Upload
others
View
9
Download
5
Embed Size (px)
Citation preview
Política de Seguridad Informática para Apostar S.A.
1
Política de Seguridad Informática para Apostar S.A.
Carolina Henao Acosta
Juan Pablo Ortiz Villegas
Asesor
Ing. Julio César Cano Ramírez
Universidad Católica Popular del Risaralda
Facultad de Ciencias Básicas e Ingeniería
Programa de Ingeniería de Sistemas y Telecomunicaciones
Pereira
2010
Política de Seguridad Informática para Apostar S.A.
2
Agradecimientos
Agradecemos en primera instancia a Dios, por acompañar nuestro camino e iluminarlo en
los momentos de lucidez y dificultad.
A nuestros padres y hermanos por ser motivadores constantes y enseñarnos con su
ejemplo el valor del esfuerzo.
A nuestros amigos por permanecer a nuestro lado y ayudarnos a fortalecer la confianza.
A nuestros docentes, tutores y asesores, por su orientación y contribución para lograr
llegar a la meta que nos hemos propuesto.
A la empresa Apostar S.A. por su apoyo incondicional, profesional y personal en la
realización de este proyecto.
Política de Seguridad Informática para Apostar S.A.
3
Contenido
Introducción 10
1. Descripción del Problema 12
1.1 Planteamiento del Problema 12
1.2 Formulación del Problema 12
2. Justificación 14
3. Objetivos 15
3.1 Objetivo General 15
3.2 Objetivos Específicos 15
4. Delimitación 16
4.1 Espacial 16
4.2 Temporal 16
5. Planteamiento de la Hipótesis 17
6. Identificación de variables 18
6.1 Variable Independiente 18
6.2 Variable Dependiente 18
7. Marco de Referencia 19
7.1 Marco Contextual 19
7.2 Marco Teórico 20
7.2.1 Concepto de seguridad. 24
7.2.2 Seguridad informática. 25
7.2.3 Generalidades de la seguridad de la información para empresas y particulares. 26
7.2.4 Anonimato y privacidad.
7.2.5 Confidencialidad, integridad, disponibilidad. 29
7.2.6 Seguridad en las redes.. 30
7.2.7 Protección a los equipos. 31
7.2.8 Auditoría, detección de intrusiones y análisis forense. 31
7.2.9 Política de seguridad. 31
7.2.10 Planificación del proceso de seguridad informática. 38
7.2.11 Marcos para la definición de políticas. 40
Política de Seguridad Informática para Apostar S.A.
4
7.2.12 La seguridad informática en este entorno. 50
7.2.13 Interpretación del gráfico perfil de riesgo vs índice de defensa. 51
8. Evaluaciones Realizadas 54
8.1 A Nivel Nacional 54
8.2 Empresas Locales 55
8.3 Empresa objeto de estudio 58
9. Modelo Teórico 60
10. Concreción del Modelo 63
11. Presupuesto 64
11.1 Materiales e Insumos 64
11.2 Viáticos 64
11.3 Papelería 65
11.4 Presupuesto Global 65
12. Cronograma de Actividades 66
Conclusiones y Recomendaciones 67
Referencias 69
Anexos 74
Política de Seguridad Informática para Apostar S.A.
5
Lista de Cuadros
Cuadro 1. Identificación de variable independiente 18
Cuadro 2. Identificación de variable dependiente 18
Cuadro 3. Perfil de riesgos para empresa vs índice de defensa en profundidad informe
resumido 55
Cuadro 4. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido 56
Cuadro 5. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido 57
Cuadro 6. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido 59
Cuadro 7. Materiales e Insumos 64
Cuadro 8. Viáticos 64
Cuadro 9. Papelería 65
Cuadro 10. Presupuesto Global 65
Cuadro 11. Cronograma de Actividades 66
Política de Seguridad Informática para Apostar S.A.
6
Lista de Figuras
Figura 1. Confidencialidad, integridad, disponibilidad 30
Figura 2. Relación entre políticas, normas o estándares y guía o directriz. 34
Figura 3. Ciclo de vida de la política de seguridad 36
Figura 4. Guía para la Elaboración de Políticas de Seguridad 38
Figura 5. Evolución de la Biblioteca de Infraestructura de Tecnologías de la Información
(ITIL) 44
Figura 6. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido 54
Figura 7. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido 55
Figura 8. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido 57
Figura 9. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido 58
Política de Seguridad Informática para Apostar S.A.
