% ,;")% son aquellos que estn condicionados por un elemento fsico que pueda afectar ala se$uridad del sistema estos ries$os son difcilmente controlables por lo que la proteccin ante losmismos es difcil pueden afectar directamente a los soportes ' equipos e indirectamente a los"c-eros pro$ramas ' usuarios%

)emplos de ries$os fsicos

$resiones e!ternas producidas por fallos en el suministro elctrico o suministro de"ciente estas

a$resiones pro(ocan daos en los equipos ' soportes% .ara pre(enir estos ries$os e!isten ser(idorescon fuentes de alimentacin redundantes sistemas de alimentacin ininterrumpida "ltros 'estabilizadores de suministro elctrico%

$resiones e!ternas producidas por -umo fue$o altas temperaturas a$ua pol(o insectos etcestos ries$os son difciles de pre(enir ' -abitualmente estn asociados a un desastre incendioterremoto inundacin% &a proteccin ante los mismos suele estar basada en mecanismos adecuadosde recuperacin identi"cados en las medidas correctas%

6alfuncionamiento de los equipos materiales de"cientes tiempo de uso son muc-os los factoresque pueden in7uir en el rendimiento ' (ida #til de los equipos% .ara pre(enir estos ries$os seutilizan fuentes de alimentacin redundantes discos espe)o 1sistemas 5*83%

cceso fsico a los sistemas puertas de entrada (entanas accesos e!ternos alarmas el accesofsico es un elemento que no se debe descuidar en nin$#n caso aunque tambin es cierto que es elelemento que -abitualmente ms ' me)or se prote$e%

R"e+% l9+")% -abitualmente relacionados con el softare que utilizamos%

)emplos de ries$os l$icos%

*denti"cacin ' autenticacin inadecuadas polticas de identi"cacin ' autenticacin para el accesoa los datos pueden ocasionar accesos a los datos no autorizados las medidas pre(enti(as pasan porestablecer mecanismos de identi"cacin en al$uno de los si$uientes elementos o en todos "c-erospro$ramas soportes ' equipos% ,o quiere decir esto que se deban establecer contraseas en todos

los elementos sino que en su con)unto el acceso a los datos requiera una identi"cacin 'autenticacin por parte del usuario%

Control de acceso ine"ciente que pueda dar lu$ar a actuaciones no autorizadas sobre los datospara pre(enir este e!tremo se debe completar la poltica de identi"cacin ' autenticacin con unaadecuada $estin de los accesos bsicamente en los pro$ramas o aplicaciones%

rrores de softare estos errores de softare aunque no mu' frecuentes pueden poner en peli$rola se$uridad de los datos ocasionando prdidas de informacin o alteracin de la misma% Comomedida pre(enti(a no realizar pruebas con datos reales sal(o que se $arantice un ni(el dese$uridad apropiado%

*ntrusiones e!ternas son los ries$os sobre los que los responsables de los sistemas estn ms

concienciados para e(itarlos se establecen mecanismos de acceso e!terno limitados por los equipos1routers modems "realls3 ' los pro$ramas 1sistemas operati(os "realls etc%3% *ncluimos en lasintrusiones e!ternas las a$resiones pro(ocadas por los :irus para cu'a pre(encin estn lospro$ramas anti(irus%

>. Qu e )%8"' u *%#"("% 2 )%('&%le-

&a 6isin de C; *n(esti$ar desarrollar -acer p#blico ' promo(er un marco de control de$obierno de =* autorizado actualizado aceptado internacionalmente para la adopcin por parte delas empresas ' el uso diario por parte de $erentes de ne$ocio profesionales de =* ' profesionales dease$uramiento%

& ,C+*88 8 , 65C; 8 =5


4/34

n marco de control para el Gobierno =* de"ne las razones de por qu se necesita el Gobierno de =*los interesados ' que se necesita cumplir en el $obierno de =*

.or qu

Cada (ez ms la alta direccin se est dando cuenta del impacto si$ni"cati(o que la informacinpuede tener en el !ito de una empresa% &a direccin espera un alto entendimiento de la manera enque la tecnolo$a de informacin 1=*3 es operada ' de la posibilidad de que sea apro(ec-ada con!ito para tener una (enta)a competiti(a% n particular la alta direccin necesita saber si con lainformacin administrada en la empresa es posible que>

Garantice el lo$ro de sus ob)eti(os =en$a su"ciente 7e!ibilidad para aprender ' adaptarse Cuente con un mane)o )uicioso de los ries$os que enfrenta 5econozca de forma apropiada las oportunidades ' act#e de acuerdo a ellas &as empresas e!itosas entienden los ries$os ' apro(ec-an los bene"cios de =* ' encuentran

maneras para> linear la estrate$ia de =* con la estrate$ia del ne$ocio se$urar que los in(ersionistas ' accionistas lo$ran un debido cuidado estandarizado para la

miti$acin de los ries$os de =* &o$rar que toda la estrate$ia de =* as como las metas 7u'an de forma $radual a toda la

empresa .roporcionar estructuras or$anizacionales que faciliten la implementacin de estrate$ias '

metas Crear relaciones constructi(as ' comunicaciones efecti(as entre el ne$ocio ' =* ' con socios

e!ternos 6edir el desempeo de =*

&as empresas no pueden responder de forma efecti(a a estos requerimientos de ne$ocio ' de$obierno sin adoptar e implementar un marco de 5eferencia de $obierno ' de control para =* de talmanera que>

+e forme un (nculo con los requerimientos del ne$ocio l desempeo real con respecto a estos requerimientos sea transparente +e or$anicen sus acti(idades en un modelo de procesos $eneralmente aceptado +e identi"quen los principales recursos a ser apalancados +e de"nan los ob)eti(os de control Gerenciales a ser considerados

dems el $obierno ' los marcos de traba)o de control estn siendo parte de las me)ores prcticasde la administracin de =* ' sir(en como facilitadores para establecer el $obierno de =* ' cumplir conel constante incremento de requerimientos re$ulatorios%

&as me)ores prcticas de =* se -an (uelto si$ni"cati(as debido a (arios factores>

8irectores de ne$ocio ' conse)os directi(os que demandan un ma'or retorno de la in(ersin

sobre =* es decir que =* $enere lo que el ne$ocio necesita para me)orar el (alor de los*nteresados 1+ta@e-olders3

.reocupacin por el creciente ni(el de $asto en =* &a necesidad de satisfacer requerimientos re$ulatorios para controles de =* en reas como

pri(acidad ' reportes "nancieros 1por e)emplo +arbanesA;!le' ct


5/34

estandarizado en lu$ar de enfoques desarrollados en forma especial &a madurez creciente ' la consecuente aceptacin de marcos de traba)o respetados tales

como C;


6/34

Consisten en polticas procedimientos prcticas ' estructuras or$anizacionales% stn diseadas para proporcionar un ase$uramiento razonable de que los ob)eti(os de

ne$ocio se conse$uirn ' que los e(entos no deseables se pre(endrn detectarn 'corre$irn%

&a $erencia de la empresa necesita tomar decisiones relati(as a estos ob)eti(os de control> +eleccionando aquellos aplicables% 8ecidir aquellos que deben implementarse% le$ir como implementarlos 1frecuencia e!tensin automatizacin etc%3 ceptar el ries$o de no implementar aquellos que podran aplicar%

&os ob)eti(os de control detallados se identi"can por dos caracteres que representan el dominio 1.;* 8+ ' 63 ms un n#mero de proceso ' un n#mero de ob)eti(o de control% dems de los ob)eti(osde control detallados cada proceso C;


7/34

desempeo de tal manera que permitan el lo$ro de las metas de los procesos% 8e"nir como los datosson obtenidos% Comparar las medidas actuales con los ob)eti(os ' tomar las acciones sobre lasdes(iaciones cuando sea necesario% linear mtricas ob)eti(os ' mtodos con el enfoque demonitoreo $lobal del desempeo de =*%

&os controles efecti(os reducen el ries$o aumentan la probabilidad de la entre$a de (alor 'aumentan la e"ciencia debido a que -abr menos errores ' un enfoque de administracin msconsistente%

8ominios

C;


