Facu ultad de Te elemá ática PR ROPUE ESTA DE PO OLÍTICA AS DE E SEGU URIDAD DE LA A INFORMAC CIÓN PA ARA E EL SIST TEMA SIABUC S C TES SIS QUE E PARA OBTENE ER EL G GRADO D DE MAESTR M RA EN TECNO T OLOGÍA AS DE INFORM MACIÓN N Presenta a: Amalia A Flores Muñozz As sesoress: M. en e C. Ra aymund do Bue enrostro o Maris scal M. en C. José J Ro omán H Herrera a Morale es Colima, Col; C Junio de 2009 Dedicatoria Este trabajo está dedicado a mis hijos Luis y Alex, por su apoyo y comprensión. A Carlos, por el inmenso y valioso apoyo que en todo momento he recibido. I Agradecimientos A los maestros M. en C. Raymundo Buenrostro Mariscal y M. en C. Román Herrera Morales, por la asesoría continúa en el desarrollo de esta tesis, por sus valiosas críticas, su interés y paciencia. II Dedicatoria I Agradecimientos II Resumen VI Abstract VII Lista de tablas VIII Lista de figuras IX CAPÍTULO I INTRODUCCIÓN 1 1.1. Planteamiento del problema 2 1.2. Objetivo general 3 1.2.1. Objetivos específicos 3 1.3. Preguntas de investigación 4 1.4. Justificación 4 1.5. Estructura del documento 5 CAPÍTULO 2 MARCO TEÓRICO 7 2.1. Antecedentes de SIABUC 7 2.2. Versiones del software SIABUC 7 2.3. ¿Qué es Seguridad de la información? 11 2.3.1. ¿Qué es la información? 13 2.3.2. Sistema de gestión de la seguridad de la información (SGSI) 14 2.3.3. ¿Qué incluye un SGSI? 16 2.4. Principios básicos de seguridad 18 2.5. Amenazas 20 2.6. Vulnerabilidades 20 2.7. Riesgo 21 III CAPÍTULO 3 ESTÁNDARES PARA LA SEGURIDAD DE LA INFORMACIÓN 22 3.1. Introducción a los estándares 22 3.2. Serie de ISO 27000 25 3.2.1. ISO 27001:2005 26 3.3. Dominios y controles de ISO 27001:2005 29 3.4. Estrategia general de seguridad 30 3.5. Controles Aplicables (BaseLine) 32 CAPITULO 4 ANÁLISIS DE RIESGO 34 4.1. Metodología de análisis de riesgo 35 4.2. Activos 36 4.2.1. Activos críticos de sistema SIABUC 37 4.2.2. Descripción detallada de los activos críticos del sistema SIABUC 38 4.2.3. Activos secundarios del sistema SIABUC 4.3. Amenazas de activos críticos 40 48 4.3.1. Amenazas a la base de datos del acervo bibliográfico, módulo de análisis 48 4.4. Valoración de activos 50 4.5. Análisis de riesgo a los activos del sistema SIABUC 53 4.6. Vulnerabilidades 61 4.7. Tratamiento de riesgos 64 CAPÍTULO 5 DOMINIOS APLICABLES AL SISTEMA SIABUC 67 CAPÍTULO 6 CONCLUSIONES Y RECOMENDACIONES 74 6.1. Trabajo a futuro 75 IV Bibliografía 77 Anexo A (Controles y Objetivos de control) 80 Anexo B (Amenazas) 85 Anexo C (Amenazas de Activos) 89 Anexo D (Criterio de valoración de activos) 96 V Resumen El presente trabajo, trata sobre la seguridad de la información que es una característica que debería de cumplir cualquier sistema de información, está establece que se encuentra libre de todo peligro, daño o riesgo, y que en cierta forma es infalible, sin embargo es una particularidad que es difícil de conseguir, si no es que casi imposible, lo adecuado es hablar de sistemas, donde se busca básicamente tres aspectos principales: Confidencialidad, Integridad y Disponibilidad. Las organizaciones deberían de contar con mecanismos estandarizados que permitan aplicar controles adecuados para contar con un sistema fiable, la seguridad en cualquier organización debe estar en concordancia a sus riesgos, por lo que definir los controles aplicables puede ser a menudo una tarea compleja si no se tiene en claro los activos que se desean proteger y de lo que se quieren proteger. Se propone para el acervo bibliográfico electrónico del sistema SIABUC de la Universidad de Colima, un BaseLine de políticas de seguridad de la información alineadas al estándar de ISO 27001:2005, que le permitirán identificar sus amenazas y vulnerabilidades, y con ello disminuir el riesgo. VI Abstract This thesis discusses information security, which is a feature that any information system would meet. Information security assures that the system is out of harm, damage or risk and in some way it is infallible. However, this latter feature is