Gestio n

de seguridad de la informacio n
Contenido
1.

Introduccin. .........................................................................................................................................2

2.

Expectativas y contextos de seguridad. ................................................................................................2

3.

Gestin del riesgo. .................................................................................................................................3

Anlisis. ......................................................................................................................................................3
Expectativas Objetivos. ..........................................................................................................................4
Valoracin Contramedidas Implantacin. ...........................................................................................4

4.

Amenazas a la informacin. ..................................................................................................................4

5.

Gestin de la seguridad en el espacio. ..................................................................................................5

6.

Gestin de la seguridad en el tiempo....................................................................................................6

7.

Seguridad vs Comodidad. ......................................................................................................................7

8.

Planificacin de la seguridad. ................................................................................................................7

9.

Polticas de seguridad. ...........................................................................................................................8

10.

Funciones y responsabilidades. .........................................................................................................9

11.

Servicios de seguridad gestionados. .............................................................................................. 10

1. Introduccin.
La seguridad no es una disciplina de todo o nada. No existen sistemas 100% seguros. Los
usuarios albergan gran cantidad de expectativas informales respecto a los ordenadores que, por
desgracia, no siempre se ven cumplidas:
Un fallo de hardware puede hacer perder los datos del disco duro.
Un e-mail con su archivo adjunto puede ser interceptado por un intruso.
Un empleado desleal puede extraer o manipular la informacin.
La informacin est expuesta a innumerables amenazas: hackers externos, virus, gusanos y
troyanos, empleados descontentos o sobornados, fallos de software o hardware, interrupciones del
suministro elctrico, fuegos, incendios, inundaciones, etc La lista es interminable.
La seguridad de la informacin es la disciplina que se ocupa de gestionar el riesgo dentro de
los sistemas informticos, es decir, de implantar las medias de seguridad capaces de contrarrestar las
amenazas a las que se encuentran expuestos los activos de la empresa: la informacin y los elementos
hardware y software que los soportan.
Se trata de evaluar los riesgos reales y mitigarlos mediante la aplicacin de las medidas
necesarias. La seguridad de la informacin:
Requiere un enfoque holstico que implica la participacin coordinada de tecnologa,
personas y operaciones.
Intenta proteger activos tangibles (un disco duro, un servidor) e intangibles (reputacin,
nombre de la marca).

2. Expectativas y contextos de seguridad.

Ejemplo: Se ha comprado un nuevo porttil. Cmo protegerlo?
Expectativa
No accedern al porttil (oficina).
No accedern al porttil (Espaa).
No accedern al porttil (Iraq).

Objetivo de seguridad
Los empleados no accedern al porttil.
Ningn ladrn robar el porttil.
Ningn asesino robar el porttil.

Nadie acceder a la informacin Nadie acceder a los datos del porttil

(donde sea).

Solucin
Ponerle un candado
Utilizar unas esposas
Contratar guardaespaldas y furgn blindado.
Cifrar el disco.

Las medidas de seguridad no pueden entenderse fuera del contexto en el que se aplican ni al
margen de las expectativas que buscan satisfacer. Adems, respecto a las medidas adoptadas, hay que
tener en cuenta:

El coste de adquisicin, mantenimiento y operacin,

Su facilidad de uso,
La aceptacin entre los usuarios y la percepcin de los clientes,
Su efectividad y la su combinacin son otras medidas de seguridad, etc.

3. Gestin del riesgo.

El riesgo no puede eliminarse por completo, pero puede reducirse.
El nivel de reduccin del riego depender de:
Los objetivos concretos de la empresa,
El valor de los activos,
El presupuesto de seguridad.
Al contrario de lo que se piensa, la mayora de problemas de seguridad no tiene que ver con
ataques informticos, virus o provienen del exterior, sino con:
Fallos de hardware o software,
Errores de programacin o administracin,
Robo, fraude y extorsin,
Demandas legales,
Infraccin de derechos de autos,
Ingeniera social, etc.
Adems, los usuarios suponen la mayor amenaza porque:
Son los que mejor conocen el sistema,
Saben cules son los activos ms valiosos,
Pueden hacer el mayor dao con mayor impunidad.