8/34

.ara lle(ar a cabo la estrate$ia de =* las soluciones de =* necesitan ser identi"cadas desarrolladas oadquiridas as como implementadas e inte$radas en los procesos del ne$ocio% dems el cambio 'el mantenimiento de los sistemas e!istentes est cubierto por este dominio para $arantizar que lassoluciones si$an satisfaciendo los ob)eti(os del ne$ocio% ste dominio por lo $eneral cubre lossi$uientes cuestionamientos de la $erencia>

Ns probable que los nue(os pro'ectos $eneran soluciones que satisfa$an las necesidades del

ne$ocioO Ns probable que los nue(os pro'ectos sean entre$ados a tiempo ' dentro del presupuestoO N=raba)arn adecuadamente los nue(os sistemas una (ez sean implementadosO N&os cambios no afectarn a las operaciones actuales del ne$ocioO

,=5G5 L 85 +;.;5= 18+3

ste dominio cubre la entre$a en s de los ser(icios requeridos lo que inclu'e la prestacin delser(icio la administracin de la se$uridad ' de la continuidad el soporte del ser(icio a los usuariosla administracin de los datos ' de las instalaciones operati(os% .or lo $eneral cubre las si$uientespre$untas de la $erencia>

N+e estn entre$ando los ser(icios de =* de acuerdo con las prioridades del ne$ocioO Nstn optimizados los costos de =*O Ns capaz la fuerza de traba)o de utilizar los sistemas de =* de manera producti(a ' se$uraO Nstn implantadas de forma adecuada la con"dencialidad la inte$ridad ' la disponibilidadO

6;,*=;55 L :&5 163

=odos los procesos de =* deben e(aluarse de forma re$ular en el tiempo en cuanto a su calidad 'cumplimiento de los requerimientos de control% ste dominio abarca la administracin deldesempeo el monitoreo del control interno el cumplimiento re$ulatorio ' la aplicacin del$obierno% .or lo $eneral abarca las si$uientes pre$untas de la $erencia>

N+e mide el desempeo de =* para detectar los problemas antes de que sea demasiadotardeO

N&a Gerencia $arantiza que los controles internos son efecti(os ' e"cientesO N.uede (incularse el desempeo de lo que =* -a realizado con las metas del ne$ocioO N+e miden ' reportan los ries$os el control el cumplimiento ' el desempeoO

lo lar$o de estos cuatro dominios C;


9/34

?. Qu e ITIL 2 )%#% )%!*2u5!( u *%#"("% ! l! #!*u&e4*e e&5")"% "(,%'")% 2 )%#% l% u'"l"4!&;!-

Que es ITIL ?

*=*& 1 *nformation =ec-nolo$' *nfrastructure &ibrar' 3 documenta las 6e)ores .racticas para ladministracin de +er(icios de =*% &a "loso"a *=*& esta basada en la administracin de ser(iciosdesde el punto de (ista del ne$ocio ' -a crecido en popularidad en la medida en la que los ne$ociosdependen de la tecnolo$a ' buscan la me)or forma de apro(ec-ar sus recursos -umanos 'tecnol$icos%

NCmo ;peran sus dominios O

l propsito de la etapa de QSe&5")e O$e&!'"%(R es coordinar ' lle(ar a cabo las acti(idades 'procesos requeridos para entre$ar ' administrar los ser(icios de acuerdo a los ni(eles de ser(icioacordados con los clientes ' usuarios del ne$ocio% s tambin es responsable de administrar latecnolo$a que se utiliza para entre$ar ' soportar estos ser(icios%

s la etapa del ciclo de ser(icio que entre$a (alor al ne$ocio ' es responsable de ase$urar que ese(alor sea entre$ado%

s importante un balance en metas opuestas>

:ista interna de =* contra (ista e!terna de ne$ocio

stabilidad contra responsi(eness

Calidad de +er(icio contra costo de ser(icio

5eaccin contra acti(idades proacti(as

lcance>

+er(icios.rocesos=ecnolo$a

.ersonas


10/34

@. De)&"8e l% *%#"("% 2 )%('&%le *e l! (%! ISO?001 2)u!l e l! +u;! *e "#$le#e('!)"9( ISO?00.

l estndar especi"ca en su Qne!o R el listado completo de cada uno de ellos a$rupndolos enonce rubros% .ara cada uno de ellos de"ne el ob)eti(o ' lo describe bre(emente%

Cabe aclarar que el ane!o proporciona una buena base de referencia no siendo e!-austi(opor lo tanto se pueden seleccionar ms a#n% s decir estos BEE controles 1-o'3 son losmnimos que se debern aplicar o )usti"car su no aplicacin pero esto no da por completa laaplicacin de la norma si dentro del proceso de anlisis de ries$os aparecen aspectos quequedan sin cubrir por al$#n tipo de control% .or lo tanto si a tra(s de la e(aluacin de ries$os

se determina que es necesaria la creacin de nue(os controles la implantacin del +G+*impondr la inclusin de los mismos sino se$uramente el ciclo no estar cerrado ' presentar-uecos claramente identificables%

&os controles que el ane!o de esta norma propone quedan a$rupados ' numerados de lasi$uiente forma>

% .oltica de se$uridad%H ;r$anizacin de la informacin de se$uridad% dministracin de recursos%J +e$uridad de los recursos -umanos%9 +e$uridad fsica ' del entorno%B0 dministracin de las comunicaciones ' operaciones

%BB Control de accesos


11/34

%B2 dquisicin de sistemas de informacin desarrollo ' mantenimiento%BE dministracin de los incidentes de se$uridad%BF dministracin de la continuidad de ne$ocio%B Cumplimiento 1le$ales de estndares tcnicas ' auditoras3

n este tem para ser ms claro se respetar la puntuacin que la norma le asi$na a cada unode los controles%

A.: P%l;'")! *e e+u&"*!*.

ste $rupo est constituido por dos controles ' es )ustamente el primer caso que se puedeponer de mani"esto sobre el mencionado Q8e s conceptoR sobre lo que uno piensa que esun control pues aqu se puede apreciar claramente la comple)idad que representa eldiseo plani"cacin preparacin implementacin ' re(isiones de una .oltica de +e$uridad1la re(isin es )ustamente el se$undo control que propone3SSS%como se mencion unControl es mucho (pero mucho), mas que eso

=odo aquel que -a'a sido responsable al$una (ez de esta tarea sabr de lo que se est-ablando% &a .oltica de +e$uridad para ser ri$uroso en realidad debera di(idirse en dosdocumentos>

A .oltic a de s e $ u r i d a d 1,i(el poltico o estrat$ico de la or$anizacin3> s la ma'orlnea rectora la alta direccin% 8e"ne las $randes lneas a se$uir ' el ni(el decompromiso de la direccin con ellas%

A .lan de +e $ uridad 1,i(el de planeamiento o tctico3> 8e"ne el QCmoR% s decir ba)a aun ni(el ms de detalle para dar inicio al con)unto de acciones o lneas rectoras que sedebern cumplir%

l$o sobre lo que $eneralmente no se suele re7e!ionar o remarcar es que>

U(! P%l;'")! *e Se+u&"*!*B 8"e( $l!('e!*!6 *"e!*!6 2

*e!&&%ll!*! )u8&e l! +&!( #!2%&;! *e l% !$e)'% ue !)e( ,!l'!$!&! u( 5e&*!*e&% SGSI.


