1

IMPLEMENTACION DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN (SGSI) EN LA COMUNIDAD NUESTRA SEORA DE GRACIA,
ALINEADO TECNOLGICAMENTE CON LA NORMA ISO 27001
Andrs Fabin Daz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz
1
, Gustavo Adolfo
Herazo Prez

Resumen
ste artculo es el resultado de un proyecto de investigacin, adelantado por un grupo
de estudiantes de ingeniera de sistemas con el fin de implementar un SGSI
2
en la
Comunidad Nuestra Seora de Gracia. Este sistema se basa en las directrices
indicadas en la norma ISO/IEC 27001, y en el marco del mismo se gener un anlisis
de gap
3
, que permiti evidenciar un nivel de brechas significativo en la mencionada
Comunidad, con base en el cual se establecieron polticas y controles de
mejoramiento de los procesos de seguridad de la informacin y se definieron las
declaraciones de aplicabilidad que fortalecieron todo el anlisis de riesgos efectuado.

ndice de Trminos IEC: International Electrotechnical Commission. SOA:
Declaracin de aplicabilidad.

I. INTRODUCCIN

La cantidad y la complejidad de la informacin siguen teniendo un aumento
considerable y los profesionales de TI
4
se enfrentan cada da a retos inimaginables
para abordar las amenazas que persisten en la sociedad actual y que no muestran
signos de desaceleracin. Amenazas representativas, tales como el troyano Hydraq
5
,
se pueden seguir presentando indefinidamente en los mbitos computacionales,
causando prdidas econmicas significativas. [1]

1
leidyj.ortiza@konradlorenz.edu.co
2
Sistema de Informacin para el Control de Gestin de Seguridad de la Informacin
3
Un anlisis de gap, permite comparar los procesos actuales que tiene la organizacin con los lineamientos de cumplimiento de la norma
ISO/IEC 27001 y establecer en qu reas o procesos se debe priorizar y enfocar el esfuerzo para permitir incrementar la seguridad de la
informacin. (Fuente: http://www.gapanalisis.com/)
4
Technology Information, Tecnologa de Informacin
5 Reportes de Symantec, uno de los principales representantes de soluciones para la seguridad de la informacin. Acerca de Hydraq
disponible en: http://www.symantec.com/es/es/outbreak/index.jsp?id=trojan-hydraq
2



Debido a esto, las empresas necesitan proteger y reforzar su activo ms valioso: la
informacin. Esta necesidad se ve agravada, debido a que los datos de una empresa
y su complejidad de anlisis crecen exponencialmente, razn por la cual se requiere
establecer una disciplina de seguridad que determine un permetro para las
debilidades del negocio
6
[2]. Es claro que las organizaciones han sido conscientes
que la certificacin representa un instrumento para demostrar que sus organizaciones
poseen un SGSI con el fin de asegurar y controlar sus procesos de negocios y de
misin crtica
7
.
El trabajo descrito en el presente artculo fue desarrollado en la Comunidad Nuestra
Seora de Gracia, de la ciudad de Bogot, a la cual se realiz un proceso de
diagnstico, a partir del cual se determin que no posea los mecanismos, ni los
procesos idneos para proteger su informacin. Con base en esta situacin, se
decidi realizar un plan piloto para implementar polticas que se ajustaran a la norma
ISO/IEC 27001, adems de disear e implementar un sistema de informacin web que
ayudara al equipo de stakeholders
8
al levantamiento inicial de informacin, al anlisis
de brechas y de gap; y que ayudara al auditor de la comunidad al seguimiento y
gestin de cada uno de los procesos de la norma.

II. METODO

Desde el inicio del proyecto se utiliz una serie de pasos que permitieron una
adecuada ejecucin del SGSI y un resultado exitoso del mismo, los cuales se
describen a continuacin
9
.

