Tesis - Dirección General de Servicios Telemáticos

Facu
ultad de Te
elemá
ática
PR
ROPUE
ESTA DE PO
OLÍTICA
AS DE
E SEGU
URIDAD
DE LA
A INFORMAC
CIÓN PA
ARA E
EL SIST
TEMA
SIABUC
S
C
TES
SIS QUE
E PARA OBTENE
ER EL G
GRADO D
DE
MAESTR
M
RA EN TECNO
T
OLOGÍA
AS DE INFORM
MACIÓN
N
Presenta
a:
Amalia
A
Flores Muñozz
As
sesoress:
M. en
e C. Ra
aymund
do Bue
enrostro
o Maris
scal
M. en C. José
J
Ro
omán H
Herrera
a Morale
es
Colima, Col;
C Junio de 2009
Dedicatoria
Este trabajo está dedicado a mis hijos Luis y Alex, por su apoyo y
comprensión.
A Carlos, por el inmenso y valioso apoyo que en todo momento he
recibido.
I
Agradecimientos
A los maestros M. en C. Raymundo Buenrostro Mariscal y M. en C.
Román Herrera Morales, por la asesoría continúa en el desarrollo de
esta tesis, por sus valiosas críticas, su interés y paciencia.
II
ƒ„Žƒ†‡‘–‡‹†‘
Dedicatoria
I
Agradecimientos
II
Resumen
VI
Abstract
VII
Lista de tablas
VIII
Lista de figuras
IX
CAPÍTULO I
INTRODUCCIÓN
1
1.1. Planteamiento del problema
2
1.2. Objetivo general
3
1.2.1. Objetivos específicos
3
1.3. Preguntas de investigación
4
1.4. Justificación
4
1.5. Estructura del documento
5
CAPÍTULO 2
MARCO TEÓRICO
7
2.1. Antecedentes de SIABUC
7
2.2. Versiones del software SIABUC
7
2.3. ¿Qué es Seguridad de la información?
11
2.3.1. ¿Qué es la información?
13
2.3.2. Sistema de gestión de la seguridad de la información (SGSI)
14
2.3.3. ¿Qué incluye un SGSI?
16
2.4. Principios básicos de seguridad
18
2.5. Amenazas
20
2.6. Vulnerabilidades
20
2.7. Riesgo
21
III
CAPÍTULO 3
ESTÁNDARES PARA LA SEGURIDAD DE LA
INFORMACIÓN
22
3.1. Introducción a los estándares
22
3.2. Serie de ISO 27000
25
3.2.1. ISO 27001:2005
26
3.3. Dominios y controles de ISO 27001:2005
29
3.4. Estrategia general de seguridad
30
3.5. Controles Aplicables (BaseLine)
32
CAPITULO 4
ANÁLISIS DE RIESGO
34
4.1. Metodología de análisis de riesgo
35
4.2. Activos
36
4.2.1. Activos críticos de sistema SIABUC
37
4.2.2. Descripción detallada de los activos críticos del sistema SIABUC 38
4.2.3. Activos secundarios del sistema SIABUC
4.3. Amenazas de activos críticos
40
48
4.3.1. Amenazas a la base de datos del acervo bibliográfico, módulo de
análisis
48
4.4. Valoración de activos
50
4.5. Análisis de riesgo a los activos del sistema SIABUC
53
4.6. Vulnerabilidades
61
4.7. Tratamiento de riesgos
64
CAPÍTULO 5
DOMINIOS APLICABLES AL SISTEMA SIABUC
67
CAPÍTULO 6
CONCLUSIONES Y RECOMENDACIONES
74
6.1. Trabajo a futuro
75
IV
Bibliografía
77
Anexo A (Controles y Objetivos de control)
80
Anexo B (Amenazas)
85
Anexo C (Amenazas de Activos)
89
Anexo D (Criterio de valoración de activos)
96
V
Resumen
El presente trabajo, trata sobre la seguridad de la información que es una
característica que debería de cumplir cualquier sistema de información, está
establece que se encuentra libre de todo peligro, daño o riesgo, y que en cierta forma
es infalible, sin embargo es una particularidad que es difícil de conseguir, si no es
que casi imposible, lo adecuado es hablar de sistemas, donde se busca básicamente
tres aspectos principales: Confidencialidad, Integridad y Disponibilidad.