12/34

Haciendo auso de la a!an"ada edad de este autor es que se (an a citar dos puntos departida para la mencionada acti(idad que a )uicio del mismo si$uen siendo$randes referentes metodol$icos a la -ora de la confeccin de estos controles%

+e trata de lo que proponen las si$uientes 5ICs 15equest Ior Comments3% .oltica dese$uridad 1RFC 1> +ite +ecurit' Tandboo@3 ' tambinla anterior 1RFC133 que si bien queda obsoleta por la primera es mu' ilustrati(a3ambas planten una metodolo$a mu' e"ciente de feedbac@ partiendo desde el plano ms

alto de la ;r$anizacin -asta lle$ar al ni(el de detalle para comparar nue(amente lasdecisiones tomadas ' rein$resar las conclusiones al sistema e(aluando los resultados 'modi"cando las de"ciencias% +e trata de un ciclo permanente 'sin "n cu'a caracterstica fundamental es la constancia ' la actualizacin deconocimientos% sta recomendacin plantea mu' en $rande los si$uientes pasos>

.oltica de +e$uridad 15ICB2FF3

nlisis de ries$o

Grado de e!posicin

.lan de +e$uridad 1seme)ante a Certificacin

*+;3 .lan de contin$encia

&a poltica es el marco estrat$ico de la ;r$anizacin es el ms alto ni(el% l anlisis deries$o ' el $rado de e!posicin determinan el impacto que puede producir los distintosni(eles de clasificacin de la informacin que se posee% na (ez determinado estosconceptos se pasa al Cmo que es el .lan de +e$uridad el cual si bien en esta 5IC noest directamente relacionado con las normas *+; se mencionan en este te!to porla similitud en la elaboracin de procedimientos de detalle para cada acti(idadque se implementa ' porque se reitera su metodolo$a se aprecia comoe!celenteSSS(# dados los a$os del autor, sar%n disculpar la &echas de pulicaci'n deamas Cs****U&es $arantizo que estn en *n$ls ' no en +nscritoV)*

A.> O&+!("4!)"9( *e l! "(, %!)"9( *e e+u&"*!*.

ste se$undo $rupo de controles abarca once de ellos ' sesubdi(ide en>

A ;r $ a niz acin *nterna> Compromiso de la 8ireccin coordinacionesresponsabilidades autorizaciones acuerdos de con"dencialidad contactos conautoridades ' $rupos de inters en temas de se$uridad re(isiones independientes%

A . ar t es e ! t ernas > 5ies$os relacionados con terceros $obierno de la se$uridadrespecto a clientes ' socios de ne$ocio%

&o ms importante a destacar de este $rupo son dos cosas fundamentales que abarcan aambos sub$rupos>

A ;r$anizar ' 6antener actualizada la cadena de contactos 1internos ' e!ternos3 con elma'or detalle posible 1.ersonas responsabilidades acti(os necesidades acuerdosries$os etc%3%

A 8erec-os ' obli$aciones de cualquiera de los in(olucrados%

n este $rupo de controles lo ideal es disear e implementar una simple base de datosque permita de forma ami$able el alta ba)a '/o modi"cacin de cualquiera de estos

campos% &a redaccin de la documentacin inicial de responsables> derec-os '


13/34

obli$aciones 1para personal interno ' a)eno3 ' el con)unto de medidas a adoptar con cadauno de ellos% na (ez lanzado este punto de partida se debe documentar lametodolo$a de actualizacin auditabildad ' periodicidad de informes de la misma%


14/34

A.? A * # "("'&!) " 9( * e&e) u &%

ste $rupo cubre cinco controles ' tambin se encuentra subdi(ididoen>

A 5esponsabilidad en los recursos> *n(entario ' propietario de los recursos empleo

aceptable de los mismos%A Clasi"cacin de la informacin> Guas de clasi"cacin ' 8enominacin identi"cacin

' tratamiento de la informacin%

ste $rupo es eminentemente procedimental ' no aporta nada al aspecto 'aconocido en se$uridad de la informacin en cuanto a que todo recurso debe estarperfectamente in(entariado con el m!imo detalle posible que se debe documentar elQuso adecuado de los recursosR ' que toda la informacin deber ser tratada de acuerdoa su ni(el% n el caso de spaa tanto la &;.8 como la &++* -an aportado bastantea que esta tarea sea efectuada con ma'or responsabilidad en los #ltimos aos%=ambin se puede encontrar en *nternet (arias referencias a la clasificacin de lainformacin por ni(eles%

=al (ez s (al$a la pena mencionar aqu el problema que se suele encontrar en la $ranma'ora de las empresas que cuentan con un parque informtico considerable sobre elcual se les di"culta muc-o el poder mantener actualizado su sistema de in(entario% lprimer comentario es que este aspecto debe abordarse Q; % ;R pues es imposiblepensar en se $ uridad si no se sabe fe-acientemente lo que se posee ' cada elementoque queda desactualizado o no se lo -a in(entariado a#n es un ue)% )%()&e'% e( l!e+u&"*!* *e '%*% el "'e#! ' de -ec-o suelen ser las ma'ores ' ms frecuentespuertas de entrada pues estn al mar$en de la infraestructura de se$uridad %

l se$undo comentario es que se aprecia que las me)ores metodolo$as a se$uirpara esta acti(idad son las que permiten #!('e(e& 5"5%B el estado de la red ' pormedio de ellas in(entariar lo que se Qescuc-aR% sta metodolo$a lo que propone es-acer un empleo l$ico ' completo de los elementos de red o se$uridad 1*8+sIirealls 5outers sniWers etc%3 ' apro(ec-ar su acti(idad cotidiana de escuc-a 'tratamiento de tramas para mantener Q(i(oR el estado de la red% s decir nadie me)orque ellos saben qu direcciones de la QTome ,etR se encuentran acti(as ' cules no porlo tanto apro(ec-ar esta funcionalidad para almacenar ' en(iar estos datos a unrepositorio adecuado el cual ser el responsable de mantener el in(entario correspondiente%+obre este tema se propone la lectura de dos artculos publicados -ace tiempo en *nternetpor este autor que se denominan QMe'%*%l%+;! NeuS(%&'R ' QM!'&"4 *e E'!*% *eSe+u&"*!*R si bien los mismos deben ser actualizados al da de -o' de ellos sepuede obtener una clara ima$en de cmo se puede realizar esta tarea ' apro(ec-ar lasacciones de se$uridad para me)orar el anlisis de ries$o ' el in(entario%

A.@ S e + u & "* !* * e l% &e) u &%

u # ! ( %.

ste $rupo cubre nue(e controles ' tambin se encuentrasubdi(idido en>

A ntes del empleo> 5e s p o n s a b i l i d a d e s ' roles (eri"caciones curricularestrminos ' condiciones de empleo%

A 8uran t e el e m p l eo > dministracin de responsabilidades preparacineducacin ' entrenamiento en se$uridad de la informacin medidas disciplinarias%

A I i naliz acin o cambio de empleo> Iinalizacin de responsabilidades de(olucin derecursos re(ocacin de derec-os%

ste $rupo en la actualidad debe ser el $ran ausente en la ma'ora de las


15/34

or$anizaciones% +etrata de un serio traba)o a realizar entre 55TT ' los responsables de +e$uridad de la*nformacin de la or$anizacin%

+e debe partir por la redaccin de la documentacin necesaria para la contratacin depersonal ' la re(ocacin de sus contratos 1por solicitud cambio o despido3% n la mismadeber quedar bien claro las acciones a se$uir para los diferentes per"les de laor$anizacin basados en la responsabilidad de mane)o de informacin que ten$a ese

puesto% Como se pueda apreciar tanto la contratacin como el cese de un puesto es unaacti(idad con)unta de estas dos reas ' cada paso deber ser coordinado se$#n ladocumentacin confeccionada para que no se pueda pasar por alto nin$#n detalle puesson )ustamente estas pequeas omisiones de las que lue$o resulta el -aber quedado conalta dependencia tcnica de personas cu'o per"l es peli$roso o que al tiempo de -aberseido mantiene accesos o permisos que no se debieran 1casos mu' comunes3%

=anto el inicio como el cese de cualquier tipo de acti(idad relacionada con personalresponsable de mane)o de informacin de la or $ a niz acin %( ! )' " 5"*!* e # u 2, ) "le *e $ & % )e * "# e ( ' ! & pues no de)an de ser un con)unto de acciones secuencialesmu' conocidas que se deben se$uir Qa ra)a tablaR ' que paso a paso deben serrealizadas ' controladasSS%%se trata simplemente deXXX+C5*


16/34

reutilizacin de equipamiento borrado de informacin '/o softare%

)uicio del autor uno de los me)ores resultados que se pueden obtener en la or$anizacinde una infraestructura de se$uridad de la informacin est en plantearla siempre porni(eles% =al (ez no sea necesario -acerlo con el detalle de los siete ni(eles del modelo*+;/;+* pero s por lo menos de acuerdo al modelo =C./*. que al$unos consideran decuatro 1*nte$rando fsico ' enlace3 ' otros de cinco ni(eles%