almost impossible to meet. It would be better to talk about systems that have three main basic aspects: Confidentiality, Integrity and Availability. Organizations must provide standardized mechanisms that allow them put into action adequate controls to have reliable systems. The levels of security within an organization must be implemented in accordance to its risks. Consequently, defining what controls to apply is not an essay task, especially if it is not clear what to protect. I suggest a Baseline of security policies aligned to the ISO 27001:2005 standard for the bibliographic SIABUC electronic system of the University of Colima, which will allow SIABUC identify threats and vulnerabilities, and thereby reduce risk. VII Lista de Tablas Tabla 2.1: Versiones del software SIABUC 10 Tabla 3.1: Dominios de la norma ISO/IEC 17799:2000 24 Tabla 3.2: Serie ISO/IEC 27000 25 Tabla 3.3: Componentes de norma ISO 27001:2005 28 Tabla 3.4: Dominios y controles de ISO 27001:2005 29 Tabla 4.1: Activos críticos del sistema SIABUC 38 Tabla 4.2: Dependencia entre activos 42 Tabla 4.3: Amenazas de base de datos acervo bibliográfico, módulo de análisis 49 Tabla 4.4: Impacto de la amenaza 51 Tabla 4.5: Valoración de activos 52 Tabla 4.6: Escala de valoración de las amenazas 60 Tabla 5.1: Controles aplicables al sistema SIABUC 70 VIII Lista de Figuras Figura 2.1: Objetivos de la seguridad de la información 12 Figura 2.2: Información 13 Figura 2.3: Análisis de riesgos de un activo 15 Figura 2.4: Tipos de documentación 17 Figura 2.5: Triada de la seguridad 19 Figura 3.1: Estándares de seguridad 23 Figura 3.2: Diagrama de estrategia general 32 Figura 4.1 Activos secundarios de la base de datos de acervo bibliográfico 43 Figura 4.2: Activos secundarios de la base de datos de adquisiciones 44 Figura 4.3: Activos secundarios del servidor 45 Figura 4.4: Activos secundarios del sistema SIABUC 46 Figura 4.5: Activos secundarios de equipo de cómputo 47 Figura 4.6: Activos secundarios de los programadores 47 Figura 4.7: Proceso de creación del análisis de riesgos 54 Figura 4.8: Datos del proyecto 55 Figura 4.9: Activos identificados para el sistema SIABUC 55 Figura 4.10: Descripción y características de activo 56 Figura 4.11: Identificación de las amenazas 58 Figura 4.12: Vulnerabilidades de los dominios 59 Figura 4.13: Valoración de las amenazas 60 Figura 4.14: Análisis de vulnerabilidades 62 Figura 4.15: Riesgo acumulado 64 Figura 5.1: Dominios aplicables al sistema SIABUC 68 IX CAPÍTULO 1 INTRODUCCIÓN En la actualidad día tras día, es mayor la importancia que toma la información, especialmente aquella que está procesada, almacenada, capturada y que además es transmitida por sistemas de tecnologías de la información y comunicaciones (TIC’s). En el ámbito de las TIC’s es común escuchar expresiones como, seguridad informática, seguridad de los sistemas y tecnologías de la información, seguridad de la información, para referirnos a la aplicación de controles que permitan asegurar los datos y la información, quienes son los activos más valiosos y estratégicos de toda organización, sin embargo, seguridad de la información es el termino apropiado cuando se adoptan políticas de seguridad alineados a estándares. La seguridad de la información, no es un tema estrictamente de tecnología, aun cuando ciertas medidas de control requieran de ella, es indispensable la asignación de propietarios a los activos, sobre todo de los datos, los propietarios son quienes deben realizar la clasificación de la información y las reglas de acceso, un propietario consciente de la importancia del valor que tiene la información se interesará en los riesgos que puedan existir. En las bibliotecas de la Universidad de Colima, bajo la jurisdicción de la Dirección General de Servicios Bibliotecarios (DGSB), han tenido la necesidad de automatizar el manejo de información inherentes a la gestión de una biblioteca, para ello se desarrolla el Sistema Integral Automatizado de Bibliotecas de