Las organizaciones deberían de contar con mecanismos estandarizados que
permitan aplicar controles adecuados para contar con un sistema fiable, la seguridad
en cualquier organización debe estar en concordancia a sus riesgos, por lo que
definir los controles aplicables puede ser a menudo una tarea compleja si no se tiene
en claro los activos que se desean proteger y de lo que se quieren proteger.
Se propone para el acervo bibliográfico electrónico del sistema SIABUC de la
Universidad de Colima, un BaseLine de políticas de seguridad de la información
alineadas al estándar de ISO 27001:2005, que le permitirán identificar sus amenazas
y vulnerabilidades, y con ello disminuir el riesgo.
VI
Abstract
This thesis discusses information security, which is a feature that any information
system would meet. Information security assures that the system is out of harm,
damage or risk and in some way it is infallible. However, this latter feature is almost
impossible to meet. It would be better to talk about systems that have three main
basic aspects: Confidentiality, Integrity and Availability.
Organizations must provide standardized mechanisms that allow them put into action
adequate controls to have reliable systems.
The levels of security within an
organization must be implemented in accordance to its risks. Consequently, defining
what controls to apply is not an essay task, especially if it is not clear what to protect.
I suggest a Baseline of security policies aligned to the ISO 27001:2005 standard for
the bibliographic SIABUC electronic system of the University of Colima, which will
allow SIABUC identify threats and vulnerabilities, and thereby reduce risk.
VII
Lista de Tablas
Tabla 2.1: Versiones del software SIABUC
10
Tabla 3.1: Dominios de la norma ISO/IEC 17799:2000
24
Tabla 3.2: Serie ISO/IEC 27000
25
Tabla 3.3: Componentes de norma ISO 27001:2005
28
Tabla 3.4: Dominios y controles de ISO 27001:2005
29
Tabla 4.1: Activos críticos del sistema SIABUC
38
Tabla 4.2: Dependencia entre activos
42
Tabla 4.3: Amenazas de base de datos acervo bibliográfico, módulo de análisis 49
Tabla 4.4: Impacto de la amenaza
51
Tabla 4.5: Valoración de activos
52
Tabla 4.6: Escala de valoración de las amenazas
60
Tabla 5.1: Controles aplicables al sistema SIABUC
70
VIII
Lista de Figuras
Figura 2.1: Objetivos de la seguridad de la información
12
Figura 2.2: Información
13
Figura 2.3: Análisis de riesgos de un activo
15
Figura 2.4: Tipos de documentación
17
Figura 2.5: Triada de la seguridad
19
Figura 3.1: Estándares de seguridad
23
Figura 3.2: Diagrama de estrategia general
32
Figura 4.1 Activos secundarios de la base de datos de acervo bibliográfico
43
Figura 4.2: Activos secundarios de la base de datos de adquisiciones
44
Figura 4.3: Activos secundarios del servidor
45
Figura 4.4: Activos secundarios del sistema SIABUC
46
Figura 4.5: Activos secundarios de equipo de cómputo
47
Figura 4.6: Activos secundarios de los programadores
47
Figura 4.7: Proceso de creación del análisis de riesgos
54
Figura 4.8: Datos del proyecto
55
Figura 4.9: Activos identificados para el sistema SIABUC
55
Figura 4.10: Descripción y características de activo
56
Figura 4.11: Identificación de las amenazas
58
Figura 4.12: Vulnerabilidades de los dominios
59
Figura 4.13: Valoración de las amenazas
60
Figura 4.14: Análisis de vulnerabilidades
62
Figura 4.15: Riesgo acumulado
64
Figura 5.1: Dominios aplicables al sistema SIABUC
68
IX
CAPÍTULO 1
INTRODUCCIÓN
En la actualidad día tras día, es mayor la importancia que toma la información,
especialmente aquella que está procesada, almacenada, capturada y que además es
transmitida por sistemas de tecnologías de la información y comunicaciones (TIC’s).
En el ámbito de las TIC’s es común escuchar expresiones como, seguridad
informática, seguridad de los sistemas y tecnologías de la información, seguridad de
la información, para referirnos a la aplicación de controles que permitan asegurar los
datos y la información, quienes son los activos más valiosos y estratégicos de toda
organización, sin embargo, seguridad de la información es el termino apropiado
cuando se adoptan políticas de seguridad alineados a estándares.