17/34

,ue(amente el criterio de este autor aprecia que es correcto considerar separadamenteel ni(el fsico con el de enlace pues presentan (ulnerabilidades mu' diferentes% +i sepresenta entonces el modelo de cinco ni(eles se puede or$anizar una estructura dese$uridad contemplando medidas ' acciones por cada uno de ellos dentro de las cuales sepuede plantear por e)emplo lo si$uiente>

o A$l")!)"9(=odo tipo de aplicaciones%

o T&!($%&'e Control de puertos 8. ' =C.%

o Re* 6edidas a ni(el protocolo *. e *C6. t#neles de ni(el E%

o E(l!)e 6edidas de se$mentacin a ni(el direccionamiento 6C tablasestticas ' ")as en sitc-s control de ataques 5. control de broadcast 'multicast a ni(el enlace en el caso iIi> (eri"cacin ' control de enlace 'puntos de acceso J02%\ 1:arios3 empleo de t#neles de ni(el 2 etc%

o F;")% *nstalaciones locales se$uridad perimetral C.8s $abinetes decomunicaciones control de acceso fsico conductos de comunicaciones

cables "bras pticas radio enlaces centrales telefnicas 1=ema a desarrollar eneste punto3

Como se puede apreciar este es una buena lnea de pensamiento para plantear cada unade las acti(idades ' e(itar que se solapen al$unas de ellas '/o que queden brec-as dese$uridad%

n el caso fsico es con(eniente tambin separar todas ellas por lo menos en lossi$uientes documentos>

o 8ocumentacin de con t rol de accesos ' se $ ur i dad per im e t r al $ e nera lreas de acceso ' entre$a de materiales ' documentacin zonas

p#blicas internas ' restrin$idas responsabilidades ' obli$aciones del personalde se$uridad fsica%

o 8ocumentacin de C.8s> .armetros de diseo estndar de un C.8 medidasde proteccin ' alarmas contra incendios/-umo cadas de tensininundaciones control de climatizacin 15efri$eracin ' (entilacin3 sistemas(i$ilancia ' control de accesos limpieza etc%

o 8ocumentacin ' planos de instalacione s canales de comunicacionescableado enlaces de radio pticos u otros antenas certificacin de los mismosetc%

o mpleo correcto del material informtico ' de comunicaciones a ni(el fsic o>+e debe desarrollar aqu cuales son las medidas de se$uridad fsica que se debetener en cuenta sobre los mismos 1bicacin acceso al mismo tensinelctrica cone!iones fsicas ' -ardare permitido ' pro-ibido manipulacin deelementos etc%3 % ,o se inclu'e aqu lo referido a se$uridad l$ica%

o + e $ ur idad f s i ca en el a lm acena mie n t o ' t r anspor t e de material informtico 'de comunicaciones> Monas ' medidas de almacenamiento metodolo$a a se$uirpara el in$reso ' e$reso de este material consideraciones particulares para eltransporte del mismo 1dentro ' fuera de al or$anizacin3 personal autorizado arecibir entre$ar o sacar material medidas de control% ,o se inclu'e aqu loreferido a res$uardo '


18/34

recuperacin de informacin que es moti(o de otro tipo deprocedimientos ' normati(a%

o 8ocu m e n t ac i n de ba ) a red i s t r ibuc i n o reca lifi cac i n deelementos> .rocedimientos ' con)unto de medidas a se$uir

ante cualquier cambio en el estado de un elemento de Tardare

15eubicacin cambio de rol (enta alquiler ba)a destruccin comparticincon terceros incorporacin de nue(os mdulos etc%3%

A.10 Ad m i nistracin de las co m unicaciones y operaciones

Este grupo comprende treinta y dos controles, es el ms extenso de todos y se divide en:

- Procedimientos operacionales y responsabilidade s : Tiene como objetivo asegurar la correcta y seguraoperacin de la informacin, comprende cuatro controles. ace especial !incapi" en documentar todos los

procedimientos, manteniendo los mismos y disponibles a todos los usuarios #ue los necesiten, segregandoadecuadamente los servicios y las responsabilidades para evitar uso inadecuado de los mismos.

Esta tarea en todas las actividades de seguridad $no solo informtica%, se suele reali&ar por medio de lo #uese denomina Procedimientos 'perativos (ormales $P'(% o Procedimientos 'perativos de )eguridad $P')%,y en definitiva consiste en la reali&acin de documentos breves y giles, #ue dejen por sentado la secuenciade pasos o tareas a llevar a cabo para una determinada funcin. *uanto mayor sea el nivel de desagregacinde esta funcin, ms breve ser cada P'( $tambi"n !abr mayor cantidad de ellos% y a su ve& mssencillo y comprensible. +uego de trabajar algn tiempo en esta actividad, se llegar a comprender #uela mayora de las actividades relacionadas con seguridad, son fcilmente descriptibles, pues suelen ser unasecuencia de pasos bastante mecani&ables/, y all radica la importancia de estos procedimientos. +a enormeventaja #ue ofrece poseer todo procedimentado es:

0 1dentificar con absoluta claridad los responsables y sus funciones.

0 Evitar la imprescindibilidad/ de ciertos administradores.

0 Evitar ambig2edades el procedimientos.

0

3etectar &onas grises/ o ausencias procedimentales $futuras brec!as de seguridad%.- 4dministracin de prestacin de servicios de terceras partes: 4barca tres controles, se refiere

fundamentalmente, como su nombre lo indica, a los casos en los cuales se encuentran terceri&adasdeterminadas tareas o servicios del propio sistema informtico. +os controles estn centrados en tresaspectos fundamentales de esta actividad:

0 3ocumentar adecuadamente los servicios #ue se estn prestando $acuerdos, obligaciones,responsabilidades, confidencialidad, operacin, mantenimiento, etc.%.

0 5edidas a adoptar para la revisin, monitori&acin y auditora de los mismos

0 3ocumentacin adecuada #ue permita regulari&ar y mantener un eficiente control de cambios enestos servicios.

- Pl an i f i cac in y acep t ac i n de s i s t e m as: El objetivo es reali&ar una adecuada metodologa para #ue al entraren produccin cual#uier sistema, se pueda minimi&ar el riesgo de fallos. 3e acuerdo a la magnitud de laempresa y al impacto del sistema a considerar, siempre es


19/34

una muy buena medida la reali&acin de ma#uetas. Estas ma#uetas deberan acercarse/ todo loposible al entorno en produccin, para #ue sus pruebas de funcionamiento sean lo ms veraces posibles,simulando ambientes de trabajo lo ms parecidos al futuro de ese sistema $ard6are y )oft6are, red, cargade operaciones y transacciones, etc.%, cuanto mejor calidad y tiempo se dedi#ue a estas ma#uetas, menorser la probabilidad de fallos posteriores, es una relacin inversamente proporcional #ue se cumple en lainmensa mayora de los casos.

+os dos aspectos claves de este control son el dise7o, planificacin, prueba y adecuacin de un sistema porun lado8 y el segundo, es desarrollar detallados criterios de aceptacin de nuevos sistemas, actuali&acionesy versiones #ue deban ser implantados. Este ltimoaspecto ser un documento muy vivo/, #ue se realimentar constantemente en virtud de las modificaciones,

pruebas, incorporaciones y avances tecnolgicos, por lo tanto se deber confeccionar de forma flexible yabierto a permanentes cambios y modificaciones.

- P r o tecc i n con t ra cd i g o m v i l y m a li g no: el objetivo de este apartado es la proteccin de la integridad delsoft6are y la informacin almacenada en los sistemas.

El cdigo mvil es a#uel #ue se transfiere de un e#uipo a otro para ser ejecutado en el destino final, esteempleo es muy comn en las ar#uitecturas cliente-servidor, y se est !aciendo ms comn en lasar#uitecturas vctima-gusano/, por supuesto con un empleo no tan deseado. )obre el empleo seguro de*digo mvil, recomiendo #ue el #ue est" interesado, profundice en una metodologa #ue esta !aciendo las

cosas bien, #ue se denomina Proof-Carring Code/ $PCC%, la cual propone la implementacin demedidas para garanti&ar #ue los programas #ue sern ejecutados en el cliente lo !agan de forma segura. )epuede encontrar muc!a informacin al respecto en 1nternet.