7
Lista de Anexos
Anexo A. Diagnóstico de Seguridad Informática Apostar S.A.pdf
Anexo B. Evaluación en Seguridad Informática Apostar S.A.pdf
Anexo C. Evaluación en Seguridad Informática Apuestas Ochoa.pdf
Anexo D. Evaluación en Seguridad Informática Asmed Salud.pdf
Anexo E. Evaluación en Seguridad Informática Oncologos de Occidente.pdf
Anexo F. Política de Seguridad Apostar S.A..pdf
Política de Seguridad Informática para Apostar S.A.
8
Resumen
El diseño de la política de seguridad informática para Apostar S.A., se realiza buscando un
objetivo principal y único que se centra en crear conciencia organizacional, en lo referente
a la protección de la información y de los datos.
La etapa inicial del proyecto se centra en la búsqueda de fuentes que permitan darle la
importancia y la relevancia a este importante tema, partiendo de la base de un diagnóstico
en seguridad que mostró varios puntos neurálgicos de urgente intervención en la empresa
impactada.
Aplicando herramientas software para evaluar el estado actual de la seguridad en
algunas empresas nacionales, regionales y locales, se establece y se confirma la falta de
prácticas seguras en el área informática y la falta de preocupación por parte de la alta
gerencia de las organizaciones para adoptar medidas al respecto.
Finalmente, se diseña una propuesta que, puesta en marcha, le ayudará a Apostar S.A.
a mejorar su protección frente a riesgos inherentes a su actividad económica y marcará la
ruta para iniciar un proyecto estructurado y que abarque todos los niveles de seguridad en la
organización.
Palabras Clave: Política, conciencia, protección, datos, seguridad, diseño, objetivo,
información, herramientas.
Política de Seguridad Informática para Apostar S.A.
9
Abstract
The design of the security policy for Apostar S.A., seeks a single primary objective, which
focuses on organizational awareness, regarding the protection of information and data.
The initial stage of the project focuses on the search for sources that allow to give the
importance and relevance to this important matter, on the basis of a security diagnosis
showed several hot spots of urgent intervention impacted the company.
Using software tools to assess the current state of security in some national, regional
and local authorities, establishing and confirming the lack of safe practices in the area of
information and lack of concern by top management of organizations to adopt an action.
Finally, we designed a proposal; its implementation will help Apostar S.A. to improve
their protection against risks inherent in their business and lead a way to start a structured
plan and cover all security levels in the organization.
Keywords: Policy, awareness, protection, data security, design, objective information
and tools.
Política de Seguridad Informática para Apostar S.A.
10
Introducción
“El único sistema verdaderamente seguro es aquel que está apagado, encerrado en un
bloque de hormigón y sellado en una habitación recubierta de plomo con guardias
armados… y aun así tengo mis dudas” (Spafford, 1989, p.110).
La seguridad en cualquier ámbito es sinónimo de confianza, certeza, convicción y es
manejada por todas las organizaciones como uno de sus procesos principales. Se asegura el
cuidado de los activos, de las instalaciones físicas, de las personas y del dinero, servicios
que son prestados generalmente, por personas o empresas externas. Pero, de manera
irónica, en el caso del software y la administración de redes, no ocurre lo mismo. No hay
políticas de seguridad claras que permitan preservar uno de los elementos más valiosos de
la organización: la información.
Se tiene la falsa sensación de dar por sentado que si nada ha fallado es porque todo está
bien; sólo cuando se presenta el inconveniente, se toman medidas. No hay una planeación
previa, no se analizan los riesgos con anticipación, no se piensa en las soluciones al
momento de afrontar un problema; en general, se tiene una seguridad ficticia en lo poco o
mucho que tenga la organización en la parte informática. De igual manera, se piensa que el
problema de seguridad es de las personas y no de las máquinas, de allí el concepto de
sensibilizar al usuario frente a las consecuencias de sus malas prácticas para proteger la
información que tienen a su cargo.
La seguridad informática, por su parte, es una práctica obligada en las organizaciones,
cuyo objetivo principal es preservar la información e impedir que sea mal utilizada. En
Política de Seguridad Informática para Apostar S.A.