la Universidad de Colima (SIABUC), que permite apoyar los procesos de manejo y acceso a la información bibliográfica como es: la adquisición de material bibliográfico, el procesamiento, el registro de los usuarios, préstamo del material, consulta, entre otros procesos que involucran información. El resultado final esperado es contar con los mecanismos necesarios para contribuir al desarrollo de un sistema de gestión de seguridad de la información del SIABUC y 1 sumarse a los esfuerzos de la institución en los procesos de certificación ISO 9001:2000, que actualmente tiene, para constituir a una integración exitosa que marque referente dentro de la Universidad de Colima y del país. El presente trabajo de investigación, muestra la problemática presentada por las organizaciones al generar y procesar información, las posibles vicisitudes a las que se podría enfrentar cuando la información no es adecuadamente protegida, además que para asegurar dicha información es necesario contar con fórmulas para protegerla, asegurando la integridad, disponibilidad y disponibilidad. 1.1 Planteamiento del problema Las organizaciones públicas y privadas día a día generan conocimiento, datos, reportes, actas y material de diferente índole importante para ellos, lo cual representa toda la información que requieren para su funcionalidad, ésta en la mayoría de los casos es almacenada en diferentes formatos tanto físicos como electrónicos, que además es almacenada y puesta a disposición para el personal que requiere hacer entre otras cosas toma de decisiones, planes, reportes, inventarios, etc., El acceso a la información se ha vuelto más fácil debido al avance en las tecnologías de la información, esto ha permitido que se pueda tener acceso a información en formato digital que se encuentra almacenada en nuestros dispositivos, localmente o de manera remota en diferentes formatos, como archivos, documentos, imágenes o base de datos. Si la información es usada de forma adecuada puede resultar benéfica para las organizaciones dueñas de ella, pero ésta puede ser interceptada, robada, modificada o accedida por personas ajenas, resulta peligroso para los propietarios de la información, debido a que se puede hacer mal uso de ella, pues se puede usar en contra o para perjudicar a la organización. Por lo anteriormente citado es necesaria la implementación de herramientas, controles y políticas que aseguren la confidencialidad, disponibilidad e integridad de 2 la información, con ellos garantizar que la información sea accedida solo por quienes deban, esté disponible cuando se requiera para quienes estén autorizados y permanezca tal y como fue creada por sus propietarios y la actualización de ella, esté dada dentro de los controles que implemente la institución. En el escenario de la Universidad de Colima, caso del sistema SIABUC no está exento de una problemática de este tipo, por lo que se propone implementar este tipo de mecanismos para asegurar la información contenida en este sistema, controles y políticas de seguridad que estén alineadas a estándares internacionales tales como ISO 27001:2005, así mismo establecer un precedente para que el resto de las áreas de la institución que manejan información sensible adopten medidas similares. 1.2 Objetivo General. Proponer un esquema de políticas de seguridad de la información del acervo bibliográfico electrónico del sistema SIABUC de la Universidad de Colima alineado a estándares internacionales. 1.2.1 Objetivos Específicos. Identificar los activos principales del sistema SIABUC. Realizar análisis de vulnerabilidades. Proponer políticas de seguridad para los activos identificados. 3 1.3 Preguntas de Investigación ¿El sistema SIABUC cuenta con políticas y procedimientos para proteger la información? ¿Se tienen identificados los activos del sistema SIABUC? ¿Existen mecanismos para la clasificación de la información del sistema SIABUC? ¿El sistema SIABUC cumple con algún estándar de seguridad de la información? 