DIVISION INGENIER IAS Ingeniero en Sistemas de Información
Seguridad Inf ormática
SGSI
“ “
” ”
Profesor Ing. Arnoldo F. Vidal Romero
Alumno: Barraza Celaya Néstor de Jesús
OCTUBRE 7 2012 Hermosillo, Son.
Introducción El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y la s tecnologías.
Objetivo El objetivo de la siguiente investigación es el de conocer los procesos que tiene el SGSI para proteger la información y los elementos relacionados a esta.
Antecedentes y Alcances Angeli, J. (2005) Las normas de seguridad informática y de telecomunicaciones de la UCLA. Corti, M(2006) Análisis y automatización de la implantación de SGSI en Uruguay. Se desea desarrollar el concepto básico de SGSI como alcance además de definir al gunos de sus puntos.
Desarrollo Teórico.
Un Sistema de Gestión de la seguridad de la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001. El término se denomina en Inglés "Information Security Management System" (ISMS). El concepto clave de un SGSI es para una organización del diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información. Como todo proceso de gestión, un SG SI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.
La ISO/IEC 27001 por lo tanto incorpora el típico "Plan-Do-Check-Act" (PDCA) que significa "PlanificarHacer-Controlar-Actuar" siendo este un enfoque de mejora continua: Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados. Do (hacer): es una fase que envuelve la implantación y operación de los controles. Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI. Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.
La mejor definición de SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares publicados por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC).
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información:
Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
Proceso de SGSI El primer paso para definir un SGSI en la organización es responder a estas tres preguntas: – ¿Cuál es el estado actual de nuestra seguridad? – ¿Cuál es el estado al que queremos llegar? – ¿Cómo queremos llegar a ese estado objetivo? • Las respuestas a estas cuestiones permitirán definir un Plan Director de Seguridad. • Con el plan en la mano, ya podemos... – .implantar. – gestionar. – .medir.
Con el SGSI implantado (total o parcialmente), podemos entrar en la fase de auditoría del sistema: – ¿Se ajusta a lo deseado? – ¿Ha sido implantado y se mantiene y ejecuta correctamente? – ¿Existen nuevos riesgos? – ¿Hay cambios que puedan afectar al SGSI? • Si durante la auditoría se detectan no conformidades (desviaciones con respecto a la política), debemos corregirlas; si no se encuentran, debemos buscarlas.
¿Qué incluye un SGSI? En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:
Documentos de Nivel 1 Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI. Documentos de Nivel 2 Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información. Documentos de Nivel 3 Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
Documentos de Nivel 4 Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): • Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas). • Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información. • Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI. • Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables. • Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización. • Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.
• Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados. • Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. • Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.
Control de la documentación Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para: • Aprobar documentos apropiados antes de su emi sión. • Revisar y actualizar documentos cuando sea necesario y renovar su validez. • Garantizar que los cambios y el estado actual de revisión de los documentos están identificados. • Garantizar que las versiones relevantes de documentos vigentes están disponibles en los l ugares de empleo. • Garantizar que los documentos se mantienen legibles y fácilmente identificables.> • Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables según su clasificación. • Garantizar que los documentos procedentes del exterior están identificados. • Garantizar que la distribución de documentos está controlada. • Prevenir la utilización de documentos obsoletos. • Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.
Ventajas Confianza, depositada en la entidad que certifica. – Yo no digo que soy seguro, lo dice un tercero independiente. • Garantía de 'calidad de la seguridad ': mejora continua. • Incluimos la seguridad a todos los niveles de la organización: beneficios para la propia organización, los inversores., los clientes y los empleados.
Desventajas: La certificación califica formalmente el sistema de gestión, no la seguridad técnica. – No es garantía de inmunidad. • No se realizan auditorías de eficacia de los controles. – ¿Son adecuados? ¿Cumplen sus objetivos? • Falta de cultura de seguridad en la organización.
CONCLUSIONES SGSI es un método o norma para asegurar la información de las empresas o de las instituciones, en mi punto de vista la consideraría como una metodología necesaria para el cuidado de la información, porque como bien sabemos la información puede representar alguna ventaja competitiva y por razones tan importantes como esa debe respaldarse y salvaguardarse lo mejor posible. Aunque es conocido que ninguna protección es considerado infalible en cuestión de información, podemos hacer que la protección sea más robusta y con ello impedir el mal uso o robo de nuestros datos. La información debe ser íntegra, confiable y disponible, pero para ello es necesario de un proceso sistemático y bien documentado paro tener control sobre los subprocesos que esto conlleva. Con una correcta documentación se tiene por seguro un parámetro en caso de que se requiera de una actualización o mejora del proceso de gestión de seguridad de la información. Una metodología d este tipo implica conocer las vulnerabilidades de un sistema de información, por ello es importante su implementación, pero también es necesario involucrar a todo el personal que trabaja con la información, ya que estos son quienes i nteractúan con los sistemas. La información es muy valiosa, por eso debe ser protegida y manejada de una manera responsable. Por ello tener un control y procesos documentados, al igual que políticas internas puede significar un grado más confiable para la protección de la información. "No hay una seguridad completa de la información, sino una seguridad gestionada"
Referencias:
http://www.slideshare.net/mmujica/mi-defensa http://auditoriasi.blogspot.mx/2009/06/historia-de-un-sgsi-cualquiera-el.html http://www.iso27000.es/sgsi.html#section2c http://www.criptored.upm.es/guiateoria/gt_m209e.htm http://es.wikipedia.org/wiki/Sistema_de_Gesti%C3%B3n_de_la_Seguridad_de_la_Informaci%C3%B3n