11
Apostar S.A., monopolio de apuestas del departamento de Risaralda, no existe actualmente
ninguna política a seguir para cumplir con este objetivo.
Este proyecto, apoyado en un diagnóstico inicial, realizado como Proyecto de
Intervención en la Práctica Profesional, se enfocará en diseñar la política de seguridad de
esta empresa. A través de las diferentes partes del trabajo, se evidenciará la necesidad
urgente, no solo de diseñar la política, sino de implementarla con el compromiso del
personal de la organización.
Política de Seguridad Informática para Apostar S.A.
12
1. Descripción del Problema
1.1 Planteamiento del Problema
La constante necesidad de tener disponibles los mejores recursos humanos, técnicos o
tecnológicos en las organizaciones, con el fin de competir con servicio y una buena
infraestructura, ha incrementado también la utilización de aplicaciones, la adecuación de
nuevas estaciones de trabajo, así como de la vinculación del personal que las administra.
En el afán de entregar los resultados esperados, las empresas dejan de lado el análisis
de las implicaciones que puede traer consigo, una mala implantación de los procesos, al no
tener en cuenta o no aplicar la política de seguridad en la organización, que en muchos
casos, como el de Apostar S.A., ni siquiera existe.
Es común ver como varias personas que laboran en la organización manejan con
idéntica contraseña una aplicación de uso frecuente y confidencial, que tienen acceso a todo
sin excepción y que no dimensionan la delicadeza de sus contenidos. Además, no hay
respaldo de la información de cada estación de trabajo, teniendo un alto riesgo de perderse
por la misma inseguridad que se maneja en la red. Hasta el momento, no se ha cuantificado
el daño económico o de impacto organizacional que podría acarrear un manejo inadecuado
de los recursos tecnológicos y de la información en sí misma.
Actualmente en Apostar S.A, no existe un esquema de seguridad informática que
permita tener un punto de referencia ante posibles ataques informáticos o evitarlos de
alguna manera, constituyéndose cada vez en un punto neurálgico de la organización.
1.2 Formulación del Problema
¿Cómo debe diseñarse la política de seguridad informática en Apostar S.A.?
Política de Seguridad Informática para Apostar S.A.
13
¿Cómo favorece a la empresa Apostar S.A. contar con una serie de estrategias y/o
reglamentos para el acceso y protección de su información?
¿Cuáles son los puntos principales que deben ser incluidos en la política de seguridad de
Apostar S.A?
¿Existe alguna relación entre las personas involucradas, en el manejo de la información
de la empresa Apostar S.A y los incidentes informáticos que ocurren?
Política de Seguridad Informática para Apostar S.A.
14
2. Justificación
Actualmente, tanto el sector público como el privado, dependen parcialmente de sus
sistemas informáticos. Esto hace necesario que cada vez se preste mayor atención a la
disponibilidad, confidencialidad e integridad de los mismos, garantizando la continua
prestación de sus servicios, así como la certeza de tener su información segura y sus
sistemas protegidos.
Con base en lo anterior se hace necesario contar con estrategias y medidas de
seguridad de la información, para garantizar el funcionamiento adecuado de todos los
sistemas, y para que en un momento dado, se puedan aplicar los correctivos necesarios en
caso de un eventual ataque o desastre, que impliquen la pérdida de la información y los
sistemas informáticos.
Como ya ha sido citado, la empresa Apostar S.A, no cuenta con políticas claramente
definidas para el manejo de la información y de los datos, así como de sus sistemas de
información y el respaldo necesario de éstos. Es actualmente imposible afrontar los retos a
los que se ven desafiadas las organizaciones hoy por hoy, en el estado actual en el que se
encuentra esta empresa.
Este proyecto realizará un aporte valioso, al facilitar las herramientas necesarias para
proteger la información y preservarla. Pretende crear conciencia organizacional en lo que
se refiere a la seguridad de los datos y las implicaciones que conllevaría la no aplicación de
las medidas diseñadas para tal fin.
Política de Seguridad Informática para Apostar S.A.
15
3. Objetivos
3.1 Objetivo General
Diseñar la política de seguridad informática para la empresa Apostar S.A.
3.2 Objetivos Específicos
Identificar los puntos neurálgicos en la seguridad de la información, al interior de la
organización.