Anlisis.
El primer paso antes de implantar medidas de seguridad es realizar un anlisis previo de:
Los activos a proteger: Qu activos son ms valiosos? Cul es su valor? Cul es el
coste de reponerlos si se pierden? Es posible reponerlos?
Las amenazas: Cules son las amenazas naturales y humanas? Qu agentes pueden
materializar esas amenazas? En qu circunstancias pueden darse?
Los riesgos que suponen las amenazas: Cul es la probabilidad de que acurra una
amenaza? Cul es el coste tangible o intangible para la empresa si la amenaza se
materializa en un ataque?
El coste de las contramedidas: De qu manera mitigan el riesgo? Cunto cuesta
implantarlas? Cul es su eficacia?
Una de las mayores dificultades es cuantificar el valor de los activos y el coste asociado a los
riesgos. Hay varias formas de evaluacin:
Medidas cuantitativas: Clasificar los riesgos en funcin de su coste econmico, ordenar
las amenazas en funcin de su nivel de riesgo,
Mediadas obligatorias: La evaluacin se hace en funcin de las obligaciones legales,
estatutarias y regulatorias que la empresa debe cumplir y hacer cumplir (LOPD, LSSICE).
Medidas particulares: los principios y objetivos de la empresa impondrn sus propios
requisitos.

Expectativas Objetivos.
Como resultado el anlisis se obtendr una lista de expectativas, como por ejemplo:
El servidor Web no estar fuera de servicio durante ms de cinco minutos al ao.
Ningn empleado podr ejecutar en su puesto de trabajo ms software que el
autorizado expresamente por el administrador.
Ningn usuario podr enviar o recibir mensajes de correo electrnico con archivos
adjuntos.
Todos los usuarios debern cambiar su contrasea una vez al mes.
Toda informacin relativa a proyectos, como ofertas, estudios de viabilidad, informes
preliminares, entregables, etc., se mantendr estrictamente confidencial tanto durante
su almacenamiento como durante su trmite a los clientes tanto dentro como fuera de
la empresa.
Cada empresa tendr una lista basada en sus propias prioridades

Valoracin Contramedidas Implantacin.

Una vez se tiene la lista, hay que decidir cmo reducir el riesgo que suponen las amenazas. Hay
tres posibilidades:
Implantar salvaguardas o contramedidas.
Transferir el riesgo a otra organizacin: contratando un seguro o externalizando la
gestin.
Asumir el riesgo: Se da cuando la probabilidad de que ocurra es demasiado pequea o el
coste, si ocurre, es menor que el de las/s contramedida/s.
La seguridad de un sistema informtico se suele comparar con una cadena formada por los
numerosos elementos que la componen. Si se quiere alcanzar un nivel de seguridad aceptable, siempre
segn unas expectativas realistas, deben localizarse los eslabones ms dbiles y fortalecerlos.
La cadena siempre se rompe por el eslabn ms dbil.

4. Amenazas a la informacin.
Podemos agrupar las amenazas atendiendo al factor de seguridad que comprometen:
Flujo normal:
La informacin
fluye con
normalidad del
emisor al receptor.

Se garantiza:
Confidencialidad: nadie no autorizado accede a la informacin.
Integridad: los datos enviados no se modifican en el camino.
Disponibilidad: la recepcin y acceso es correcto.

Se garantiza:
Confidencialidad: nadie no
autorizado accede a la
informacin.
Integridad: los datos
enviados no se modifican en
el camino.
No se garantiza:
Disponibilidad: puede que la
recepcin no sea correcta.

Interrupcin:
Puede provocar
que un objeto del
sistema se pierda,
quede no utilizable
o no disponible.

Deteccin inmediata.

Ejemplos:
Destruccin del hardware
Borrado de programas, datos
Fallos en el sistema operativo.

Intercepcin:
Acceso a la
informacin por
parte de personas
no autorizadas. Uso
de privilegios no
adquiridos.

Se garantiza:

Integridad.

Disponibilidad.
No se garantiza:

Confidencialidad: un intruso
no autorizado accede a la
informacin.

Modificacin:
Acceso no
autorizado que
cambia el entorno
para su beneficio.

Se garantiza:
Integridad.
Disponibilidad.
No se garantiza:
Confidencialidad: es posible
que alguien no autorizado
acceda a la informacin.

Creacin:
Puede considerarse
como caso
concreto de
modificacin ya
que se consigue un
objeto similar al
atacado de forma
que no resulte
sencillo distinguir
entre objeto
original y el creado.

Se garantiza:
Confidencialidad: nadie no
autorizado accede a la
informacin.
Integridad: los datos
enviados no se modifican en
el camino.
Disponibilidad: la recepcin
es correcta.
No se garantiza:
Seguridad: se inyecta
informacin en el sistema
que antes no exista.

Deteccin difcil, no deja

huellas.

Ejemplos:

Copias ilcitas de programas.

Escucha en lnea de datos.

Deteccin difcil segn

circunstancias.

Ejemplos:
Modificacin de bases de
datos.
Modificacin de elementos del
HW.