1.4 Justificación Cuando se habla de la implantación de controles, es para disminuir el riesgo al qué están expuestos los activos, lo cual dependerá del tipo de activo a proteger, amenazas, vulnerabilidades, a que esté expuesto y con ello el tipo de control a implementar; no necesariamente todos los mecanismos significan un desembolso para la organizaciones, habrá algunos que sea una política interna como por ejemplo, elaborar una política de contraseñas, o una política del uso de los recursos informáticos. En otras ocasiones será necesario venderles a las organizaciones, la idea de proteger a sus activos, esto puede ser a través de un análisis de riesgo lo cual va a permitir conocer el entorno donde están y con ello los riesgos a los que están expuestos; conociendo a esto último probablemente, vean la necesidad de invertir o generar controles de seguridad, equiparable a nuestra vida diaria no cambiamos nuestro régimen alimenticio hasta que nos dicen que estamos enfermos de colesterol, diabetes o alguna enfermedad que ponga en riesgo nuestra vida, igual pasa en algunas organizaciones no implementan controles de seguridad hasta que ven que están comprometidos sus activos 4 Una de las grandes amenazas de las organizaciones son los usuarios (Fernández de Lara, 2007) quienes pareciera que se las ingenian para comprometer sus contraseñas y la información de las organizaciones donde laboran. Las amenazas humanas no se limitan a los usuarios que utilizan los recursos, existe un problema aun mas peligroso, los desarrolladores de software, los responsables de los servidores, los responsables de las redes de voz y datos; que ponen en peligro la seguridad de la información, en los eventos de seguridad, los conferencistas subrayan la importancia del desarrollo de software y bases de datos que hagan de la integridad de la información que manejan, su columna vertebral, a los responsables de servidores que implementen herramientas, que minimicen las vulnerabilidades de los sistemas que en ellos instalen, asi como los servicios mínimo necesarios. Pero parece que pasan por alto estas recomendaciones y su lema es “ el chiste es que funcione”. Por algo es la gran variedad de vulnerabilidades, en los sistemas operativos, aplicaciones, base de datos. Todo por la poca importancia que se da al tema de la seguridad. Por lo anteriormente citado es necesario estudiar las medidas que se toman para proteger la información en el sistema SIABUC que utiliza la Universidad de Colima. Esto llevará a la concientización y la implantación de políticas, controles y procedimientos que eviten la divulgación de la información de forma inadecuada. Esto también permitirá que otras áreas de la Universidad tomen medidas similares para proteger su información. 1.5 Estructura de la tesis Por otro lado se presenta el objetivo que se pretende alcanzar con el sistema SIABUC, el alcance de este trabajo de tesis y cómo se podría ayudar a este sistema a mejorar el manejo de la seguridad de su información y activos. En el marco teórico, se habla sobre cómo fue evolucionando el sistema SIABUC, desarrollado por la necesidad de automatizar una biblioteca en la Universidad de 5 Colima, la constante evolución del sistema y el trabajo de las personas involucradas en el proyecto hoy en día es uno de los software de automatización de bibliotecas más usado en América Latina, también se hace una introducción a los conceptos básicos de información, seguridad de la información, así como el SGSI (Sistema de Gestión de la Seguridad de la Información) y proceso necesario para llevarlo a cabo. También se presenta una descripción de los estándares de seguridad, las partes en las que está compuesta la serie ISO 27000, y la estructura de la norma ISO 27001:2005, exponiéndose además la estrategia de seguridad que se propone para este proyecto. Se muestra el análisis de riesgos realizado a los activos críticos del sistema SIABUC, evaluando las amenazas, vulnerabilidades y riesgos, del acervo