La seguridad de la información, no es un tema estrictamente de tecnología, aun
cuando ciertas medidas de control requieran de ella, es indispensable la asignación
de propietarios a los activos, sobre todo de los datos, los propietarios son quienes
deben realizar la clasificación de la información y las reglas de acceso, un propietario
consciente de la importancia del valor que tiene la información se interesará en los
riesgos que puedan existir.
En las bibliotecas de la Universidad de Colima, bajo la jurisdicción de la Dirección
General de Servicios Bibliotecarios (DGSB), han tenido la necesidad de automatizar
el manejo de información inherentes a la gestión de una biblioteca, para ello se
desarrolla el Sistema Integral Automatizado de Bibliotecas de la Universidad de
Colima (SIABUC), que permite apoyar los procesos de manejo y acceso a la
información bibliográfica como es: la adquisición de material bibliográfico, el
procesamiento, el registro de los usuarios, préstamo del material, consulta, entre
otros procesos que involucran información.
El resultado final esperado es contar con los mecanismos necesarios para contribuir
al desarrollo de un sistema de gestión de seguridad de la información del SIABUC y
1
sumarse a los esfuerzos de la institución en los procesos de certificación ISO
9001:2000, que actualmente tiene, para constituir a una integración exitosa que
marque referente dentro de la Universidad de Colima y del país.
El presente trabajo de investigación, muestra la problemática presentada por las
organizaciones al generar y procesar información, las posibles vicisitudes a las que
se podría enfrentar cuando la información no es adecuadamente protegida, además
que para asegurar dicha información es necesario contar con fórmulas para
protegerla, asegurando la integridad, disponibilidad y disponibilidad.
1.1
Planteamiento del problema
Las organizaciones públicas y privadas día a día generan conocimiento, datos,
reportes, actas y material de diferente índole importante para ellos, lo cual representa
toda la información que requieren para su funcionalidad, ésta en la mayoría de los
casos es almacenada en diferentes formatos tanto físicos como electrónicos, que
además es almacenada y puesta a disposición para el personal que requiere hacer
entre otras cosas toma de decisiones, planes, reportes, inventarios, etc.,
El acceso a la información se ha vuelto más fácil debido al avance en las tecnologías
de la información, esto ha permitido que se pueda tener acceso a información en
formato digital que se encuentra almacenada en nuestros dispositivos, localmente o
de manera remota en diferentes formatos, como archivos, documentos, imágenes o
base de datos.
Si la información es usada de forma adecuada puede resultar benéfica para las
organizaciones dueñas de ella, pero ésta puede ser interceptada, robada, modificada
o accedida por personas ajenas, resulta peligroso para los propietarios de la
información, debido a que se puede hacer mal uso de ella, pues se puede usar en
contra o para perjudicar a la organización.
Por lo anteriormente citado es necesaria la implementación de herramientas,
controles y políticas que aseguren la confidencialidad, disponibilidad e integridad de
2
la información, con ellos garantizar que la información sea accedida solo por quienes
deban, esté disponible cuando se requiera para quienes estén autorizados y
permanezca tal y como fue creada por sus propietarios y la actualización de ella, esté
dada dentro de los controles que implemente la institución.
En el escenario de la Universidad de Colima, caso del sistema SIABUC no está
exento de una problemática de este tipo, por lo que se propone implementar este tipo
de mecanismos para asegurar la información contenida en este sistema, controles y
políticas de seguridad que estén alineadas a estándares internacionales tales como
ISO 27001:2005, así mismo establecer un precedente para que el resto de las áreas
de la institución que manejan información sensible adopten medidas similares.
1.2
Objetivo General.
Proponer un esquema de políticas de seguridad de la información del acervo
bibliográfico electrónico del sistema SIABUC de la Universidad de Colima alineado a
estándares internacionales.
1.2.1 Objetivos Específicos.

Identificar los activos principales del sistema SIABUC.

Realizar análisis de vulnerabilidades.

Proponer políticas de seguridad para los activos identificados.
3
1.3
Preguntas de Investigación
¿El sistema SIABUC cuenta con políticas y procedimientos para proteger la
información?
¿Se tienen identificados los activos del sistema SIABUC?
¿Existen mecanismos para la clasificación de la información del sistema
SIABUC?