Deteccin difcil. Delitos de

falsificacin.

Ejemplos:
Aadir transacciones en red.
Aadir registros en bases de
datos.

5. Gestin de la seguridad en el espacio.

Los productos del mercado de seguridad informtica realizan tres tipos de controles o funciones:
Prevencin: Evitar que los ataques tengan xito (cortafuegos, antivirus en el correo).
Deteccin: Alertar cundo se produce una anomala (sistema de deteccin de intrusos,
firmas de archivos para detectar cambios).
Recuperacin: Restaurar los recursos perdidos y ayudar a minimizar las prdidas
econmicas (sistemas de back up, planes de recuperacin de desastres).
Estos tres pilares se realimentan unos a otros:

Adems se suelen aadir otros dos controles o funciones:

Disuasin: Desanimar a los individuos de violar intencionadamente las polticas o
procedimientos de seguridad (amenaza de despido, bloqueo de cuenta tras x intentos
de acceso fallidos).
Correccin: Remediar las circunstancias que permitieron una actividad ilegtima o
devolver el sistema al estado anterior a la violacin (reconfiguracin del cortafuegos,
actualizacin del antivirus).
Estos controles pueden ser de tres naturalezas distintas:
Fsicos: Protegen el local y los equipos (uso de candados, tarjetas de identificacin,
alarmas, puertas blindadas,).
Tcnicos: Contramedidas incorporadas en el hardware y software (antivirus,
cortafuegos, sistemas RAID 5,).
Administrativos: Reglas de la Direccin y procedimientos operativos (polticas y
procedimientos de seguridad, formacin y concienciacin del personal, planes de
recuperacin de desastres,).
Por ejemplo, si un objetivo de seguridad se plantea como Evitar que los empleados naveguen
por Internet en horas de trabajo, pueden usarse distintos tipos de controles:
Fsicos: Se aslan los PCs de Internet, utilizndose un nico PC pblico compartido con
acceso a Internet. Presenta el problema de prdida de productividad.
Tcnicos: Se usa software de filtrado de contenidos en el proxy, que bloquea
determinados contenidos. El problema es el coste de la inversin y la violacin de la
privacidad de los empleados.
Administrativos: No se restringe el acceso a Internet, pero los empleados firman un
acuerdo de uso aceptable de los recursos informticos que excluye la navegacin por
motivos no relacionados con el trabajo.

6. Gestin de la seguridad en el tiempo.

Desde este punto de vista, la seguridad informtica es una estrategia de actuacin cclica:
Alcanzar la seguridad: Primero se garantiza que la plataforma, los sistemas y las redes
alcanzan un nivel de seguridad que se corresponde a las expectativas de la empresa.
Mantener la seguridad: A continuacin se desarrollan un grupo de polticas, normas y
procedimientos que garanticen que no se vulnera la seguridad existente.
Evaluar la seguridad: Se realiza una monitorizacin y comprobacin peridica de que
todos los sistemas de seguridad implicados funcionan tal y como se especifica en las
polticas. Este tipo de auditoras permiten reformular objetivos e identificar medidas de
seguridad inexistentes, ineficaces o innecesarias.

Evaluar

Mantener

Alcanzar

7. Seguridad vs Comodidad.
Debe buscarse un equilibrio entre seguridad y comodidad. Si las medidas de seguridad
entorpecen el trabajo de los empleados, dicha seguridad se percibir como un enemigo, una pesada
carga con la que convivir y a evitar siempre que sea posible.

COMODIDAD

Debe encontrarse un compromiso entre seguridad y comodidad de uso. Los usuarios deben
estar informados de las razones de las medidas de seguridad, dado que a mayor seguridad menor
comodidad y viceversa.