Determinar el estado actual de la seguridad informática al interior de Apostar S.A, con
el fin de aplicar las medidas necesarias.
Realizar un diagnóstico de la seguridad informática en Apostar S.A con el fin de
determinar los puntos críticos.
Analizar las diferentes herramientas de apoyo para formular la política de seguridad
para Apostar S.A.
Política de Seguridad Informática para Apostar S.A.
16
4. Delimitación
4.1 Espacial
El proyecto se realizará en la empresa Apostar S.A., en el Departamento de Risaralda y la
implementación quedará a su cargo. Se entregarán las recomendaciones para la puesta en
marcha y el mantenimiento de la política de seguridad.
4.2 Temporal
El proyecto se desarrollará en el año 2010.
Política de Seguridad Informática para Apostar S.A.
17
5. Planteamiento de la Hipótesis
El diseño de la política de seguridad informática logrará la protección adecuada de la
información requiriendo para ello, su implementación en la empresa Apostar, lo cual será
un compromiso de la alta gerencia.
Política de Seguridad Informática para Apostar S.A.
18
6. Identificación de variables
6.1 Variable Independiente
Cuadro 1. Identificación de variable independiente.
VARIABLE
TIPO DE
VARIABLE
OPERACIO
NALIZACIÓN CATEGORÍAS DEFINICIÓN
Política de
Seguridad Cualitativa
La presencia o
ausencia de la
política de
seguridad causa un
impacto en la
organización
Integridad
Confidencialidad
Disponibilidad
La implementación
correcta de la política
de seguridad, da
garantías de calidad
sobre la protección de
los datos
Fuente: (LÓPEZ, 2008)
6.2 Variable Dependiente
Cuadro 2. Identificación de variable dependiente.
VARIABLE
TIPO DE
VARIABLE
OPERACIO
NALIZACIÓN
CATEGORÍA
S DEFINICIÓN
Protección de la
Información Cualitativa
Con prácticas
confiables, se
garantiza la
integridad,
confidencialidad y
disponibilidad de la
información
Ataque
Vulnerabilidad
La protección de la
información debe ser un
prioridad para la
organización y por
ende, debe adoptar
medidas que garanticen
la seguridad de los
datos
Fuente:(LÓPEZ, 2008)
Política de Seguridad Informática para Apostar S.A.
19
7. Marco de Referencia
7.1 Marco Contextual
La organización que se verá impactada con este proyecto, es Apostar S.A. Es una empresa
reconocida a nivel departamental por la explotación del mercado de apuestas y juegos de
azar. Tiene una trayectoria de 20 años y en promedio tiene vinculadas a 800 personas de
manera directa, quienes son las encargadas de impulsar comercialmente los productos que
ofrece.
Con la evolución en las comunicaciones y en las tecnologías de la información, han
avanzado de igual manera las organizaciones. Las empresas de apuestas permanentes, no
son la excepción y han ido adquiriendo activos importantes en cuanto a tecnología para la
operación de sus servicios, dando un paso a la transformación de sus modelos de negocio;
ofrecen distintos servicios al público, tales como: recargas a celular, pago de servicios
públicos, recargas para el sistema integrado de transporte, giros nacionales y apuestas
permanentes, entre otros.
De esta manera al entrar en esta era tecnológica y utilizarla como un pilar fundamental
para la correcta prestación de sus servicios, se hace necesario realizar la evaluación
objetiva, en lo que se refiere al cumplimiento de lo estipulado en la trilogía básica de la
Seguridad Informática, como lo es la integridad, disponibilidad y confidencialidad de su
información y dispositivos.
Política de Seguridad Informática para Apostar S.A.
20
7.2 Marco Teórico
Es relativamente reciente la aparición de los conceptos de seguridad informática, la cual
comenzó a tomar forma en la última década, desde principios del siglo XX, en los años
cincuenta, cuando se extendió el uso de líneas telefónicas.
Estos sistemas albergaban fallos que eran explotados por intrusos que accedían
a los sistemas pudiendo desviar llamadas a su antojo, escuchar conversaciones,
etc. Los primeros denominados hackers reconocidos datan de los años sesenta.
Este término era utilizado para describir a personas obsesionadas por aprender
todo lo posible sobre los sistemas electrónicos.