bibliográfico electrónico del sistema, presentándose los resultados obtenidos utilizando la metodología de MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), y la herramienta para análisis de riegos EAR/PILAR (Entorno de análisis de riesgos / PILAR). Se proponen los dominios de seguridad a implementar en el sistema SIABUC, considerando los resultados del análisis de riesgo, así como un complemento a este documento (anexo A) de la norma ISO 27002:2005, donde se muestra cuales serán los controles necesarios a implementar a corto plazo. Y por último se comentan las conclusiones y recomendaciones a las que se llegaron en este trabajo de investigación. 6 CAPÍTULO 2 MARCO TEÓRICO 2.1 ANTECEDENTES DE SIABUC En la década de los 80’s la biblioteca central de la Universidad de Colima, comenzó a trabajar en el desarrollo de un sistema para automatizar los procesos inherentes a una biblioteca, siendo 1983 cuando nace la primera versión de SIABUC (Basurto, 1997), han pasado 25 años desde entonces, durante los cuales el proceso de evolución de SIABUC no se ha detenido, por el contrario, se ha buscado mantenerlo en constante actualización, fundamentalmente porque ya son casi 1500 las instituciones que tanto en México como en América Latina lo manejan cotidianamente en sus bibliotecas (siabuc.ucol.mx, 2003). La primera versión de SIABUC fue utilizada solo de manera interna en la institución, aplicándose para la reproducción de juegos de tarjetas catalográficas, a partir del año de 1987 el sistema se da a conocer a otras instituciones y se forma el grupo de usuarios de SIABUC el cual se reúne periódicamente desde entonces y esto ha permitido que con las aportaciones y sugerencias de los usuarios se retroalimente el sistema y salgan nuevas versiones, en el año de 1995 surge la versión 5.0 y es registrado el software en la Dirección General del Derecho de Autor (Herrera Morales José Román, 2004). 2.2 VERSIONES DEL SOFTWARE SIABUC En el año de 1983-1984, se genera la primera versión de SIABUC, desarrollada en Cobol (COmmon Business -Oriented Language, Lenguaje Común Orientado a Negocios) para plataformas MS-DOS (MicroSoft Disk Operating System, Sistema operativo de disco de Microsoft) que incluía los módulos para el control de adquisiciones, análisis bibliográfico, archivos de consulta, control de acervo y servicios de préstamo e información estadística del sistema bibliotecario. 7 1984-1985 y 1986 -1987, se libera SIABUC versión 1.0 y 1.1 para MS-DOS que funcionaba en microcomputadoras PC. 1988-1989, la versión de SIABUC 2 es desarrollada en CLIPPER1 y lenguaje C para plataformas de MS-DOS, y al cual le fue incluido un módulo mas el de control de procesos especiales. 1991, SIABUC versión 3 realizada en FOX PRO (FoxBASE Professional) para MSDOS, se incorpora el módulo de conversiones. 1993-1994, la versión 4 desarrollada en CLIPPER y C compatible con Micro ISIS (Integrated Set for Information System). 1995, para la versión 5 de SIABUC se incorpora el manejo de publicaciones periódicas, y en febrero del mismo año el software es registrado ante la Dirección General de Derechos de Autor. Se distribuye SIABUC por primera en vez en formato de CD-ROM (Compact Disc Read Only Memory, "Disco Compacto - Memoria de Sólo Lectura") con 2 modalidades: Versión austera para computadoras con procesador 80286 Versión completa para equipos IBM, PC 80386 con mejores prestaciones. A mediados de los años 90’s se trabaja en elaboración de la aplicación en ambientes gráficos y ya no bajo ambiente de MS-DOS, es decir, se contempla el desarrollo de una plataforma Cliente-Servidor, con la ventaja de poner las bases de datos en la Web, en el año de 1998 se trabaja intensamente para liberar la versión ClienteServidor, dicha versión es liberada en el mes de junio, Durante 1997, se presenta la primera versión de SIABUC para Microsoft Windows, conocida como SIABUC 2000, las novedades en esta edición incluía un nuevo módulo, denominado utilerías y mejoras en el módulo de publicaciones periódicas. 