Professional Documents
Culture Documents
Díaz Piraquive
RESUMEN
El actual entorno económico y de competencia en el que se desenvuelven las empresas se
caracteriza por el uso intensivo de la información y el conocimiento en las compañías,
situación que enmarca un nuevo contexto empresarial donde la realidad propicia la incor-
poración de nuevas tecnologías de información y comunicaciones (TIC), lo que representa
un cambio significativo para la organización. Dicho cambio hace necesaria una adecuada
gestión de la información y el conocimiento, con el propósito de facilitar procesos asocia-
dos con la innovación, el desarrollo de productos o servicios, la eficiencia en el uso de los
recursos, la calidad y la toma de decisiones acertadas.
Sin embargo, en el afán de ingresar en el nuevo entorno, las empresas se ven enfrentadas
a mayores riesgos que son cada vez más difíciles de controlar. Por tanto, se han iniciado
planes que garantizan una adecuada gestión de la información, por considerarse que ésta
forma parte de los activos fundamentales de las organizaciones, y se toma como base
para diseñar la estrategia comercial y de competitividad en esta sociedad globalizada.
Revista Eos No.2
Para garantizar el éxito en la gestión de la información, se toman en cuenta los referentes Enero-abril de 2008
que brindan los estándares para su seguridad. Con esto se espera que la información se
proteja celosamente y se garantice la implantación de las estrategias que propician la
integridad, la confidencialidad y la disponibilidad de ésta hacia los clientes.
77
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
Por lo anterior, en este artículo se realiza un estudio sobre los cinco principales estándares
de seguridad de la información adoptados por las empresas, teniendo presente que éstos
cobijan todo tipo de organización (empresas, instituciones gubernamentales, organizacio-
nes sin ánimo de lucro, etc.). Entre otros aspectos, se describen el alcance de cada uno de
los estándares, las consideraciones esenciales, la forma como facilitan la administración,
el apoyo en la definición de políticas, la facilitación para la adopción de modelos de gestión
y la ingeniería de seguridad que se debe contemplar para la gestión de los procesos de
seguridad. Finalmente, se describirá en una matriz la relación que hay entre los cinco
estándares tratados, con lo cual los directivos tendrán un parámetro más para tomar
decisiones de inversión alrededor del estándar que se va a implantar en los sistemas de
gestión de seguridad de la información para la organización.
Palabras claves: estándar, recomendación, sistema de seguridad de información, sistema
de gestión de seguridad, seguridad de la información.
Introducción
La seguridad de la información se considera como la herra-
mienta fundamental para implantar nuevas mejoras en las em-
presas, razón por la cual éstas deben realizar un esfuerzo cada día
mayor para optimizar su nivel de seguridad en este aspecto. La
organización debe mejorar continuamente la eficacia del Sistema
de Gestión del Sistema de Información (SGSI), mediante el esta-
blecimiento de políticas y objetivos de seguridad de la informa-
ción, tomando en cuenta los resultados de las auditorías, análisis
de eventos, y acciones correctivas y preventivas de los mismos. De
igual manera, deben establecer procedimientos argumentados para
identificar documentos que ya no se requieran porque se actuali-
zaron o porque se remplazaron por otros. En todo caso, entre las
prioridades que hay que considerar en la seguridad de la informa-
ción se cuentan la confidencialidad y la protección de los datos.
Por la importancia que tiene la seguridad de la información
en las organizaciones, y con el propósito de contrarrestar los in-
trusos maliciosos que ingresan en ella para hacer daño, se han
identificado las mejores prácticas alrededor de la implantación de
estándares de seguridad de la información relacionados con ISO-
IEC BS7799-IT, RFC2196, IT Baseline, SSE-CMM e ISO 27001,
Revista Eos No. 2 los más relevantes en seguridad de la información IT.
Enero-abril de 2008
En este artículo se abordarán los temas relacionados con el
alcance de los cinco estándares mencionados anteriormente, con-
siderados los más usados para la gestión de la seguridad de la
78
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
79
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
80
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
81
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
82
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
83
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
84
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
2. Disponible en http://www.bsi.bund.de/fehler/index.htm.
85
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
86
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
87
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
88
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
89
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
90
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
91
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
92
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
93
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
94
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
95
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
96
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
97
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
98
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
99
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
ISO 27001
Entre los objetivos primordiales del estándar se considera
presentar un análisis ISO/IEC para cualquier empresa que desee
planificar e implementar una política de seguridad orientada a
obtener una futura certificación dentro de este estándar y conse-
guir como resultado final la evaluación del riesgo (análisis y valo-
ración) sobre las políticas empresariales de una organización.