En los años sesenta surge la subcultura hacker y se extiende el uso del término
phreaker, persona que vulnera la seguridad de los elementos de
comunicaciones. Llamadas gratuitas, escuchas ilegales, etc., están al alcance
de los intrusos. Los sistemas manuales para encaminar llamadas telefónicas
operados por personas han sido sustituidos por sistemas automáticos operados
por ordenadores. Dichos sistemas, basados en su mayoría en tonos
multifrecuencia, permiten nuevos ataques: el canal utilizado para comunicarse
es el mismo que se utiliza para señalizar, por lo que los intrusos, una vez
conocidas las frecuencias de señalización, emiten tonos especiales para evitar
la tarificación de llamadas, realizar desvíos, etc. En esta década se iniciaron los
primeros estudios en seguridad informática, ya centrada en el ámbito
universitario y militar, que buscaba protección a la información, así como se le
daba a la infraestructura física del organismo (Álvarez y Pérez, 2004, p.20).
Política de Seguridad Informática para Apostar S.A.
21
Los años ochenta, destacados por la aparición de Internet y la masificación de los
ordenadores personales, también fueron importantes por los desarrollos realizados en
materia de seguridad. Aparecieron los primeros programas detectores de intrusos y de
protección de la información, manejados principalmente en empresas grandes,
universidades y en la parte militar. Estas entidades se preocupaban porque sus programas
realizaran las actividades para las que fueron diseñados pero siendo vulnerables, no
dimensionaban las consecuencias que podrían traer las intrusiones o los virus, por ejemplo.
A raíz de esta preocupación general, se inició la aprobación de leyes que castigaran de
cualquier modo la intrusión a cualquier ordenador o información.
En 1987 se confirma el primer virus informático creado por Robert Morris, el cual
causó daños importantes en la red ARPANET (Advanced Research Projects Agency
Network), precursora de Internet.
En la década de los noventa ya el término hacker pasó a ser sinónimo de delincuente y
ocurrieron varios ataques informáticos importantes, entre ellos el del señor Kevin Mitnick,
quien logró robar más de 20.000 números de tarjetas de crédito, burlar la seguridad del FBI
y controlar varios centros de conmutación telefónica en los Estados Unidos, entre otras
cosas, cuando finalmente fue capturado en el año 1995.
En las empresas se empieza a manejar un departamento dedicado exclusivamente a la
Seguridad de la Información para Empresas y Particulares; aparecen los primeros firewall1
y es la puerta para iniciar el desarrollo de todas las técnicas antivirus, anti-troyanos, etc.,
conocidos hasta hoy.
1 Es un sistema diseñado para evitar accesos no autorizados desde o hacia una red privada.
Política de Seguridad Informática para Apostar S.A.
22
“En su estudio más reciente sobre este tema, el CERT (Computer Emergency
Response Team), entidad encargada de la investigación de vulnerabilidades
de seguridad en Internet y de redes interconectadas, informa que en el año
2003 se han producido más de 100.000 incidentes de seguridad y que se ha
informado de más de 3.000 vulnerabilidades. Si se comparan estos datos con
los primeros publicados en 1988, que recogían 6 incidentes y 171
vulnerabilidades, uno se puede dar cuenta de lo mucho que ha evolucionado
la seguridad informática, o inseguridad, según se mire, en los últimos 15
años.
Por su parte, el estudio sobre seguridad y crimen informático del Computer
Security Institute (CSI), arroja datos en los que se estiman las pérdidas de los
sistemas analizados en más de 141 millones de dólares por problemas de
seguridad. Esta cantidad impulsa la teoría de que en seguridad informática el
dinero siempre se gasta: o bien antes, en proteger o bien posteriormente, en
recuperar.
En el año 2003, mientras que tecnologías como cortafuegos y antivirus tiene
un despliegue cercano al 100%, la biometría, los sistemas de prevención de
intrusiones (IPS) y las infraestructuras de clave pública (PK1) están todavía
por debajo del 50%. Los sistemas para el cifrado de datos en tránsito, los
sistemas de detección de intrusiones (IDS) y las listas ACL para control de
accesos al sistema de archivos están rondando un despliegue en torno al 75%.
Estos datos facilitados por el CSI vislumbran un futuro prometedor para la
Política de Seguridad Informática para Apostar S.A.