1. Programacin del proyecto con el personal de la direccin de la Comunidad.
Este proceso permiti que la alta gerencia de la Comunidad entendiera la importancia
del proyecto piloto y la necesidad del apoyo del recurso humano, factor vital para el

6
METODOLOGA PARA LA INCORPORACIN DE MEDIDAS DE SEGURIDAD EN SISTEMAS DE INFORMACIN DE
GRAN IMPLANTACIN Disponible en: http://oa.upm.es/323/1/09200430.pdf
7
ENTREGABLES 3, 4, 5 y 6: INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIN SISTEMA SANSI - SGSI
- MODELO DE SEGURIDAD DE LA INFORMACIN PARA LA ESTRATEGIA DE GOBIERNO EN LNEA.
8
Es importante resaltar que el trmino stakeholders representa aquellas personas o colectivos que tienen algn tipo de inters sobre la
empresa con un fin en particular, generando diversos efectos en el mejoramiento de los procesos de negocios
9
CHECKLIST DE IMPLEMENTACIN DE ISO 27001.
3


inicio de la fase de levantamiento de informacin. Esta fase fue exitosa gracias a que
se mostraron puntos tales como: cumplimiento y rendimiento de la inversin de una
forma eficaz, hacindoles entender que si una organizacin cumple con la
normatividad sobre proteccin de datos sensibles, privacidad y control de TI, los
resultados a futuro mejoraran de forma sustancial el impacto estratgico de la
compaa, y aunque represente un gasto considerable, genera as mismo a futuro un
ROI
10
y una ganancia financiera representados en incidentes o desastres informticos.

2. Definir el alcance.
Por la complejidad de la implementacin de la norma, se recomend a la Comunidad
definir de manera sistemtica el alcance del proyecto, en las reas de CONTROL DE
ACTIVOS y SEGURIDAD DE RECURSOS HUMANOS.

a) Control de activos: para este punto se sugiri realizar un inventario de los activos
para tener un control ms riguroso de los mismos. Toda la informacin y activos
asociados a los recursos para el tratamiento de la informacin, deberan tener un
propietario y pertenecer a una parte designada de la Comunidad
11
.
Para realizar un anlisis de riesgos se parte del inventario de activos. Para determinar
cul era la situacin actual de la Comunidad, se realiz un anlisis de gap, cuyos
resultados se muestran en la figura 1, donde se puede apreciar que un 20% de los
activos de la Comunidad no tienen un procedimiento implantado, lo cual representa un
porcentaje bastante alto.

Figura 1. Anlisis gestin de activos


10
Retorno de la Inversin
11
De acuerdo con la norma ISO/IEC 27001.
4


b) Seguridad de los recursos humanos: Tuvo como objetivo asegurar que los
empleados, contratistas y usuarios de terceras partes, entienden sus
responsabilidades y son aptos para ejercer las funciones para las cuales estn siendo
considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las
instalaciones.
Para el anlisis del control de activos y de la seguridad de los recursos humanos se
trabaj con la metodologa MAGERIT
12y13
[2].
En la Comunidad se aplicaron los siguientes pasos de MAGERIT:
Concientizar a los responsables de los SI
14
respecto a la existencia de riesgos
Ofrecer un mtodo sistemtico para analizar los riesgos a los que se ve expuesta la
informacin.
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos
bajo control.
Preparar a la organizacin para procesos de evaluacin
15

Siguiendo con el alcance del proyecto, adicionalmente se trabajaron las siguientes
capitulaciones:

c) Anlisis de vulnerabilidades a nivel de acceso lgico: La seguridad lgica
concentra sus objetivos en la aplicacin de procedimientos que resguarden el acceso
a los datos y permisos a las personas autorizadas
16
.
Los procesos de esta capitulacin se desarrollaron en el siguiente orden:
Realizar un anlisis de brechas con el fin de definir la declaracin de aplicabilidad
(SOA)
17
.