1 Lenguaje de programación procedural e imperativo creado en 1985 por Nantucket Corporation y vendido posteriormente a Computer Associates 8 1999-2001, se presenta SIABUC SIGLO XXI diseñado para plataformas de Windows de 32 bits, tales como Windows 95, Windows 98 y Windows NT, esta versión de SIABUC utiliza el motor de base de datos MS JET (Access 97), con nuevas características, una interfaz sencilla y más amigable para el usuario, y con la implementación de catálogos en línea. En el año 2002, surge SIABUC 8 la nueva versión del popular software de automatización de bibliotecas, actualmente este software es usado en más de 800 bibliotecas en México y América Latina, el software permite de manera integral los procesos realizados en una biblioteca, el cual incluye los siguientes módulos: 1. Utilerías 2. Adquisiciones (información sobre la adquisición de material bibliográfico) 3. Análisis (catalogación, captura de acervo bibliográfico electrónico) 4. Consulta de revistas 5. Consulta de libros 6. Estadísticas 7. Indizado de libros 8. Indizado de revistas 9. Inventarios 10. Servicios 11. Préstamos 12. Publicaciones periódicas 13. Respaldador2 SIABUC 8, es desarrollado en Visual Basic, y con el motor de base de datos JET 4.0, para trabajar en plataformas de Windows 98, 2000 y XP, fueron editadas 3 ediciones de SIABUC 8, la primera en 2002, en 2003 una llamada “edición de aniversario” para conmemorar los 20 años de desarrollo SIABUC, y la última edición se presenta en noviembre de 2004. En 2008, en el mes de noviembre en el marco del evento de interfaces es presentada la versión más reciente de SIABUC denominada SIABUC 9, la cual cuenta con un 2 Nombre asignado a este modulo en el sistema SIABUC 9 nuevo motor de base de datos POSTGRES3 8.2, en la cual es implementada la arquitectura cliente – servidor, se contemplan algunos esquemas de seguridad no implementadas en la versiones anteriores, los más importantes son: La base de datos está centralizada y radica únicamente en el servidor, por lo que ya no existe información en los clientes. Autenticación de usuarios integrada con el sistema operativo y el manejador de base de datos, así como la clasificación de los usuarios, definiendo diferentes perfiles con los permisos adecuados para cada uno de ellos. Validación de equipos, mediante la dirección IP (Internet Protocol) de cada una de las computadoras en la que se instala el cliente de SIABUC se puede dar el permiso de acceso o denegarlo. En la Tabla 2.1 se presenta en forma cronológica las versiones de SIABUC hasta ahora desarrolladas. Año Versión Sistema Operativo 1983 SIABUC Versión 1 MS-DOS 1989 SIABUC Versión 2 MS-DOS 1991 SIABUC Versión 3 MS-DOS 1993 SIABUC Versión 4 MS-DOS 1995 SIABUC Versión 5 MS-DOS 1997 SIABUC 2000 (versión 6) MS Windows 1999 SIABUC Siglo XXI (versión 7) MS Windows 2002 SIABUC 7 (versión 8) MS Windows PROMETEO V MS Windows SIABUC versión 9 MS Windows 2008 Tabla 2.1 Versiones del software SIABUC El sistema SIABUC, desde sus inicios ha sido una herramienta y vehículo de procesamiento de información al interior de la Universidad de Colima, y desde sus 3 Sistema de gestión de base de datos relacional orientada a objetos de software libre, publicado bajo la licencia BSD. 10 primeras versiones se ha usado en los diferentes departamentos que conforman la DGSB, el cual se puede decir que ha sido una innovación ya que ha estado en constante mejoría, desde las versiones SIABUC 2000, Siglo XXI, SIABUC 8 y SIABUC 9, se ha mantenido en un servidor de datos donde se ha centralizado la información de las adquisiciones y del acervo de las bibliotecas, además de mantener el servicio de OPAC4 junto con otra gran cantidad de archivos e información asociadas a las tareas que se desarrollan con el sistema SIABUC como son: solicitudes de material bibliográfico, cotizaciones, pedidos, reportes, listados, respaldos, etc. 2.3 ¿Qué es seguridad de la información? Seguridad: Del latín securĭtas, -ātis. f. Cualidad