En cuanto al cdigo malicioso, a esta altura no es necesario a!ondar en ningn detalle al respecto, pues#uien est" libre de virus y troyanos #ue tire la primera piedra/. El estndar !ace referencia al conjunto demedidas comunes #ue ya suelen ser aplicadas en la mayora de las empresas, es decir, deteccin, prevencin yrecuperacin de la informacin ante cual#uier tipo de virus. Tal ve& lo ms importante a#uy suele ser el punto d"bil de la gran mayora es la preparacin y la existencia de procedimientos $+o #ueimplica practicarlos%. En mi opinin es donde ms frecuentemente se encuentranfallos. La gran mayora de las empresas confan su seguridad antivirus en la meraaplicacin de un determinado producto y nada ms, pero olvidan preparar al personal deadministradores y usuarios en cmo proceder ante virus y, por supuesto, tampoco reali&an procedimientos derecuperacin y verificacin del buen funcionamiento de lo documentado $si es #ue lo tienen9..%. Esto

ltimo, es una de las primeras y ms comunes objeciones #ue aparecen al solicitar certificacionesen estos estndares. +o recalco una ve& ms, no es eficiente el mejor productoantivirus del mercado, sino se reali&an estas dos ltimas tareas #ue se !an mencionado: Preparacindel personal e implementacin $con prcticas% de procedimientos.

- e s g uardo: El objetivo de esta apartado conceptualmente es muy similar al anterior, comprende unsolo control #ue remarca la necesidad de las copias de respaldo y recuperacin. )iguiendo la mismainsistencia del prrafo precedente, de nada sirve reali&ar copias de respaldo y recuperacin, sino se prepara al

personal e implementan las mismas con prcticas y procedimientos


20/34

- 4dministracin de la se g uridad de redes: +os dos controles #ue conforman este apartado !acen !incapi" enla necesidad de administrar y controlar lo #ue sucede en nuestra red, es decir, implementar todas lasmedidas posibles para evitar amena&as, manteniendo la seguridad de los sistemas y aplicaciones a trav"sdel conocimiento de la informacin #ue circula por ella. )e deben implementar controles t"cnicos, #ueevalen permanentemente los servicios #ue la red ofrece, tanto propios como terceri&ados.

- 5anejo de medios: En esta traduccin, como medio/ debe entenderse todo elemento capa& de almacenar

informacin $discos, cintas, papeles, etc. tanto fijos como removibles%. Por lo tanto el objetivo de estegrupo es, a trav"s de sus cuatro controles, prevenir la difusin, modificacin, borrado o destruccin decual#uiera de ellos o lo #ue en ellos se guarda.

En estos prrafos describe brevemente las medidas a considerar para administrar medios fijos yremovibles, su almacenamiento seguro y tambi"n por perodos prolongados, evitar el uso incorrecto de losmismos y un control especfico para la documentacin.

3e todo ello, lo #ue debe rescatarse especialmente, es el planteo de este problema de los medios,procedimentarlo, practicarlo y mejorarlo con la mayor frecuencia #ue se pueda.

- 1ntercambios de informacin: Este grupo contempla el conjunto de medidas a considerar para cual#uiertipo de intercambio de informacin, tanto en lnea como fuera de ella, y para movimientos internos o externosde la organi&acin.

4un#ue a primera vista no lo pare&ca, son muc!os los aspectos #ue deben ser tenidos en cuenta para estatarea. (o debe olvidarse #ue la informacin es el bi en m s p rec i a d o d e un a e mp res a por lotanto al igual !ue en un "anco cuando la misma se mueve no es nada ms ni nada menos !ue un

#d e spla $ a m ie n t o de c a udal e s %, es decir con todas las prevenciones, vigilancias, procesos, agentesespeciali&ados;entrenados y999999 !asta con camin blindad o . +os aspectos #ue no se pueden dejarlibrados al a&ar son:

0 Polticas, procedimientos y controles para el intercambio de informacin para tipo y medio decomunicacin a emplear.

0 4cuerdos, funciones, obligaciones, responsabilidades y sanciones de todas las partes intervinientes.

0 5edidas de proteccin fsica de la informacin en trnsito.

0 *onsideraciones para los casos de mensajera electrnica

0 5edidas particulares a implementar para los intercambios de informacin de negocio, enespecial con otras empresas.

- ) erv i c i os de co m erc i o e l ec t rn i co : Este grupo, supone #ue la empresa sea la prestadora de servicios decomercio electrnico, es decir, no aplica a #ue los empleados realicen una transaccin, por parte de laempresa o por cuenta propia, con un servidor ajeno a la misma.

+a prestacin de servicios de comercio electrnico por parte de una empresa exige el cumplimiento devarios detalles desde el punto de vista de la seguridad:

0 5etodologas seguras de pago.

0 *onfidencialidad e integridad de la transaccin.

0 5ecanismos de no repudio.


21/34

0


22/34

sincroni&ar toda la infraestructura de servidores, tanto si se depende de ellos para el funcionamientode los servicios de la empresa, como si no. Pues cuando llega la!ora de investigar, monitori&ar o seguir cual#uier actividad sospec!osa es fundamentaltener una secuencia cronolgica lgica #ue permita moverse pro todos los sistemas de formaco!erente. 3e acuerdo a la actividad de la empresa, se deber ser ms o menos estrictos con la

precisin del reloj del mximo estrato $!acia el exterior% el cual puede soportar mayor flexibilidaden los casos #ue no sea vital su exactitud con las jerar#uas internacionales y luego el restode las m#uinas dependern de este. Pero lo #ue no debe suceder y as lo exige esta norma, esla presencia de servidores #ue no est"n sincroni&ados.

A.11 Con trol d e accesos

(o se debe confundir la actividad de control de accesos con autenticacin, esta ltima tiene por misin identificar#ue verdaderamente sea, #uien dice ser/. El control de acceso es posterior a la autenticacin y debe regular #ue elusuario autenticado, acceda nicamente a los recursos sobre los cuales tenga derec!o y a ningn otro, es decir #uetiene dos tareas derivadas:

0 Encau&ar $o enjaular% al usuario debidamente.0 >erificar el desvo de cual#uier acceso, fuera de lo correcto.

El control de acceso es una de las actividades ms importantes de la ar#uitectura de seguridad de un sistema. 4ligual #ue sucede en el mundo de la seguridad fsica, cual#uiera #ue !a tenido #ue acceder a una caja de seguridad

bancaria vivi como a medida #ue uno de llegando a reas de mayor criticidad, las medidas de control de accesose incrementan, en un sistema informtico debera ser igual.

Para cumplir con este propsito, este apartado lo !ace a trav"s de veinticinco controles, #ue los agrupa de lasiguiente forma:

- e#uerimientos de ne g ocio para el control de accesos: 3ebe existir una Poltica de *ontrol de accesos

documentada, peridicamente revisada y basada en los niveles de seguridad #ue determine el nivel de riesgode cada activo.

- 4d mi n i s t r ac i n de accesos de usuar i os: Tiene como objetivo asegurar el correcto acceso y prevenir el noautori&ado y, a trav"s de cuatro controles, exige llevar un procedimiento de registro y revocacin deusuarios, una adecuada administracin de los privilegios y de las contrase7as de cada uno de ellos,reali&ando peridicas revisiones a intervalos regulares, empleando para todo ello procedimientos formali&adosdentro de la organi&acin.

- esponsabilidades de usuarios: Todo usuario dentro de la organi&acin debe tener documentadas susobligaciones dentro de la seguridad de la informacin de la empresa. 1ndependientemente de su

jerar#ua, siempre tendr alguna responsabilidad a partir del momento #ue tenga acceso a la informacin.Evidentemente existirn diferentes grados de responsabilidad, y proporcionalmente a ello, las obligacionesderivadas de estas funciones. +o #ue no puede suceder es #ue algn usuario las descono&ca. *omoningn ciudadano


23/34

desconoce por ejemplo, las medidas de seguridad vial, pues el trfico sera catico $?ms an@@@@%, de igualforma no es admisible #ue el personal de la empresa no sepa cul es su grado de responsabilidad en elmanejo de la informacin de su nivel. Por lo tanto de estetem se derivan tres actividades.