12
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, que est directamente relacionada con la
generalizacin del uso de las tecnologas de la informacin y que supone unos beneficios evidentes para los ciudadanos; pero tambin da
lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.(Fuente:
http://www.mpt.gob.es/publicaciones/centro_de_publicaciones_de_la_sgt/Monografias0/parrafo/01111111111111111115/text_es_files/fi
le/Magerit-v2_I-metodo.pdf)
13
Directamente relacionada con el uso de los medios electrnicos, informticos y telemticos
14
SI: sistemas de informacin
15 Auditora, certificacin o acreditacin, segn corresponda en cada caso.
16
Velando para que la confidencialidad, integridad y disponibilidad
17
SOA(Statement Of Applicability, Traducido como declaracin de aplicabilidad): referenciado en la clusula 4.2.1j del estndar ISO
27001 es un documento que lista los objetivos y controles que se van a implementar en una Organizacin, as como las justificaciones de
aquellos controles que no van a ser implementados.(Fuente: http://iso-17799.safemode.org/index.php?page=Statement_of_Applicability)
5


Definir polticas y procedimientos aplicados al cumplimiento de la norma ISO/IEC
27001, en sus dominios 10 y 11 de acuerdo a lo establecido en la Declaracin de
aplicabilidad.
Aplicando la metodologa OCTAVE
18
, iniciar el proceso de anlisis de riesgos,
abarcando los procesos de valoracin de activos, identificacin de amenazas y
vulnerabilidades, determinacin de probabilidad de ocurrencia de una amenaza y
valoracin del riesgo intrnseco.
19

Entregar los resultados definitivos del anlisis de riesgos, declaracin de
aplicabilidad, polticas y procedimientos.

3. Gestin y tratamiento de los riesgos, seleccin de los controles.
La gestin de los riesgos es el proceso por el cual se controlan, minimizan o eliminan
los riesgos que afectan a los activos de la organizacin. En este caso, luego de haber
determinado los riesgos existentes en la organizacin, as como las medidas
adecuadas para hacer frente a los mismos, se dispuso de varias alternativas para
afrontar estos riesgos: Eliminar, Transferir, Asumir o Mitigar el riesgo.
Todas las medidas implantadas se documentaron para permitir la gestin por parte de
la organizacin. Una vez decididas las medidas que se aplicaran a los riesgos
identificados, se realiz un nuevo anlisis, el cual expondra el registro residual
20
de la
organizacin.
Se definieron dos tipos de controles que se complementan: tcnicos y organizativos.
Los controles tcnicos tienen que quedar perfectamente documentados a travs de
procedimientos. Los controles organizativos pueden quedar documentados a travs
de procedimientos o polticas de seguridad.
Los controles seleccionados por la Comunidad fueron organizados en el documento
de declaracin de aplicabilidad (SOA). El SOA relaciona qu controles aplican en la
organizacin y cules no
21
. Para aquellos controles que s aplican, se debe incluir los

18
OCTAVE(Operationally Critical Threats Assets and Vulnerability Evaluation): Metodologa de anlisis de riesgos en seguridad de TI
que permite dirigir y evaluar riesgos, tomar decisiones basndose en sus riesgos y proteger los activos claves de informacin (Fuente:
http://www.cert.org/octave/)
19
INTRODUCCIN A OCTAVE. Disponible en: http://www.acis.org.co/memorias/JornadasSeguridad/IVJNSI/MauricioMunoz-
IVJNSI.pdf
20
El nivel de riesgo aceptable por la organizacin bajo el cual estarn todos los riesgos de la misma
21
Para aquellos controles no seleccionados, porque simplemente no aplican, se debe indicar la razn de su exclusin de manera detallada.
Este punto es muy importante, ya que en la fase de certificacin del sistema ser uno de los documentos a revisar por los auditores.
6


objetivos del control, la descripcin, la razn para su seleccin, aplicacin y la
referencia al documento en el que se desarrolla su implementacin.
Se realiz una evaluacin del anlisis de brechas, que permiti evidenciar puntos
crticos que se atacaron implementando control de riesgos, utilizando el estndar
OCTAVE-S
22
, cuyo nfasis est en proveer tcnicas de apoyo en soluciones lgicas
de acceso. [1]
En la aplicacin de OCTAVE en la Comunidad, el grupo de stakeholders particip
integrando desde personal de reas operativas y de negocios hasta el personal del
departamento de TI, balanceando los tres aspectos: RIESGOS OPERATIVOS,
PRCTICAS DE SEGURIDAD y PRCTICAS DE TECNOLOGA. Las fases
desarrolladas utilizando OCTAVE fueron las siguientes: a) Enfoque Estratgico de la
Comunidad, implementacin de mejores prcticas y anlisis de vulnerabilidades de la
organizacin. b) Creacin del modelo de vista tecnolgica. c) Estrategias de
proteccin y planes de mitigacin
Finalizando esta parte del proceso, se procedi a la elaboracin y definicin de los
puntos de control de dominio de monitoreo para la capitulacin de monitoreo, como se
muestra en la tabla 1:

Tabla 1. Definicin de puntos de control del dominio de Monitoreo
Para el anlisis de riesgo asociado con el captulo de control de acceso, se
establecieron declaraciones de aplicabilidad como las que aparecen en la tabla 2.

22
Como herramienta aplicada para empresas pequeas (menos de 100 empleados)
7



Tabla 2. Declaraciones de aplicabilidad para el Control de Acceso.
Otros de los temas tratados dentro de la investigacin fueron el control de acceso a la
capa de aplicaciones y anlisis de modelos criptogrficos, y la capitulacin de
proteccin contra cdigo malicioso y gestin de seguridad de las redes, cuyo soporte
metodolgico para el anlisis de riesgos fue tratado con DLP
23
y simultneamente con
la norma NTC 5254.
III. SOPORTE METODOLGICO DEL SISTEMA DE INFORMACIN.
Como software de apoyo para todo el proceso anteriormente descrito se entreg a la
Comunidad, un sistema informtico web que facilita la gestin y el control del sistema
de gestin de la seguridad de la informacin. Este sistema informtico permite a los
grupos de stakeholders y auditores desarrollar un esquema de trabajo basado en
procesos, y enfatiza en las polticas y controles de seguridad por capa capitulacin del
compendio de ISO 27001, la definicin de la metodologa de la evaluacin del riesgo y
su respectiva evaluacin, la declaracin de aplicabilidad SOA y el plan del tratamiento
del riesgo y medicin de la eficacia de los controles establecidos. Las pantallas
generales de este sistema de informacin se muestran en la figura 2.

23
Data Loss Prevention
8



Figura 2. Pantallas generales del sistema de informacin

IV. RESULTADOS

Gracias al proyecto desarrollado en la Comunidad Nuestra Seora de Gracia, se
definieron principios y polticas de control de informacin y de comunicacin de
seguridad, los cuales produjeron los siguientes resultados:
1. Definicin de roles y propuestas de asignacin y estructura organizativa, polticas
de control, planificacin de actividades, responsabilidades, prcticas, procesos y
recursos. (ver Figura 3).
9


Usuario
Autenticarse
Administrar eventos generados por AD
Administrar cambios de objetos de AD
Administracin de usuarios
Generar reporte de incidentes de usuario
<<use>>
Administrador
<<use>>
<<use>>
<<use>>
<<use>>
Generar informe de cambios en objetos
<<use>>
<<use>>
Reporte de eventos del AD
<<include>>
Sincronizacin de objetos con AD
<<include>>
Creacin de usuario
Creacin de grupo
Modificacin de usuario
Modificacin de grupo
Eliminacin de usuario
Eliminacin de grupo
<<extend>>
<<extend>>
<<extend>>
<<extend>>
<<extend>>
<<extend>>
Usuario
<<use>>
<<use>>

Figura 3. Roles y Actores descritos en el proyecto [3]
2. Propuesta de alineacin tecnolgica frente a los procesos estratgicos de la
organizacin.
3. Entrega de un sistema de informacin para una mayor seguridad integral.
4. Propuesta de un plan de continuidad del negocio permitiendo que la empresa
pueda recuperarse despus de algn incidente que pudiese presentarse.
5. Capacitacin y concientizacin al Departamento de Sistemas sobre el impacto
favorable que tendra el establecimiento de una poltica en ISO 27001.
6. Entrega y socializacin de anexos donde se describen riesgos de inventarios de
servidores y estaciones de trabajo, declaraciones de aplicabilidad y la respectiva
matriz de riesgos, soportadas por su respectivo anlisis de riesgos. Los riesgos
identificados [4] y analizados de acuerdo a la norma para la Comunidad, se pueden
revisar en la tabla 3 y 4, que se muestran a continuacin.