23
seguridad informática y un largo camino por recorrer” (Álvarez y Pérez,
2004, p.21).
Como ya ha sido evidenciado, la evolución de los problemas informáticos ha sido
realmente progresiva y las organizaciones han empezado a tomar medidas al respecto.
Expertos en el tema, sugieren dividir en secciones este proceso para facilitar su
comprensión y posterior intervención, teniendo en cuenta que, de acuerdo a la historia, el
problema se fortaleció con la aparición y consolidación de Internet.
En la última década se han estado realizando diferentes estudios e investigaciones,
concernientes al ámbito de la seguridad de la información, debido a la vertiginosa
evolución tecnológica que ha tenido lugar alrededor del mundo. Es así como se han ido
desarrollando proyectos e investigaciones enfocados en varios aspectos relacionados con
esta disciplina. Sánchez y Segura (2006), en su tesis denominada “El Retorno de la
Inversión en la Seguridad Informática”, establecieron guías, modelos, estándares o
metodologías que permiten calcular los beneficios que una organización puede percibir al
realizar una inversión en el campo de la seguridad informática, pero su principal aporte es
la propuesta de un guía metodológica abierta, es decir, disponible libremente para quien
desee calcular el retorno de la inversión en este campo, al ser implementada. Para Castillo
y Romero (2008) en su proyecto “Informática Forense Orientada a Dispositivos Móviles”,
entregaron una propuesta metodológica para el análisis forense, orientado a incidentes en
dispositivos móviles; allí se evidencia como el crecimiento tecnológico, aumenta también
el riesgo y la vulnerabilidad propios de estos dispositivos.
Política de Seguridad Informática para Apostar S.A.
24
Wood (2002), define de diferentes maneras el concepto de política de seguridad,
además de entregar procedimientos claros para su elaboración y justifica infaliblemente su
importancia a nivel organizacional.
Internacionalmente, los estudios realizados en esta área se han caracterizado por el
rigor en las investigaciones y el aporte que éstos han suministrado a la disciplina en
general, aumentando cada día más el interés por parte de las organizaciones, en respaldar,
proteger e inmortalizar su valiosa información.
Este es el caso de la Norma ISO 27002, que define claramente el término seguridad de
la información, el análisis de riesgo, la revisión de requisitos y la estructura en general de
una política de seguridad, contribuyendo a la formación y a la puesta en práctica de
métodos y procedimientos que garanticen la protección de la información.
De acuerdo con lo anterior y para darle una profundidad mayor al objeto de estudio, se
hace necesario definir algunos términos relevantes:
7.2.1 Concepto de seguridad. Referirse a seguridad en cualquier ámbito sugiere un proceso
organizado para garantizar la integridad de la entidad custodiada. Es, en general,
susceptible a riesgos constantes y debe permanecer en supervisada para contrarrestarlos
antes de que se genere un perjuicio.
En otras palabras, “la seguridad es el resultado de operaciones realizadas por personas
y soportadas por la tecnología” (Canal, 2006, p.26). Siempre el ser humano debe apoyarse
en herramientas sencillas, complejas, costosas o no, para proteger sus bienes, productos o
servicios.
Política de Seguridad Informática para Apostar S.A.
25
7.2.2 Seguridad informática. Se define como la disciplina encargada de diseñar las
normas, procedimientos, métodos y técnicas, orientadas a proveer condiciones seguras y
confiables para el procesamiento de datos en sistemas informáticos.
Según Canal (2006), la definición de seguridad informática se resume en cinco
aspectos que se deben garantizar. Estos son:
Confidencialidad: Consiste en dar acceso a la información sólo a los usuarios autorizados.
Control de Accesos: Consiste en controlar el acceso a recursos de usuario autorizados.
Disponibilidad: Consiste en la posibilidad de acceder a la información o a utilizar un
servicio siempre que se necesite.
No Repudio: consiste en la imposibilidad de negar la autoría de un mensaje o información
del que alguien es autor.
Integridad: consiste en garantizar que una información o mensaje no han sido
manipulados.
Es importante tener en cuenta que seguridad no significa restricción total. Tener
contraseñas para todo o negar accesos a diestra y siniestra no garantizarán la seguridad; por
el contrario van a afectar la productividad de la organización, ya que los usuarios tendrán
que reportar fallas de acceso a sus propios programas o aplicaciones.