El alcance se concibe hasta proveer un modelo para el esta-
blecimiento, implementación, operación, monitorización, revisión,
mantenimiento y mejora del SGSI.
La adopción del modelo SGSI obedece a una decisión estraté-
gica de la organización, pues el modelo está influenciado por sus
necesidades y objetivos, así como por los requerimientos de segu-
ridad, los procesos, el tamaño y la estructura de la empresa. La
dinámica que implica su aplicación ocasionará en muchos casos la
escala del modelo, por lo que se necesita una misma dinámica para
las soluciones [27].
Los requerimientos de la ISO 27001 son aplicables a todas
las organizaciones.
• Modelo PHCA. Adoptado por la ISO/IEC 27001 [28].
• Planear (establece el SGSI). Fija la política, objeti-
Revista Eos No. 2 vos, procesos y procedimientos del SGSI pertinentes para
Enero-abril de 2008
gestionar el riesgo y mejorar la seguridad de la informa-
ción, con el fin de entregar resultados conforme a las po-
líticas y objetivos generales de la organización.
100
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
101
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
102
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
103
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
104
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
Tabla 1
Matriz de comparación de aspectos esenciales entre los estándares
estudiados
ISO-IEC RFC2196 IT BASE LINE SSE-CMM ISO 27001
BS7799-
IT
Estándar Recomendación Estándar
No certificado Certificado No certificado Certificado Internacional
Revista Eos No.2
Identifica activos informáticos y vulnerabilidad
Enero-abril de 2008
Identifica recurso humano
Se debe documentar
Define claramente responsabilidades
Establece, implanta, monitorea y mantiene sistemas de administración de seguridad IT
105
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
Conclusiones
• La tendencia en materia de seguridad de la información
ha hecho que las grandes empresas, tanto nacionales
como multinacionales, inviertan cuantiosas sumas de di-
nero en asegurar adecuadamente la información; dicha
inversión en seguridad se hace con el fin de garantizar el
buen uso y seguridad de ésta. Las empresas invierten
cifras considerables y significativas no solo en la adecua-
ción de los sistemas, sino también en entrenamiento y
educación a los empleados, adoptando políticas serias que
se transmiten a todo el personal para que cada miembro
de la organización tome conciencia de la importancia que
este tema tiene para la firma.
• A pesar de que las organizaciones y sus sistemas de in-
formación enfrentan amenazas de seguridad proceden-
tes de variedad de fuentes, incluyendo fraudes asistidos
por computador, espionaje, sabotaje, vandalismo incen-
dios, inundaciones, códigos maliciosos, ataques de pira-
tería por computador o negación de servicios, volviéndo-
se cada vez más comunes, más ambiciosas y más
sofisticadas de lo que podría imaginarse, éstas no paran
en su afán por diseñar estrategias que garanticen la se-
guridad de la información para mostrar una imagen de
confiabilidad frente a sus clientes.
• Los estándares estudiados en este artículo permiten es-
pecificar, a las empresas que los adopten, los requisitos
para establecer, implantar, operar, monitorear, revisar,
mantener y mejorar el sistema de gestión de la seguri-
Revista Eos No. 2 dad de la información para la implementación de contro-
Enero-abril de 2008
les de seguridad adaptados a la necesidad de la organi-
zación, o parte de ella, en relación con el contexto y los
riesgos identificados.
106
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
107
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
Referencias
[1] Alberto, G.A. (2005). Pontificia Universidad Católica del Perú, Centro de Nego-
cios Centrum. Implantación del ISO 27001:2005, "Sistema de Seguridad de
Información". [Documento pdf, página 9]. Consultado el 06-Abril-08 en http:/
/ w w w. c e n t r u m . p u c p . e d u . p e / e x c e l e n c i a / e n s a y o s /
Implantacion_del_ISO_27001_2005.pdf.