1
0

Tabla 3. Identificacin de riesgos de los activos de la Comunidad

Tabla 4. Identificacin de riesgos
7. Adicionalmente, se entregaron procedimientos de gestin de contraseas, gestin
de usuarios, polticas y establecimientos de gestin de monitoreo para la red LAN
24
[5],
como para los enlaces dedicados con el proveedor de servicios de
telecomunicaciones, polticas de control de acceso fsico y lgico, recursos humanos,
controles criptogrficos y gestin de redes (se pueden apreciar en la figura 4).

Figura 4. Diagrama de casos de usos para la gestin de red.

V. CONCLUSIONES

Actualmente en la sociedad de la informacin, es necesario que todas las
organizaciones, sin tener en cuenta su tamao, implementen mecanismos que
permitan mantenerla segura, donde una se use la norma internacional ISO/IEC 27001
como un sistema basado en procesos que busca garantizar la seguridad de la

24
Se trabaj con Wireshark
1
1

informacin, siguiendo una serie de pautas y controles que de aplicarse, minimizan los
riesgos a los cuales se ve expuesta.

Se realiz un anlisis de brechas donde se identificaron los puntos de control
aplicables en la Comunidad, del cual se extrajo la Declaracin de Aplicabilidad. De
igual forma, se elaboraron las polticas y procedimientos necesarios para iniciar el
proceso de implementacin de controles del SGSI.

Se logr identificar y adaptar un software libre que permite realizar los procesos y
gestin de los objetivos de control de los dominios tratados en el desarrollo del
proyecto.

En el ambiente de la seguridad de la informacin ya existen normas y guas como
MAGERIT y OCTAVE que proveen los elementos necesarios para realizar anlisis de
riesgo.

Para la seguridad de los recursos humanos, se hizo necesario definir de forma clara y
concisa a los colaboradores, detallar sus roles y responsabilidades, adems de
establecer unas clausulas dentro de los contratos respecto a la confidencialidad y
responsabilidad de los activos y de la informacin.

La implementacin del SGSI es beneficioso para la Comunidad en cuanto a:
seguridad efectiva en los sistemas de informacin; mejoras continuas en procesos de
auditoras internas dentro de la Comunidad; incremento de la confianza en la
Comunidad y mejora de su imagen.

VI. REFERENCIAS
[1] Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC). Compendio:
Sistema de Gestin de la Seguridad de La Informacin: SGSI. Bogot. 2006
[2] Alexander Marcombo. Diseo De Un Sistema De Seguridad Informtica.
Alfaomega. Mxico, 2007.
1
2

[3] Castro Alfonso Favin & Daz Verano, Fabin A. Anlisis De Vulnerabilidades A
Nivel De Acceso Lgico Basado En La Norma ISO/IEC 27001 En La Comunidad
Provincia De Nuestra Seora De Gracia De Colombia. Proyecto de Grado,
Ingeniera de Sistemas, Fundacin Universitaria Konrad Lorenz. Bogot, Colombia
2010.
[4] Ramrez Gaita, Andrs Camilo & Parra Amado, Gerardo. Control De Acceso A La
Capa De Aplicaciones Y Anlisis De Modelos Criptogrficos Basados En La
Norma ISO/IEC 27001 En La Comunidad Provincia De Nuestra Seora De Gracia
De Colombia. Proyecto de Grado, Ingeniera de Sistemas, Fundacin Universitaria
Konrad Lorenz. Bogot, Colombia 2010
[5] Collazos Muoz, Gloria I. Proteccin Contra Cdigo Malicioso Y Gestin De
Seguridad De Las Redes Basado En La Norma ISO/IEC 27001 en La Empresa
Provincia De Nuestra Seora De Gracia De Colombia. Proyecto de Grado,
Ingeniera de Sistemas, Fundacin Universitaria Konrad Lorenz. Bogot,
Colombia. 2010