SEGURIDAD
8. Planificacin de la seguridad.
Un componente clave para la buena marcha de cualquier negocio radica en una buena
planificacin, con el fin de extraer el mximo partido de los recursos disponibles. Y una buena
planificacin de la seguridad debe considerar los siguientes niveles de planificacin:
Planificacin estratgica: Se realiza en los niveles directivos ms altos y se ocupa de los
objetivos a largo plazo (cinco o ms aos). Esta planificacin dimana de una estrategia
ms general. Por ejemplo, si la estrategia general especifica Proporcionar el servicio de
formacin a travs de Internet con la mejor calidad y las mayores garantas del
mercado, puede reformularse en el objetivo estratgico Asegurar que los servicios de
formacin se proporcionarn de manera segura, sin fraudes y en conformidad con los
requisitos legales de la LOPD y las LSSCIE.
Planificacin tctica: Los objetivos de la planificacin estratgica deben transformarse
en objetivos ms concretos y prcticos, creando planes tcticos centrados en el corto
plazo (como mucho tres aos), con fechas fijas para su consecucin. Esto implica la
acometida de proyectos, adquisicin de productos, elaboracin de presupuestos y de
informes mensuales y anuales. Siguiendo con el ejemplo anterior, tendramos objetivos
ms concretos: Todos los accesos externos a la Intranet de alumnos deben estar
estrictamente controlados, Todo el personal de la empresa debe recibir formacin y
concienciacin en seguridad, etc.
Planificacin operativa: Los planes operativos se derivan de los planes tcticos para
organizar las tareas del da a da. Siguiendo con el ejemplo, tendramos como objetivos
Seleccionar, configurar y desplegar un cortafuegos, Disear e implantar un programa
de educacin, formacin y concienciacin de usuarios en materia de seguridad.

9. Polticas de seguridad.
As como la planificacin ayuda a plantearse objetivos realistas y a definir las lneas de actuacin
que permitan alcanzarlos, las polticas delinean las reglas que la empresa espera sean seguidas por sus
miembros y las consecuencias de no cumplirlas.
Las polticas afectan a los recursos empresariales de las reas consideradas como ms
importantes. Se crean varios documentos (uno por cada rea identificada en los objetivos de seguridad),
que facilitan su compresin, lectura, distribucin, actualizacin y formacin del personal.
Las polticas de seguridad comprenden los siguientes tipos:
Poltica de seguridad de la informacin a nivel empresarial (EISP, Enterprise
Information Security Policy): Cubre aspectos de inters para toda la empresa. Es la
primera en crearse. No debe experimentar cambios frecuentes y debe ser firmada por la
alta Direccin.
Poltica de seguridad de asuntos especficos (ISSP, Issue-Specific Security Policy): Se
ocupa de asuntos especficos y constituyen una gua detallada para instruir al personal
en el uso de sistemas basados en la tecnologa. Su objetivo es sentar las bases de lo que
se considera un uso adecuado e inadecuado de la tecnologa.
Poltica de seguridad de sistemas especficos (SysSP, System-Specific Policy): Se centran
en sistemas individuales o tipos de sistemas, como por ejemplo el hardware y el
software aprobados, los mtodos para fortalecer el sistema, los tipos de cortafuegos,
etc.
Desde otro punto de vista se pueden clasificar en:
Polticas regulatorias: Discuten las regulaciones y procedimientos a seguir para aplicar la
legislacin vigente o el cumplimiento de alguna actividad empresarial.
Polticas consultivas: Definen los comportamientos y actividades aceptables y las
consecuencias de su violacin.
Polticas informativas: Proporcionan informacin o conocimientos acerca de temas
especficos. No son de cumplimiento obligatorio.
Para que las polticas no se queden slo en papel, los objetivos de seguridad de formalizan,
concretan y desarrollan mediante la creacin de una jerarqua de documentacin, de forma que cada
nivel concentra un tipo de informacin y problemas:
Polticas: Documentos estratgicos que especifican las reglas que deben seguirse o los
requisitos de seguridad sobre los activos. Describen la seguridad en trminos generales
sin entrar en detalles, cubriendo las reglas y regulaciones para el uso de los recursos
informticos de la empresa y las sanciones por uso inapropiado. Deben hacerse llegar a
todos los miembros de la empresa, quienes deben leerlas, comprenderlas y dar su
conformidad, bien en las clusulas del contrato de trabajo, bien en la firma de un cdigo
de buenas prcticas.
Estndares: Documentos tcticos que especifican el uso de la tecnologa de una manera
uniforme con el fin de cumplir los objetivos definidos en las polticas de seguridad. Son
obligatorios y se implantan en toda la organizacin.
Normas, directrices y procedimientos: Las normas definen el mnimo nivel de seguridad
que cada sistema debe cumplir. Las directrices son recomendaciones que conviene
seguir, y pueden personalizarse para cada sistema. Los procedimientos comprenden