de seguro. Dicho de un mecanismo: Que asegura algún buen funcionamiento, precaviendo que este falle, se frustre o se violente (DRAE, 2001), es decir aquello que está exento de peligro, daño o riesgo. Las instituciones públicas, gobiernos, entidades militares, instituciones financieras, y las empresas privadas acumulan una gran cantidad de información sobre sus empleados, clientes, productos, investigaciones o su situación financiera. Mucha de esta información es recolectada, procesada, almacenada y es puesta a la disposición de sus usuarios, en computadoras y trasmitida a través de las redes, proteger esta información es un requisito para garantizar la continuidad del negocio y en algunos casos una disposición legal. El término "seguridad de la información" se entiende como la protección de la información y los sistemas que la soportan para evitar el acceso no autorizado, uso, divulgación, alteración, modificación o destrucción (Cornell University, 2002), con el fin de proporcionar: Confidencialidad, Integridad y Autenticidad (confidentiality, integrity, availability CIA Triad) (Bhaiji, 2008), estos tres objetivos de la seguridad de la información permite implementar controles, y detectar amenazas (Figura 2.1). 4 Online Public Access Catalog 11 Debemos de entender que la seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: impresos en papel, en los discos duros de las computadoras o incluso en la memoria de las personas que la conocen. La seguridad de la información busca evaluar la forma en que se crean las aplicaciones, cómo están colocadas a disposición y la forma como son utilizadas por los usuarios y por otros sistemas, para detectar y corregir problemas existentes en la comunicación entre ellos (17799:2005(E), 2004). Las aplicaciones deberán estar protegidas para que la comunicación entre las bases de datos, otras aplicaciones y los usuarios se realice de forma segura, atendiendo a los principios básicos de la seguridad de la información. Figura 2.1, Objetivos de la seguridad de la información. 12 2.3.1 ¿Qué es la información? Desde el surgimiento de la raza humana en el planeta, la información estuvo presente bajo diversas formas y técnicas. El hombre buscaba representar sus hábitos, costumbres e intenciones en diversos medios que pudiesen ser utilizados por él y por otras personas, además de la posibilidad de ser llevados de un lugar a otro. La información valiosa era registrada en objetos preciosos y sofisticados, pinturas magníficas, entre otros, que se almacenaban con mucho cuidado en locales de difícil acceso, a cuya forma y contenido sólo tenían acceso quienes estuviesen autorizados o listos para interpretarla. Información (Del latín informatĭo, -ōnis). Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada (DRAE, 2001). ISO/IEC 17799 define a la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad de la organización, minimizar los daños de la misma y maximizar el retorno de las inversiones y las oportunidades de negocio (17799:2005(E), 2004). En sentido general, la información es un conjunto organizado de datos procesados (Figura 2.2), que constituyen un mensaje sobre un determinado ente o fenómeno. DATOS PROCESAMIENTO INFORMACIÓN Fig. 2.2 - Información Los objetos reales o tangibles (entendiendo por éstos aquellas cosas de valor físico como joyas, pinturas, dinero, etc.) están protegidos por técnicas que los encierran detrás de rejas o dentro de cajas fuertes, bajo la mira de cámaras o guardias de seguridad. Pero, 13 ¿Y la información que se encuentra dentro de servidores de archivos, qué transita por las redes de comunicación o que es leída en una pantalla de computadora? ¿Cómo hacer para protegerla, ya que no es posible usar las mismas técnicas de protección de objetos reales? En la actualidad, la información es un activo que al igual que otros importantes activos empresariales, es esencial para una organización, en consecuencia, debe ser debidamente protegida. Esto es especialmente importante en el entorno empresarial cada vez más interconectado y competido. Como resultado de esta creciente interconectividad, la información está expuesta a un número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades (ISO/IEC, 27001:2005). Por esto, la seguridad de la información es un asunto tan importante para todos, pues afecta directamente a los negocios de una empresa o de un individuo. 