0 1dentificar niveles y responsabilidades.

0

3ocumentarlas correctamente.0 3ifundirlas y verificar su adecuada comprensin.

Para estas actividades propone tres controles, orientados a #ue los usuarios debern aplicar un correcto uso delas contrase7as, ser conscientes del e#uipamiento desatendido $por lugar, !orario, lapsos de tiempo, etc.% yde las medidas fundamentales de cuidado y proteccin de la informacin en sus escritorios, medios removibles y

pantallas.

- * on t rol de acceso a redes: Todos los servicios de red deben ser susceptibles de medidas de control deacceso8 para ello a trav"s de siete controles, en este grupo se busca prevenir cual#uier acceso noautori&ado a los mismos.

*omo primer medida establece #ue debe existir una poltica de uso de los servicios de red para #ue losusuarios, solo puedan acceder a los servicios especficamente autori&ados. +uego se centra en el control de losaccesos remotos a la organi&acin, sobre los cuales deben existir medidas apropiadas de autenticacin.

An punto sobre el #ue merece la pena detenerse es sobre la identificacin de e#uipamiento y de puertos deacceso. Este aspecto es una de las principales medidas de control de seguridad. En la actualidad se poseentodas las !erramientas necesarias para identificar con enorme certe&a las direcciones, puertos y e#uipos #ue

pueden o no ser considerados como seguros para acceder a las diferentes &onas de la empresa. Tanto desdeuna red externa como desde segmentos de la propia organi&acin. En los controles de este grupomenciona medidas automticas, segmentacin, diagnstico y control e#uipamiento, direcciones y de

puertos, control de conexiones y rutas de red. Para toda esta actividad se deben implementar: 13)s, 1P)s,BCs con control de estados, !oney pots, listas de control de acceso, certificados digitales, protocolosseguros, tneles, etc9 Es decir, existen !oy en da muc!as !erramientas para implementar estos controles de lamejor forma y eficientemente, por ello, tal ve& este sea uno de los grupos #ue ms exigencia t"cnica tiene dentrode este estndar.

- * on t rol de acceso a s i s t e m as opera ti vos: El acceso no autori&ado a nivel sistema operativo presupone uno

de los mejores puntos de escalada para una intrusin8 de !ec!o son los primeros pasos de esta actividad,denominados Fingerprintig y footprinting/, pues una ve& identificados los sistemas operativos, versiones y

parc!es, se comien&a por el ms d"bil y con solo conseguir un acceso de usuario, se puede ir escalando enprivilegios !asta llegar a encontrar el de /root/, con lo cual ya no !ay ms #ue !ablar. +a gran ventaja #ueposee un administrador, es #ue las actividades sobre un sistema operativo son mnimas, pocofrecuentes sus cambios, y desde ya #ue no comunes a nivel usuario del sistema, por lo tanto si se saben emplearlas medidas adecuadas, se puede identificar rpidamente cuando la actividad es sospec!osa, y en definitiva es lo#ue se propone en este grupo: )eguridad en la validacin de usuarios del sistema operativo, empleo deidentificadores nicos de usuarios, correcta administracin de contrase7as, control y limitacin de tiemposen las sesiones y por ltimo


24/34

verificaciones de empleo de utilidades de los sistemas operativos #ue permitan reali&ar accionesinteresantes/.

- * on t rol de acceso a infor m ac i n y ap li cac i ones: En este grupo, los dos controles #ue posee estn dirigidos aprevenir el acceso no autori&ado a la informacin mantenida en las aplicaciones. Propone redactar,dentro de la poltica de seguridad, las definiciones adecuadas para el control de acceso a las aplicaciones y a suve& el aislamiento de los sistemas sensibles del resto de la infraestructura. Este ltimo proceder es muy comn

en sistemas crticos $)alas de terapia intensiva, centrales nucleares, servidores primarios de claves,sistemas de aeropuertos, militares, etc.%, los cuales no pueden ser accedidos de ninguna forma va red, sinonicamente estando fsicamente en ese lugar. Por lo tanto si se posee alguna aplicacin #ue entre dentro deestas consideraciones, debe ser evaluada la necesidad de mantenerla o no en red con el resto de lainfraestructura.

- 5ovilid a d y te le tra b aj o: Esta nueva estructura laboral, se est !aciendo cotidiana en lasorgani&aciones y presenta una serie de problemas desde el punto de vista de la seguridad:

0 4ccesos desde un ordenador de la empresa, personal o pblico.

0 Posibilidades de instalar o no, medidas de !ard6are;soft6are seguro en el ordenador remoto.

0 *anales de comunicaciones por los cuales se accede $red publica, privada, olumen y tipo de informacin #ue enva y recibe.

0 (ivel de riesgo #ue se debe asumir en cada acceso.

*ada uno de los aspectos expuestos merece un tratamiento detallado y metodolgico, para #ue no

surjan nuevos puntos d"biles en la estructura de seguridad.+a norma no entra en mayores detalles, pero de los dos controles #ue propone se puede identificar #uela solucin a esto es adoptar una serie de procedimientos #ue permitan evaluar, implementar ycontrolar adecuadamente estos aspectos en el caso de poseer accesos desde ordenadores mviles y;oteletrabajo.

A.1& Ad!uisici n de sistemas de inf ormacin desarrollo y manten imiento

Este grupo rene dieciseis controles.

- e #u er imi e ntos de s e g u r i d a d de los sist e m a s de in f o r m ac i n: Este primer grupo #ue incluye un solo control,plantea la necesidad de reali&ar un anlisis de los re#uerimientos #ue deben


25/34

exigirse a los sistemas de informacin, desde el punto de vista de la seguridad para cumplir con lasnecesidades del negocio de cada empresa en particular, para poder garanti&ar #ue la seguridad sea una parteintegral de los sistemas.

- P r ocesa mi e n t o correc to en ap li cac i ones: En este grupo se presentan cuatro controles, cuya misin es elcorrecto tratamiento de la informacin en las aplicaciones de la empresa. Para ello las medidas a adoptarson, validacin en la entrada de datos, la implementacin de controles internos en el procesamiento de alinformacin para verificar o detectar cual#uier corrupcin de la informacin a trav"s de los procesos, tanto porerror como intencionalmente, la adopcin de medidas par asegurar y proteger los mensajes deintegridad de las aplicaciones. D por ltimo la validacin en la salida de datos, para asegurar #ue losdatos procesados, y su posterior tratamiento o almacenamiento, sea apropiado a los re#uerimientos de esaaplicacin.

- *ont r ol e s cr ipto g rf ic os: (uevamente se recalca este objetivo de la criptografa de proteger la integridad ,confidencialidad y autenticidad de la informacin. En este caso, a trav"s de dos controles, lo #ue proponees desarrollar una adecuada poltica de empleo de estos controles criptogrficos y administrar las calves #uese emplean de forma consciente.

El tema de claves criptogrficas, como se !a podido apreciar !asta a!ora, es un denominador comn de todaactividad de seguridad, por lo tanto ms an cuando lo #ue se pretende es implementar un completo )


26/34

- )e g uridad en el desarrollo y soporte a procesos: Este apartado cubre cinco controles cuya finalidad estorientada !acia los cambios #ue sufre todo sistema. +os aspectos calve de este grupo son:

0 3esarrollar un procedimiento de control de cambios.

0 eali&acin de revisiones t"cnicas a las aplicaciones luego de reali&ar cual#uier cambio,teniendo especial atencin a las aplicaciones crticas.

0 3ocumentar claramente las restricciones #ue se deben considerar en los cambios de pa#uetes de

soft6are.0 1mplementacin de medidas tendientes a evitar fugas de informacin.0 )upervisin y monitori&acin de desarrollos de soft6are externali&ado.

- 4dminist rac i n t"c ni c a de vuln era bilid a d e s: Toda vulnerabilidad #ue sucede en un sistema de informacin, tardeo temprano se describe con todo lujo de detalles en 1nternet. +as palabras claves de esto son tarde otemprano/, pues cuanto antes se tenga conocimiento de una debilidad y las medidas adecuadas parasolucionarlas, mejor ser para la organi&acin.