pasos detallados a seguir para realizar una tarea especfica, como listas de
comprobacin o guas de instalacin y uso.
Un buen punto d partida para crear una poltica de seguridad para la empresa se encuentra en
http://www.sans.org/security-resources/policies, que ofrece numerosas polticas de ejemplo que
pueden tomarse como plantillas para desarrollar polticas propias.
En muchas empresas se tiene una percepcin negativa de las polticas de seguridad, y se
consideran una prdida de tiempo y de productividad, o que slo sirven para restringir y poner trabas al
trabajo cotidiano. Esta visin negativa se deriva de una tensin negativa entre las diferentes
perspectivas de los miembros de la empresa:
Usuarios: No les gusta que les impongan reglas ni que los controlen. Normalmente slo
les importa sacar su trabajo adelante sin que les pongan trabas.
Personal IT: Prefieren tener los sistemas que administran bajo control, sin excesivas
libertades para los usuarios, que normalmente se traducen en ms trabajo por tener
que deshacer entuertos.
Direccin: Se preocupa por los costes implicados y por la proteccin frente a supuestas
amenazas.
Por ello debe buscarse un equilibrio entre los requisitos impuestos a los usuarios y
administradores, la prdida de productividad y la ganancia en seguridad.
Con independencia de la dimensin de la empresa, es beneficioso dedicar horas a poner por
escrito los objetivos y bosquejar las polticas que debern ser acatadas por todos. Las polticas deben:
ser aplicables y hacerse cumplir,
ser concisas y fciles de comprender,
establecer un equilibrio entre seguridad y productividad,
establecer las razones por las que resultan necesarias,
describir los aspectos que cubren,
definir funciones y responsabilidades,
discutir cmo se reaccionar ante sus violaciones.

10. Funciones y responsabilidades.

No hay nada ms desastroso para el funcionamiento de una empresa que no saber quin se
encarga de esto, quin es el responsable de aquello o a quin hay que acudir cuando ocurra tal cosa.
Se deben asignar las funciones de seguridad y exigir responsabilidades.
La funcin ms importante corresponde a la Direccin, encargada de que el resto de funciones y
responsabilidades se tomen en serio. Pero todos tienen que tener su parte de responsabilidad cuando
se trata de la seguridad de la empresa. A menudo se tiende a percibir la seguridad como un problema
tecnolgico, que se resuelve a base de productos, cuando en realidad la tecnologa no protege si no va
soportada por personas y procesos.

11. Servicios de seguridad gestionados.

Hemos comentado que una de las formas de transferir el riesgo es externalizar su gestin a un
proveedor de servicios de seguridad gestionados (MSSP Managed Security Service Provider). Los
servicios de seguridad gestionados ms frecuentes son:
Proteccin del permetro de red, incluyendo los cortafuegos y las VPN.
Monitorizacin de seguridad, en paquetes de servicio 24x7.
Gestin de incidencias, respuestas a emergencias y anlisis forense.
Evaluacin de vulnerabilidades y pruebas de penetracin.
Servicios de antivirus y filtrado de contenidos.
Anlisis de riesgos.
Almacenamiento y recuperacin de datos.
Cumplimiento de la poltica de seguridad.
Consultora.
Ventajas del MSSP:
Reduccin de costes, ya que el MSSP distribuye el gasto entre varios clientes.
Mayor cualificacin, al realizarse por personal especializado.
Rapidez de respuesta, pues estn mejor preparados para reaccionar con mayor rapidez
Uso de ltimas tecnologas, acreditadas por vendedores de productos de seguridad.
Integracin y homogeneizacin de medidas de seguridad
Desventajas del MSSP:
Generalidad: Puede que gestione la seguridad sin adaptarla a las necesidades de la
empresa.
Confianza: EL MSSP conoce todos los detalles de seguridad, estrategias y
vulnerabilidades. Esto se agrava cuando el MSSP subcontrata a su vez parte de los
servicios.
Dependencia: Una empresa puede volverse cautiva del MSSP al que se ha externalizado
toda la gestin de su seguridad.
Seguridad: El MSSP comparte recursos entre varios clientes (enlaces de comunicaciones,
servidores de datos,). Algunas empresas contratan servicios de Hacking tico para
poner a prueba la capacidad de deteccin y reaccin de su MSSP, a veces con resultados
desastrosos.
Escalabilidad: Si el MSSP ampla su cartera de clientes mantendr la calidad del
servicio? Qu criterios seguir a la hora de priorizar respuestas? A qu clientes servir
antes?
Consideraciones relevantes al evaluar la oferta de varios MSSP:
Acuerdo a nivel de servicio (SLA, Serivice Layer Agreement): Especifica compromisos
concretos como tiempo de respuesta a incidentes de seguridad, informes regulares al
cliente, sistema de seguimiento del cumplimiento del SLA.
Experiencia: Se puede indagar en el nmero y tipo de clientes del MSSP, los aos de
operacin prestando servicios, etc.
Acreditacin de la plantilla: Debe comprobarse que la plantilla del MSSP estn
cualificados y acreditados en relacin a las tecnologas que van a usar.