[2] Citel (2007). Impactos de fraude para la prestación de los servicios de telecomu-
nicaciones para usuarios, operadores y estados. [Documento ppt]. Conferen-
cia presentada el 21-Jun-07 en Citel.
[3] The Source for Critical Information and Insight (IHS). [En línea]. Consultado el
06-Abril-08 en http://uk.ihs.com/.
[4] Network Working Group. Site Security Handbook. [En línea]. Consultado el 06-
Abril-08 en http://www.ietf.org/rfc/rfc2196.txt.
[5] Bundesamt fur Sicherit in der Informationstechnik. [En línea]. Consultado el 06-
Abril-08 en http://www.bsi.bund.de/fehler/index.htm.
[6] SSE-CMM, S.-C. Project (2003). Model Description Document, Systems Security
Engineering Capability Maturity Model, p. 326.
[7] ISO/IEC 17799:2005 (E). Information Technology-Security Techniques-Code of
Practice for Information Security Management. Ginebra: International
Standards Organization, pp. 1-10.
[8] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 4]. Consultado 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[9] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 14]. Consultado 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[10] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 23]. Consultado el 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[11] Search Security.com. The web's best security-specific information resorse for
enterprise IT professionals. [En línea]. Consultado el 06-Abril-08 en http://
Revista Eos No. 2
Enero-abril de 2008
searchsecurity.techtarget.com/sDefinition/0,,sid14_gci211621,00.html.
[12] RFC2196. Search Security.com. Definitions [En línea]. Consultada el 6-Abril-08
en http://searchsoftwarequality.techtarget.com/sDefinition/0,,sid92_
gci211622,00.html.
108
Principales estándares para la seguridad de la información IT | F.N. Díaz Piraquive
[13] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 49]. Consultado el 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[14] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 39]. Consultado el 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[15] RFC2196. Network Working Group. Site Security Handbook. Internet Engineering
Task Force [En línea, p. 40]. Consultado 06-Abril-08 en http://www.ietf.org/
rfc/rfc2196.txt.
[16] Calder, A.(2005). IT Governance: A Manager's Guide to Data Security and BS
7799/ISO 17799. Londres: Kogan Page, Limited, p. 36.
[17] Calder, A. (2005). IT Governance: A Manager's Guide to Data Security and BS
7799/ISO 17799. Londres: Kogan Page, Limited, p. 38.
[18] Saint-Germain, R. Information Security Management Best Practice Based on
ISO/IEC 17799. Londres, p. 60.
[19] Using ISO 17799-2005 Information security management a Stope view with six
sigma approach. International Journal of Network Management, p. 93.
[20] Using ISO 17799-2005 Information security management a Stope view with six
sigma approach. International Journal of Network Management, p. 93.
[21] Security Engineering Capability Maturity Model (SSE-CMM). Model Description
Document V3.0, p. 1.
[22] Security Engineering Capability Maturity Model (SSE-CMM). Model Description
Document V3.0, p. 31.
[23] Security Engineering Capability Maturity Model (SSE-CMM). Model Description
Document V3.0, p. 40.
[24] Security Engineering Capability Maturity Model (SSE-CMM). Model Description
Document V3.0, p. 61.
[25] The Relationship between the SSE-CMM and it Security Guidance Documentation
V2.0, p. 10.
[26] IT Baseline Protection Manual, 2004, Federal Office for Information Security
BSI (apartes traducidos al español: Flor Nancy Díaz), pp. 29-47.
[27] Corletti E.A. (2006). Documento Análisis de ISO-27001:2050. Madrid.
[28] Norma ISO27001:2005 versión en español.
[29] Corletti E.A. (2006). Documento Análisis de ISO-27001:2050. Madrid.
[30] Nextel S.A. Sistemas de Gestión de Seguridad de la Información ISO 27001, p.
25.
[31] Norma ISO27001: 2005 versión en español, pp. 19-33.
[32] Nextel S.A. Sistemas de Gestión de Seguridad de la Información ISO 27001, pp.
61-64.
[33] Organismo Certificador de Sistemas de Gestión de Calidad. Calidad y
Competitividad Empresarial. [En línea]. Consultada el 06-Abril-08 en http://
www.calidadycompetitividad.com/.
[34] http://www-935.ibm.com/services/us/index.wss/itservice/so/a1000405.
Revista Eos No.2
Enero-abril de 2008
109