¿El sistema SIABUC cumple con algún estándar de seguridad de la
información?
1.4
Justificación
Cuando se habla de la implantación de controles, es para disminuir el riesgo al qué
están expuestos los activos, lo cual dependerá del tipo de activo a proteger,
amenazas, vulnerabilidades, a que esté expuesto y con ello el tipo de control a
implementar; no necesariamente todos los mecanismos significan un desembolso
para la organizaciones, habrá algunos que sea una política interna como por
ejemplo, elaborar una política de contraseñas, o una política del uso de los recursos
informáticos.
En otras ocasiones será
necesario venderles a las organizaciones, la
idea de
proteger a sus activos, esto puede ser a través de un análisis de riesgo lo cual va a
permitir conocer el entorno donde están y con ello los riesgos a los que están
expuestos; conociendo a esto último probablemente, vean la necesidad de invertir o
generar controles de seguridad, equiparable a nuestra vida diaria no cambiamos
nuestro régimen alimenticio hasta que nos dicen que estamos enfermos de
colesterol, diabetes o alguna enfermedad que ponga en riesgo nuestra vida, igual
pasa en algunas organizaciones no implementan controles de seguridad hasta que
ven que están comprometidos sus activos
4
Una de las grandes amenazas de las organizaciones son los usuarios (Fernández de
Lara, 2007) quienes pareciera que se las ingenian para comprometer sus
contraseñas y la información de las organizaciones donde laboran.
Las amenazas humanas no se limitan a los usuarios que utilizan los recursos, existe
un problema aun mas peligroso, los desarrolladores de software, los responsables de
los servidores, los responsables de las redes de voz y datos; que ponen en peligro la
seguridad de la información, en los eventos de seguridad, los conferencistas
subrayan la importancia del desarrollo de software y bases de datos que hagan de la
integridad de la información que manejan, su columna vertebral, a los responsables
de servidores que implementen herramientas, que minimicen las vulnerabilidades
de los sistemas que en ellos instalen, asi como los servicios mínimo necesarios.
Pero parece que pasan por alto estas recomendaciones y su lema es “ el chiste es
que funcione”. Por algo es la gran variedad de vulnerabilidades, en los sistemas
operativos, aplicaciones, base de datos. Todo por la poca importancia que se da al
tema de la seguridad.
Por lo anteriormente citado es necesario estudiar las medidas que se toman para
proteger la información en el sistema SIABUC que utiliza la Universidad de Colima.
Esto llevará a la concientización y la implantación de políticas, controles y
procedimientos que eviten la divulgación de la información de forma inadecuada.
Esto también permitirá que otras áreas de la Universidad tomen medidas similares
para proteger su información.
1.5
Estructura de la tesis
Por otro lado se presenta el objetivo que se pretende alcanzar con el sistema
SIABUC, el alcance de este trabajo de tesis y cómo se podría ayudar a este sistema
a mejorar el manejo de la seguridad de su información y activos.
En el marco teórico, se habla sobre cómo fue evolucionando el sistema SIABUC,
desarrollado por la necesidad de automatizar una biblioteca en la Universidad de
5
Colima, la constante evolución del sistema y el trabajo de las personas involucradas
en el proyecto hoy en día es uno de los software de automatización de bibliotecas
más usado en América Latina, también se hace una introducción a los conceptos
básicos de información, seguridad de la información, así como el SGSI (Sistema de
Gestión de la Seguridad de la Información) y proceso necesario para llevarlo a cabo.
También se presenta una descripción de los estándares de seguridad, las partes en
las que está compuesta la serie ISO 27000, y la estructura de la norma ISO
27001:2005, exponiéndose además la estrategia de seguridad que se propone para
este proyecto.
Se muestra el análisis de riesgos realizado a los activos críticos del sistema SIABUC,
evaluando las amenazas, vulnerabilidades y riesgos, del acervo bibliográfico
electrónico del sistema, presentándose los resultados obtenidos utilizando la
metodología de MAGERIT (Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información), y la herramienta para análisis de riegos EAR/PILAR
(Entorno de análisis de riesgos / PILAR).
Se proponen los dominios de seguridad a implementar en el sistema SIABUC,
considerando los resultados del análisis de riesgo, así como un complemento a este
documento (anexo A) de la norma ISO 27002:2005, donde se muestra cuales serán
los controles necesarios a implementar a corto plazo.