Este grupo #ue solo trata un solo control, lo #ue propone es adoptar medidas para estar al tanto de estostemas ms temprano/ #ue tarde/. Esta actividad, en la actualidad no re#uiere esfuer&os econmicos si se

pone inter"s en la misma, pero s re#uiere muc!o tiempo para poder consultar Cebs especiali&adas o leer losmails #ue llegan si se est subscripto a grupos de noticias de seguridad, o buscar en 1nternet en foros, etc. +oimportante es #ue existe un amplio abanico de posibilidades para reali&ar esta tarea, #ue va desde !acerloindividualmente !asta externali&arla, y a su ve& desde !acerlo 5uy temprano/ !asta demasiado tarde/ y entodo este abanico se pueden elegir un sinnmero de opciones intermedias.

+a norma simplemente nos aconseja plantearse formalmente el tema, anlisis la relacin coste;beneficio enla empresa para esta tarea y adoptar una decisin co!erente dentro del abanico expuesto.

A.1* Admi nistracin de los incidentes de seguridad

Todo lo relativo a incidentes de seguridad #ueda resumido a dos formas de proceder:

- Proteger y proceder.- )eguir y perseguir.

Este viejo planteo $#ue !emos mencionado varias veces%, viene desde la B* $e#uest Bor *omments% FGG,#ue fue uno de los primeros estndares #ue regulari& la Poltica de )eguridad. Tal ve& no sea la mejor traduccinde estos dos procederes, pero lo #ue trata de poner de manifiesto es #ue ante un incidente, #uien no posea lacapacidad suficiente solo puede Proceder y proteger/, es decir cerrar, apagar, desconectar, etc9con ellomomentneamente solucionar el problema, pero al volver sus sistemas al r"gimen de trabajo normal el problematarde o temprano volver pues no se erradicaron sus causas. +asegunda opcin, en cambio, propone verdaderamente *onvivir con el enemigo/, y permite ir anali&ando pasoa paso su accionar, llegar a comprender todo el detalle de su tarea y entonces s erradicarlo definitivamente.Porsupuesto este ltimo trabajo, re#uiere estar preparado y contar con los medios y recursos suficientes.


27/34

En definitiva, es esto lo #ue trata de dejar claro este punto de la norma a trav"s de los cinco controles #ueagrupa, y subdivide en:

- eportes de eventos de seguri dad de la informaci n y debilidades.

*omo su nombre lo indica, este apartado define el desarrollo de una metodologa eficiente para lag e neraci n, monitori & acin y s e g uimi e nto de reportes, los cuales deben reflejar, tanto eventos de seguridadcomo debilidades de los sistemas. Estas metodologas deben ser giles, por lo tanto se presupone el empleo de!erramientas automati&adas #ue lo !agan. En estosmomentos se poseen muc!as de ellas.

En concreto para #ue estos controles puedan funcionar de manera eficiente, lo mejor es implantar!erramientas de deteccin de vulnerabilidades, ajustarlas a la organi&acin, para saber con total certe&adnde se es d"bil y donde no, y a trav"s de estas desarrollar unmecanismo simple de difusin de las mismas a los responsables de su administracin y solucin, loscuales debern solucionarlas o justificar las causas para no !acerlo, ante lo cual, esta debilidad pasar a sertratada por el segundo grupo de este control, es decir una metodologa de deteccin de intrusiones,#ue ser la responsable de generar la alerta temprana, cuando una de esas debilidades sea explotada por

personal no autori&ado. Estas alertas necesitan tambi"n un muy buen mecanismo de gestin, para provocarla respuesta inmediata.

- 4dministracin de incidentes de seguridad de la informacin y mejoras.

)i se poseen los dos mecanismos mencionados en el punto anterior, la siguiente tarea es disponer de unametodologa de administracin de incidentes, lo cual no es nada ms #ue un procedimiento #ue describaclaramente: pasos, acciones, responsabilidades, funciones y medidas concretas. Todo esto no es efica& sino se reali & a la preparacin adecuad a, por lo tanto es necesario difundirlo, practicarlo y )15A+4+', esdecir generar incidentes #ue no !agan peligrar los elementos en produccin, tanto sobre ma#uetas como en

planta y poner a prueba todos los eslabones de la metodologa. )eguramente aparecern fallos, &onas grises obrec!as de seguridad metodolgicas, las cuales la mejor manera de solucionarlas es en situaciones depa&/ y no durante un conflicto real9999como se pueda apreciar !e escrito en terminologa muymilitar, pues esto no es ni ms ni menos #ue lo #ue !acen $o deberan !acer9.% durante todo el tiempo de

pa& las fuer&as armadas, prepararse para incidencias/, pues esta actividad no puede ser improvisadacuando llega la misma sino no !ace falta ser militar para deducir #ue ser catastrfico. +a preparacinmilitar, en los casos defensivos !ace principalmente esto, es decir anali&ar las posibles metodologas #ue

puede aplicar un enemigo y practicar su contramedida, esto es el entrenamiento militar y a su ve& son losdenominados ejercicios militares/ en el terreno o en mesas de arena $+"ase planta y;o ma#ueta%, #ue no sonotra cosa #ue simulaciones sobre #u" sucedera si reacciono des esta forma u otra. +a doctrina militar esmilenaria, tiene millones de situaciones vividas, practicadas y estandari&adas, por as llamarlas, por lostantos en los casos en #ue su analoga con la informtica es evidente, no se debe re inventar la rueda, sinoaprovec!ar lo #ue ya existe, y la preparacin ante incidencias es uno de los casos ms evidentes de esto.Existe un


28/34

muy antiguo refrn #ue dice )i #uieres vivir en pa&, preprate para la guerra/. Es decir, si#uieres evitar problemas de seguridad, preprate para ellos.

A.1+ Admi nistracin de la continuidad de negocio

Este grupo cubre nuevamente cinco controles y los presenta a trav"s de un solo grupo:

- 4spectos de se g uridad de la informacin en la continuidad del ne g ocio.

Este grupo tiene como objetivo contemplar todas las medidas tendientes a #ue los sistemas no !agan sufririnterrupciones sobre la actividad #ue reali&a la empresa. oy en da los sistemas informticos son uno de los

pilares fundamentales de toda empresa, independientemente de la actividad #ue realice, ya se puede afirmar #ueno existe ninguna #ue no tenga un cierto grado de dependencia con estas tecnologas. *ual#uier anomala desus sistemas repercute en el negocio de la empresa y por supuesto esto debera ser lo mnimo posible.

+o primero #ue considera este grupo es #ue la seguridad de la informacin se encuentre incluida en la

administracin de la continuidad de negocio, esto #ue tal ve& pare&ca muy intangible o impreciso, no esnada ms #ue considerar los puntos o !itos en los cuales debe incluirse controles/ de se g uridad dentro delos procesos de la empres a. Es decir, si una empresa conoce bien su actividad, debe ser capa& de redactarsu metodologa de trabajo a trav"s de flujos o procesos $)imples diagramas de flujo%. En cada una de laslneas #ue unen este grafo, se debe considerar la seguridad, y verificar si esta influye o no en esta secuencia, siinfluye es un !ito de seguridad y debe ser considerado, evaluado e implementado el control correspondiente.

Este punto #ue se present unos renglones arriba como intangible, pu e d o as e g u r ar!ue d e be s e r e l m s i m po rt an t e de e s t a no r m a, y es el #ue desencadenarabsolutamente todos los controles de se g uridad de la empres a, pues si un control no est relacionado conlos procesos de la empresa, no tiene mayor sentido y, peor an, si no se conocen con exactitud los procesosde la empresa, es muy difcil asegurar los sistemas de la misma.

Ana ve& detectada y anali&ada la inclusin de !itos o controles de seguridad en los procesos de la empresa, el

segundo paso es evaluar los riesgos #ue impone este para la interrupcin del negocio de la organi&acin, deese riesgo se derivar un impacto, cuyas consecuencias se deber determinar cmo asumir.