Implantar estos cinco aspectos genera una inversión de tiempo y dinero considerable,
por lo cual se debe evaluar inicialmente el tamaño de la organización y los recursos
disponibles. “Existe una relación estrecha entre seguridad y calidad. Cuando nuestras
expectativas se cumplen, consideramos que hay calidad” (Álvarez y Pérez, 2004, p.16). Si
la información es el activo intangible más importante de la organización y como tal se
Política de Seguridad Informática para Apostar S.A.
26
protege y se logra que no haya intrusión alguna, se puede hablar de calidad. (Álvarez y
Pérez, 2004) divide en seis partes esta disciplina.
7.2.3 Generalidades de la seguridad de la información para empresas y particulares. “La
Seguridad de la Información para Empresas y Particulares es una disciplina que se ocupa de
gestionar el riesgo dentro de los sistemas informáticos” (Álvarez y Pérez, 2004, p.2). La
palabra Riesgo es definida, según la Real Academia de la Lengua, como la posibilidad de
que algo falle. “Es una medida cuantitativa de la importancia de un incidente que es mayor
cuanto mayor es su impacto y probabilidad” (Canal, 2006, p.21).
Los riesgos no se pueden eliminar en su totalidad, pero si pueden controlarse. Para esto
es importante iniciar la planeación de un proceso completo de seguridad, desde el
diagnóstico de los riesgos y lo que implica, económicamente hablando, cada uno de ellos
para la organización, teniendo en cuenta que no es suficiente con tener instalado el mejor
antivirus o sistema de cifrado, se debe proteger el software, el hardware y la red en general,
contemplando también los riesgos que pueden surgir por parte del factor humano. Este es
un proceso que no termina y que debe estar en constante evaluación y evolución.
Todo usuario o empresa tiene la expectativa de que todo lo que haga esté correcto, que
haya garantía en cuanto a almacenamiento y a la integridad de la información que
manipula; pero ésta a su vez, puede ser blanco de fraude, ya sea por personas externas o por
los mismos usuarios de la organización.
La información puede ser manipulada de muchas maneras y todas ellas son definidas
como ataques informáticos. Puede hablarse de inserción, modificación, intercepción e
interrupción de la información, complementados con una falla provocada de hardware o
software y en todas ellas, el común denominador es beneficiar los intereses de un tercero.
Política de Seguridad Informática para Apostar S.A.
27
Las herramientas de seguridad han sido diseñadas por expertos pensando siempre en
prevenir, detectar y recuperar y es tarea del administrador de sistemas seleccionar la mejor
de cada una de ellas para garantizarla. Debe contarse con las tres a la vez, dado que no tiene
sentido solo prevenir o solo detectar o solo dedicarse a recuperar lo que se pierde.
Cada medida de seguridad que se tome debe estar totalmente contextualizada, con el
fin de evitar implantar soluciones que no satisfagan esas expectativas que se desean
cumplir. Es importante y clave también, evaluar su facilidad de adquisición y manejo,
costo, mantenimiento y operación. Analizar si es necesario que vaya combinada con un
software o hardware para garantizar los resultados esperados.
Para determinar un riesgo se puede utilizar la relación amenaza + vulnerabilidad.
Amenaza: reúne todos los componentes que pueden atacar un sistema. “Cualquier
circunstancia potencial que pueda afectar los procesos o expectativas de la organización”
(Canal, 2006, p.24).
Vulnerabilidad: punto en el que un recurso es susceptible de ataque. Al realizar esta
relación, se puede cuantificar el daño que se causaría si la amenaza cumpliera su objetivo y
obviamente sería directamente proporcional al grado de vulnerabilidad del sistema (Canal,
2006, p.24).
Malware: todo software dañino para los sistemas, englobándose dentro del término a
virus, gusanos y troyanos (Canal, 2006, p.24).
Virus: son programas normalmente dañinos que se añaden a ficheros ejecutables y
tiene la propiedad de ir replicándose por los sistemas y/o ficheros adyacentes. Los virus
informáticos pueden causar “muertes” de sistemas (Canal, 2006, p.24).
Política de Seguridad Informática para Apostar S.A.