Y por último se comentan las conclusiones y recomendaciones a las que se llegaron
en este trabajo de investigación.
6
CAPÍTULO 2
MARCO TEÓRICO
2.1
ANTECEDENTES DE SIABUC
En la década de los 80’s la biblioteca central de la Universidad de Colima, comenzó
a trabajar en el desarrollo de un sistema para automatizar los procesos inherentes a
una biblioteca, siendo 1983 cuando nace la primera versión de SIABUC (Basurto,
1997), han pasado 25 años desde entonces, durante los cuales el proceso de
evolución de SIABUC no se ha detenido, por el contrario, se ha buscado mantenerlo
en constante actualización, fundamentalmente porque ya son casi 1500
las
instituciones que tanto en México como en América Latina lo manejan
cotidianamente en sus bibliotecas (siabuc.ucol.mx, 2003).
La primera versión de SIABUC fue utilizada solo de manera interna en la institución,
aplicándose para la reproducción de juegos de tarjetas catalográficas, a partir del
año de 1987 el sistema se da a conocer a otras instituciones y se forma el grupo de
usuarios de SIABUC el cual se reúne periódicamente desde entonces y esto ha
permitido que con las aportaciones y sugerencias de los usuarios se retroalimente el
sistema y salgan nuevas versiones, en el año de 1995 surge la versión 5.0 y es
registrado el software en la Dirección General del Derecho de Autor (Herrera Morales
José Román, 2004).
2.2
VERSIONES DEL SOFTWARE SIABUC
En el año de 1983-1984, se genera la primera versión de SIABUC, desarrollada en
Cobol (COmmon Business -Oriented Language, Lenguaje Común Orientado a
Negocios) para plataformas MS-DOS (MicroSoft Disk Operating System, Sistema
operativo de disco de Microsoft) que incluía los módulos para el control de
adquisiciones, análisis bibliográfico, archivos de consulta, control de acervo y
servicios de préstamo e información estadística del sistema bibliotecario.
7
1984-1985 y 1986 -1987, se libera SIABUC versión 1.0 y 1.1 para MS-DOS que
funcionaba en microcomputadoras PC.
1988-1989, la versión de SIABUC 2 es desarrollada en CLIPPER1 y lenguaje C para
plataformas de MS-DOS, y al cual le fue incluido un módulo mas el de control de
procesos especiales.
1991, SIABUC versión 3 realizada en FOX PRO (FoxBASE Professional) para MSDOS, se incorpora el módulo de conversiones.
1993-1994, la versión 4 desarrollada en CLIPPER y C compatible con Micro ISIS
(Integrated Set for Information System).
1995, para la versión 5 de SIABUC se incorpora el manejo de publicaciones
periódicas, y en febrero del mismo año el software es registrado ante la Dirección
General de Derechos de Autor.
Se distribuye SIABUC por primera en vez en formato de CD-ROM (Compact Disc Read Only Memory, "Disco Compacto - Memoria de Sólo Lectura") con 2
modalidades:
 Versión austera para computadoras con procesador 80286
 Versión completa para equipos IBM, PC 80386 con mejores prestaciones.
A mediados de los años 90’s se trabaja en elaboración de la aplicación en ambientes
gráficos y ya no bajo ambiente de MS-DOS, es decir, se contempla el desarrollo de
una plataforma Cliente-Servidor, con la ventaja de poner las bases de datos en la
Web, en el año de 1998 se trabaja intensamente para liberar la versión ClienteServidor, dicha versión es liberada en el mes de junio,
Durante 1997, se presenta la primera versión de SIABUC para Microsoft Windows,
conocida como SIABUC 2000, las novedades en esta edición incluía un nuevo
módulo, denominado utilerías y mejoras en el módulo de publicaciones periódicas.
1
Lenguaje de programación procedural e imperativo creado en 1985 por Nantucket Corporation y
vendido posteriormente a Computer Associates
8
1999-2001, se presenta SIABUC SIGLO XXI diseñado para plataformas de Windows
de 32 bits, tales como Windows 95, Windows 98 y Windows NT, esta versión de
SIABUC utiliza el motor de base de datos MS JET (Access 97), con nuevas
características, una interfaz sencilla y más amigable para el usuario, y con la
implementación de catálogos en línea.