+as medidas o determinaciones #ue se adopten para solucionar, minimi&ar, mejorar o asumir esos riesgosdebern expresarse por medio de planes de continuidad de negocio $o planes de contingencia%, los cualestienen el objetivo de mantener y restaurar el nivel operacional de la empresa, por medio de un conjunto demedidas #ue reflejen la forma de proceder y;o escalar ante la ocurrencia de cual#uiera de los efectos #ue

producira un fallo en esos !itos.

Por ltimo, al igual #ue el grupo anterior, todas estas medidas, debern ser puestas a prueba para mantenervivo/ y mejorar este plan.


29/34

A.1, arco Legal y buenas prcticas legales de estndares t/cnicas y auditoras

Este grupo cubre die& controles. Es uno de los aspectos ms d"biles #ue en estos momentos posee la norma,pues la aplicacin de la misma en cada Pas, debe estar de acuerdo a las bases y regulaciones legales del mismo,

las cuales slo son consideradas, una ve& #ue las organi&aciones de estandari&acin correspondientes adecuan elestndar 1ngl"s a cada Pas respectivo. Para poner como ejemplo, en el caso de Espa7a, no

puede $o no debera% ser posible la certificacin de una empresa #ue no de cumplimiento a la +))1,+'P3, leyes de regulacin de las telecomunicaciones, interceptacin legal, etc9Estos aspectos ningn auditorcertificado en H)1, 1)4*4 internacionalmente, etc. tiene por#u" conocerlos, como tampoco tendr la basesuficiente para controlarlos con la rigurosidad #ue esto implica, y por lo tanto, puede suceder $?o yasucede@....% #ue existan empresas #ue se est"n certificando en esta norma y no cumplan estrictamentecon las bases legales de cada Pas. ?Iu" sucedera si les cae una auditora de, por ejemplo,la 4gencia Protectora de 3atos y resulta #ue no estn bien en este aspecto@, ?)eguira siendo vlida sucertificacin

ec!as las salvedades respectivas, seguimos adelante con este grupo #ue se encuentrasubdividido en:

- *umplimi e nto de re #u er imi e ntos l e g a le s.

+o primero a considerar a#u es la identificacin de la legislacin aplicable a la empresa, definiendoexplcitamente y documentando todo lo #ue guarde relacin con estos aspectos. 'tro componente de este

primer grupo es lo relacionado con los derec!os de propiedad intelectual $4 ver si )


30/34

documentado, todos los aspectos legales #ue le aplican, durante el almacenamiento y tambi"n en todomomento en #ue sea re#uerido para su procesamiento $incluyendo a#u sus despla&amientos%.

El ltimo control de este grupo !ace referencia a las regulaciones legales #ue aplican al uso de controlescriptogrficos. oy en da a mi juicio, la ley aplica a tres aspectos de la criptografa:

0 El tema de exportacin de claves cuyo mximo exponente fue EEAA $!oy en franca

decadencia%.0 El tema de re#uerimientos legales sobre registros almacenados y;o en trnsito

$1nterceptacin legal%0 El empleo de claves por parte de los usuarios y administradores de sistemas.

Este aspecto es muy pocas veces considerado en las organi&aciones, y !e conocido ya

varios casos de problemas y pleitos legales, por ejemplo, sobre despidos en los cuales unadeficiente poltica de derec!os y obligaciones legales de la empresa !acia sus empleados

implic importantes sumas de dinero para poder retomar el acceso;control a sus

infraestructuras, y;o descifrar informacin #ue slo estaban en capacidad de !acerlo ciertos

empleados. Esto es un aspecto legal #ue debe ser claramente definido y puesto en conocimientodel personal.

- *umplimiento de polticas de seguri dad, estndares y t"cnicas de buenas prcticas.

En este grupo a trav"s de dos controles, la norma trata de !acer !incapi" en el control del cumplimiento deestas medidas, pues de nada sirve tener todo en regla con los aspectos legales, si luego el personalinvolucrado no da cumplimiento a las medidas y en definitiva, la implementacin falla. Para evitar estasdebilidades y los graves problemas #ue pueden ocasionar, es #ue se debe asegurar #ue todos estos

procedimientos se cumplan y verificar peridicamente #ue las regulaciones est"n vigentes, sean aplicables yest"n de acuerdo con toda la organi&acin.

- *onsideraciones sobre auditoras de sistemas de informacin.

+as auditoras de los sistemas de informacin son imprescindibles, las dos grandes consideraciones

son reali&arla de forma externa o interna. *uando se contrata este servicio a trav"s de empresas externas, losresultados son mejores, pues son su especialidad y por lo tanto tienen en Jno6 o6/ necesario ysuficiente para detectar los aciertos y errores, la parte negativa es #ue por los recursos econmicos #ueimplica, no pueden ser todo lo peridicas #ue se desean. Por otro lado, las auditoras internas, no

poseen tal ve& tanta experti&/, pero por reali&arse con recursos propios, ofrecen la posibilidad de reali&arlascon mayor periodicidad e inclusive reali&arlas aleatoriamente lo cual suele ser muy efectivo. El aspectofundamental de una auditora interna es #ue no puede estar involucrado el personal responsable de lo #ue seaudita, es decir, no se puede ser Kue& y parte/, remarco esto pues, por evidente #ue pare&ca no suelecumplirse muy a menudo.

El ltimo tema #ue considera el estndar es lo referido al empleo de !erramientas de auditora de seguridad.Este es un tema de vital inter"s desde varios aspectos:


31/34

0 Ana !erramienta de auditora de seguridad instalada, puede servir para el lado bueno o el oscuro/ dela organi&acin. Por lo tanto, las mismas debern ser tratadas con todas las precauciones$1nventariadas, identificadas, controladas en su acceso, monitori&adas, desinstaladas, etc.%. Puessi un usuario no autori&ado, accede a ellas, se le est sirviendo la red en bandeja de plata.

0 El empleo de una !erramienta de auditora de seguridad debe ser perfectamente regulado, encuanto a su alcance, profundidad, potencialidad, !orario, fec!as, ventanas de tiempo deoperacin, objetivo, resultados deseados, etc. Pues al igual #ue en el punto anterior, no puededejarse librado al a&ar su uso correcto, caso contrario se puede disparar todo un procedimientode incidencias, o caerse una infraestructura, etc.

0 )e debe coordinar con cada sistema a auditar #u" es exactamente lo #ue se va a !acer sobre este ycuales son los derec!os y obligaciones #ue se poseen en el uso de esa !erramienta sobre cadasistema en particular, pues no tiene por#u" ser el mismo para todos.

0 )e debe regular *'(T4*TA4+5E(TE, en los casos de auditoras externas cules son losderec!os, obligaciones y responsabilidades en el empleo de las mismas, incluyendo claramentelas indemni&aciones por da7os y perjuicios #ue pueden ocasionar en su empleo incorrecto.

ua de 2mplementacin de la norma 234 &500&

Ana ruta comn es el siguiente $plan de L puntos%:

. Preparar el terreno: obtener copias de lanorma 1)' MMNNyH)MMNN-Fnormas, la investigacin del fondo, establecer losobjetivos, entender los costos y beneficios, y servir de enlace con la alta direccin para obtener su apoyo.

F. 3efinir el alcance: lo #ue est en lo #ue fuera, incluyendo temas como la ubicacin, los activos y as sucesivamente.Preparar una declaracin de aplicabilidad.

O. 3efine a formal 1)5) $1nformation )ecurity 5anagement )ystem% policy. 3efinir un )


32/34

C4"26

*'H1Tes soporte para el control objetivo sobre informacin y tecnologas relacionadas. *'H1T emitido por 1)4*4 $)istemade 1nformacin de la norma de control%, una organi&acin sin fines de lucro para 1T


33/34

'Cmo elegir el proveedor correcto)

5uc!os dijeron #ue poda ayudar a su empresa para aplicar estas normas de manera efectiva, de !ec!o no !ay una solucinpara todos. (ormalmente, el vendedor de *'H1T provienen de Publci firma de contabilidad #ue tenga un bra&o de auditora deT1, por ejemplo, de PC*, la T3T, JP5


34/34

CuestionarioE)&"8"& el ';'ul% *el *%)u#e('%]

J

cuestionario aud. y seg. en tecnol. de inf

Documents