2.3.2 Sistema de Gestión de la Seguridad de la Información (SGSI) SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además es el concepto central sobre el que se construye la norma ISO/IEC 27001 (Alan Calder, 2006). El concepto equivalente en el idioma inglés es ISMS, siglas de Information Security Management System. Debemos entender por información a todo conjunto de datos organizados, que están en poder de una entidad para quien tiene un determinado valor, sin importar la forma en que se almacene o transmita (escrita, en imágenes, oral, en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, etc.), de su origen o de la fecha de elaboración (Portal de ISO 27000 en español, 2005). Dado que la información es uno de los activos más importantes de toda organización, requiere junto a los procesos y sistemas que la manejan, ser protegidos adecuadamente frente a amenazas que puedan poner en peligro la 14 continuidad del negocio, los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización (Alan Calder, 2006). Las organizaciones y sus sistemas de información están expuestos cada vez más a un número elevado de amenazas que, aprovechan cualquiera de las vulnerabilidades existentes para poder someter a los activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos de los más comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos. Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal (Alan Calder, 2006). Para ello se hace necesario conocer y afrontar de manera ordenada los riesgos a los que están sometidos los activos (Figura 2.3). Figura 2.3, Análisis de riesgos de un activo El nivel de seguridad que se puede alcanzar por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e 15 implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una metodología definida, la que debe ser documentada y conocida por todos, que debe ser revisada y mejorada constantemente. 2.3.3 ¿Qué incluye un SGSI? Lo que se busca con el SGSI es establecer una normatividad que minimice los riesgos que se hayan detectado en el análisis de riesgos hasta un nivel asumible por la empresa. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada. La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma (Figura 2.4) (Portal de ISO 27000 en español, 2005). 16 Manual de Seguridad Prrocedimiento os In nstrucciones s Checklists Formularios Registros Figura 2.4, Tipos T de docu umentación Manu ual de segu uridad: porr analogía con c el man nual de calid dad, aunqu ue el términ no se usa también t en n otros ám mbitos. Seríía el docu mento que e inspira y dirige tod do el sistem ma, el qu ue expone e y dete ermina lass intencion nes, alcan nce, objettivos, respo onsabilidade es, políticas s y directric ces principa ales del SGSI. Proce edimientos s: documen ntos en el nivel n operat ivo, que asseguran que e se realice en de forma a eficaz la planificació p n, operació ón y contro l de los pro ocesos de seguridad de la inform mación. Instru ucciones, checklists s y formu ularios: do ocumentos que describen cómo se relacionad realiza an las tareas y las ac ctividades específicas e das con la seguridad de la inform mación. Regis stros: docu umentos qu ue proporcionan una evidencia objetiva de el cumplim miento de los s requisitos s del SGSI; están aso ociados a d documentoss de los ottros tres nivveles como salida que e demuestra a que se ha a cumplido lo indicado o en los missmos. En la a actualidad d existen muchos es stándares que habla an de la sseguridad d de la inform mación cada a uno de ellos están orientados o a atacar differentes arristas relativvas a 17