En el año 2002, surge SIABUC 8 la nueva versión del popular software de
automatización de bibliotecas, actualmente este software es usado en más de 800
bibliotecas en México y América Latina, el software permite de manera integral los
procesos realizados en una biblioteca, el cual incluye los siguientes módulos:
1. Utilerías
2. Adquisiciones (información sobre la adquisición de material bibliográfico)
3. Análisis (catalogación, captura de acervo bibliográfico electrónico)
4. Consulta de revistas
5. Consulta de libros
6. Estadísticas
7. Indizado de libros
8. Indizado de revistas
9. Inventarios
10. Servicios
11. Préstamos
12. Publicaciones periódicas
13. Respaldador2
SIABUC 8, es desarrollado en Visual Basic, y con el motor de base de datos JET 4.0,
para trabajar en plataformas de Windows 98, 2000 y XP, fueron editadas 3 ediciones
de SIABUC 8, la primera en 2002, en 2003 una llamada “edición de aniversario” para
conmemorar los 20 años de desarrollo SIABUC, y la última edición se presenta en
noviembre de 2004.
En 2008, en el mes de noviembre en el marco del evento de interfaces es presentada
la versión más reciente de SIABUC denominada SIABUC 9, la cual cuenta con un
2
Nombre asignado a este modulo en el sistema SIABUC
9
nuevo motor de base de datos POSTGRES3 8.2, en la cual es implementada la
arquitectura cliente – servidor, se contemplan algunos esquemas de seguridad no
implementadas en la versiones anteriores, los más importantes son:

La base de datos está centralizada y radica únicamente en el servidor, por lo
que ya no existe información en los clientes.

Autenticación de usuarios integrada con el sistema operativo y el manejador
de base de datos, así como la clasificación de los usuarios, definiendo
diferentes perfiles con los permisos adecuados para cada uno de ellos.

Validación de equipos, mediante la dirección IP (Internet Protocol) de cada
una de las computadoras en la que se instala el cliente de SIABUC se puede
dar el permiso de acceso o denegarlo.
En la Tabla 2.1 se presenta en forma cronológica las versiones de SIABUC hasta
ahora desarrolladas.
Año
Versión
Sistema Operativo
1983
SIABUC Versión 1
MS-DOS
1989
SIABUC Versión 2
MS-DOS
1991
SIABUC Versión 3
MS-DOS
1993
SIABUC Versión 4
MS-DOS
1995
SIABUC Versión 5
MS-DOS
1997
SIABUC 2000 (versión 6)
MS Windows
1999
SIABUC Siglo XXI (versión 7)
MS Windows
2002
SIABUC 7 (versión 8)
MS Windows
PROMETEO V
MS Windows
SIABUC versión 9
MS Windows
2008
Tabla 2.1 Versiones del software SIABUC
El sistema SIABUC, desde sus inicios ha sido una herramienta y vehículo de
procesamiento de información al interior de la Universidad de Colima, y desde sus
3
Sistema de gestión de base de datos relacional orientada a objetos de software libre, publicado bajo
la licencia BSD.
10
primeras versiones se ha usado en los diferentes departamentos que conforman la
DGSB, el cual se puede decir que ha sido una innovación ya que ha estado en
constante mejoría, desde las versiones SIABUC 2000, Siglo XXI, SIABUC 8 y
SIABUC 9, se ha mantenido en un servidor de datos donde se ha centralizado la
información de las adquisiciones y del acervo de las bibliotecas, además de
mantener el servicio de OPAC4 junto con otra gran cantidad de archivos e
información asociadas a las tareas que se desarrollan con el sistema SIABUC como
son: solicitudes de material bibliográfico, cotizaciones, pedidos, reportes, listados,
respaldos, etc.
2.3
¿Qué es seguridad de la información?
Seguridad: Del latín securĭtas, -ātis. f. Cualidad de seguro. Dicho de un mecanismo:
Que asegura algún buen funcionamiento, precaviendo que este falle, se frustre o se
violente (DRAE, 2001), es decir aquello que está exento de peligro, daño o riesgo.
Las instituciones públicas, gobiernos, entidades militares, instituciones financieras, y
las empresas privadas acumulan una gran cantidad de información sobre sus
empleados, clientes, productos, investigaciones o su situación financiera. Mucha de
esta información es recolectada, procesada, almacenada y es puesta a la disposición
de sus usuarios, en computadoras y trasmitida a través de las redes, proteger esta
información es un requisito para garantizar la continuidad del negocio y en algunos
casos una disposición legal.
El término "seguridad de la información" se entiende como la protección de la
información y los sistemas que la soportan para evitar el acceso no autorizado, uso,
divulgación, alteración, modificación o destrucción (Cornell University, 2002), con el
fin de proporcionar: Confidencialidad, Integridad y Autenticidad (confidentiality,
integrity, availability CIA Triad) (Bhaiji, 2008), estos tres objetivos de la seguridad de
la información permite implementar controles, y detectar amenazas (Figura 2.1).
4
Online Public Access Catalog
11
Debemos de entender que la seguridad de la información tiene como propósito
proteger la información registrada, independientemente del lugar en que se localice:
impresos en papel, en los discos duros de las computadoras o incluso en la memoria
de las personas que la conocen.
La seguridad de la información busca evaluar la forma en que se crean las
aplicaciones, cómo están colocadas a disposición y la forma como son utilizadas por
los usuarios y por otros sistemas, para detectar y corregir problemas existentes en la
comunicación entre ellos (17799:2005(E), 2004).
Las aplicaciones deberán estar protegidas para que la comunicación entre las bases
de datos, otras aplicaciones y los usuarios se realice de forma segura, atendiendo a
los principios básicos de la seguridad de la información.
Figura 2.1, Objetivos de la seguridad de la información.
12
2.3.1 ¿Qué es la información?
Desde el surgimiento de la raza humana en el planeta, la información estuvo
presente bajo diversas formas y técnicas. El hombre buscaba representar sus
hábitos, costumbres e intenciones en diversos medios que pudiesen ser utilizados
por él y por otras personas, además de la posibilidad de ser llevados de un lugar a
otro. La información valiosa era registrada en objetos preciosos y sofisticados,
pinturas magníficas, entre otros, que se almacenaban con mucho cuidado en locales
de difícil acceso, a cuya forma y contenido sólo tenían acceso quienes estuviesen
autorizados o listos para interpretarla.
Información
(Del
latín
informatĭo,
-ōnis).
Comunicación
o
adquisición
de
conocimientos que permiten ampliar o precisar los que se poseen sobre una materia
determinada (DRAE, 2001).
ISO/IEC 17799
define a la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada. El objetivo de la
seguridad de la información es proteger adecuadamente este activo para asegurar
la continuidad de la organización, minimizar los daños de la misma y maximizar el
retorno de las inversiones y las oportunidades de negocio (17799:2005(E), 2004).
En sentido general, la información es un conjunto organizado de datos procesados
(Figura 2.2), que constituyen un mensaje sobre un determinado ente o fenómeno.
DATOS
PROCESAMIENTO
INFORMACIÓN
Fig. 2.2 - Información
Los objetos reales o tangibles (entendiendo por éstos aquellas cosas de valor físico
como joyas, pinturas, dinero, etc.) están protegidos por técnicas que los encierran
detrás de rejas o dentro de cajas fuertes, bajo la mira de cámaras o guardias de
seguridad. Pero,
13
¿Y la información que se encuentra dentro de servidores de archivos, qué transita
por las redes de comunicación o que es leída en una pantalla de computadora?
¿Cómo hacer para protegerla, ya que no es posible usar las mismas técnicas de
protección de objetos reales?
En la actualidad, la información es un activo que al igual que otros importantes
activos empresariales, es esencial para una organización, en consecuencia, debe ser
debidamente protegida. Esto es especialmente importante en el entorno empresarial
cada vez más interconectado y competido. Como resultado de esta creciente
interconectividad, la información está expuesta a un número cada vez mayor y una
variedad más amplia de amenazas y vulnerabilidades (ISO/IEC, 27001:2005).
Por esto, la seguridad de la información es un asunto tan importante para todos,
pues afecta directamente a los negocios de una empresa o de un individuo.
2.3.2 Sistema de Gestión de la Seguridad de la Información (SGSI)
SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la
Seguridad de la Información, una herramienta de gran utilidad y de importante
ayuda para la gestión de las organizaciones. Además es el concepto central sobre el
que se construye la norma ISO/IEC 27001 (Alan Calder, 2006). El concepto
equivalente en el idioma inglés es ISMS, siglas de Information Security Management
System.
Debemos entender por información a todo conjunto de datos organizados, que están
en poder de una entidad para quien tiene un determinado valor, sin importar la forma
en que se almacene o transmita (escrita, en imágenes, oral, en papel, almacenada
electrónicamente, proyectada, enviada por correo, fax o e-mail, etc.), de su origen o
de la fecha de elaboración (Portal de ISO 27000 en español, 2005).
Dado que la información es uno de los activos más importantes de toda
organización, requiere junto a los procesos y sistemas que la manejan, ser
protegidos adecuadamente frente a amenazas que puedan poner en peligro la
14
continuidad del negocio, los niveles de competitividad, rentabilidad y conformidad
legal necesarios para alcanzar los objetivos de la organización (Alan Calder, 2006).
Las organizaciones y sus sistemas de información están expuestos cada vez más a
un número elevado de amenazas que, aprovechan cualquiera de las vulnerabilidades
existentes para poder someter a los activos críticos de información a diversas formas
de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los
ataques de denegación de servicio son algunos de los más comunes y conocidos,
pero también se deben considerar los riesgos de sufrir incidentes de seguridad
causados voluntaria o involuntariamente desde dentro de la propia organización o
aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.
Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de
realizar grandes inversiones en software y sin contar con una gran estructura de
personal (Alan Calder, 2006). Para ello se hace necesario conocer y afrontar de
manera ordenada los riesgos a los que están sometidos los activos (Figura 2.3).
Figura 2.3, Análisis de riesgos de un activo
El nivel de seguridad que se puede alcanzar por medios técnicos es limitado e
insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte
activa toda la organización, con la gerencia al frente, tomando en consideración
también a clientes y proveedores de bienes y servicios. El modelo de gestión de la
seguridad debe contemplar unos procedimientos adecuados y la planificación e
15
implantación de controles de seguridad basados en una evaluación de riesgos y en
una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer
estas políticas y procedimientos en relación a los objetivos de negocio de la
organización, con objeto de mantener un nivel de exposición siempre menor al nivel
de riesgo que la propia organización ha decidido asumir.
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una metodología
definida, la que debe ser documentada y conocida por todos, que debe ser revisada
y mejorada constantemente.
2.3.3 ¿Qué incluye un SGSI?
Lo que se busca con el SGSI es establecer una normatividad que minimice los
riesgos que se hayan detectado en el análisis de riesgos hasta un nivel asumible por
la empresa. Es importante destacar que cualquier medida de protección que se haya
implantado debe quedar perfectamente documentada.
La documentación que se genera con la implantación del SGSI se estructurará de la
siguiente forma (Figura 2.4) (Portal de ISO 27000 en español, 2005).
16
Manual
de
Seguridad
Prrocedimiento
os
In
nstrucciones
s
Checklists
Formularios
Registros
Figura 2.4, Tipos
T
de docu
umentación
Manu
ual de segu
uridad: porr analogía con
c el man
nual de calid
dad, aunqu
ue el términ
no se
usa también
t
en
n otros ám
mbitos. Seríía el docu mento que
e inspira y dirige tod
do el
sistem
ma,
el
qu
ue
expone
e
y
dete
ermina
lass
intencion
nes,
alcan
nce,
objettivos,
respo
onsabilidade
es, políticas
s y directric
ces principa
ales del SGSI.
Proce
edimientos
s: documen
ntos en el nivel
n
operat ivo, que asseguran que
e se realice
en de
forma
a eficaz la planificació
p
n, operació
ón y contro l de los pro
ocesos de seguridad de la
inform
mación.
Instru
ucciones, checklists
s y formu
ularios: do
ocumentos que describen cómo se
relacionad
realiza
an las tareas y las ac
ctividades específicas
e
das con la seguridad de la
inform
mación.
Regis
stros: docu
umentos qu
ue proporcionan una evidencia objetiva de
el cumplim
miento
de los
s requisitos
s del SGSI; están aso
ociados a d
documentoss de los ottros tres nivveles
como salida que
e demuestra
a que se ha
a cumplido lo indicado
o en los missmos.
En la
a actualidad
d existen muchos es
stándares que habla
an de la sseguridad d
de la
inform
mación cada
a uno de ellos están orientados
o
a atacar differentes arristas relativvas a
17