28
Gusanos: son piezas de código que se replican por la red de forma automática, para lo
que se valen de vulnerabilidades de sistemas o del desconocimiento de los usuarios. Como
resultado del proceso de copia masivo, los gusanos pueden saturar el ancho de banda de la
red o utilizar todo el espacio de disco de un sistema, por lo que los costes de
indisponibilidad que provocan son considerables (Canal, 2006, p.24).
Troyano: son programas que poseen puertas traseras y son invocados por los intrusos”
(Canal, 2006, p.24).
7.2.4 Anonimato y privacidad. Esta parte del estudio de la Seguridad de la Información,
sugiere que el anonimato y la privacidad son términos de manejo relativo, sobre todo si se
está en entorno web. Todos piensan que al navegar por Internet se está totalmente libres de
que alguien se entere de nuestras visitas, rutinas o trámites. Se interpreta mal el término
anonimato y se piensa que se goza de privacidad.
Cualquier navegador permite guardar el rastro de todo lo que se hace en la web;
incluso a través de la dirección IP se puede rastrear una persona, a través de las cookies se
puede encontrar información personal o de contraseñas y ni hablar del historial que permite
hacer seguimiento de las páginas visitadas.
Entonces surge la pregunta: ¿Qué tan privado y tan anónimo es lo que hace cada persona?
Existen muchas maneras de contrarrestar esta amenaza constante que de manera
silenciosa se tiene en los computadores personales. Estas consisten en el manejo de proxies
para la navegación web, la protección contra cookies, el manejo del spyware2 y del correo
electrónico.
2 Es un software que recopila información de un ordenador y después transmite esta información a una entidad
externa sin el conocimiento o el consentimiento del propietario del ordenador.
Política de Seguridad Informática para Apostar S.A.
29
7.2.5 Confidencialidad, integridad, disponibilidad. Como ya fue evidenciado, varios
autores confirman que estos tres pilares son vitales en el tema de seguridad informática. Si
todos están completamente alineados y controlados, se puede decir que los datos están bien
custodiados.
Es aquí donde se introduce el término cifrado, que corresponde a aplicar algoritmos de
clave secreta que permiten guardar los datos de muchas aplicaciones accedidas por una
contraseña distinta, en una sola contraseña robusta. Los datos no podrán ser accedidos sin
ella, así tenga el atacante, acceso al disco. El manejo de contraseñas debe ser totalmente
controlado, estable y bien diseñado para que el éxito en la confidencialidad se asegure.
En cuanto a la integridad, es importante garantizar que los datos que se manipulan o
consultan estén siempre correctos y sin alteraciones. Es impedir a toda costa que personas
no autorizadas accedan a información que no les compete. Las copias de seguridad de los
datos juegan un papel vital en este punto, dado que el hecho de perder información atenta
contra la estabilidad de la organización. Existen técnicas muy bien respaldadas para tal fin.
La disponibilidad proporciona una garantía de que la información siempre será
accesible, sin interrupciones ni fallos, a cualquier hora. Es una tarea sumamente ardua,
dado que el administrador debe estar pendiente de todo lo concerniente a fallos de
hardware, suministro de energía, accidentes naturales o artificiales, de ventilación, etc., así
como de diseñar planes de contingencia ante posibles inconvenientes. En este ítem, de igual
manera, las copias de seguridad son importantes al momento de tener la necesidad de
restaurar una de ellas, por presentarse un episodio de no acceso a un recurso o programa.
En la Figura 1 puede entenderse de una mejor manera, la importancia de estos tres
pilares o fundamentos en seguridad:
Política de Seguridad Informática para Apostar S.A.
30
Figura 1. Confidencialidad, integridad, disponibilidad.
Fuente: (Guel, Michele D; SANS Institute, 2007)
7.2.6 Seguridad en las redes. Reduce toda la teoría al término firewall. Es un mecanismo
que protege a la red de intrusiones por parte de entes o personas externas a ella. El éxito de
esta práctica, se centra en la administración correcta y controlada de todos sus
componentes.
La protección no sólo debe hacerse de manera lógica, sino también física, ya que los
dispositivos que permiten la comunicación también son susceptibles de ataques.
Política de Seguridad Informática para Apostar S.A.
31
7.2.7 Protección a los equipos. Este elemento centra su atención especial hacia el
fortalecimiento en la seguridad del sistema operativo, buscando soluciones que permitan
minimizar las vulnerabilidades de cada estación de trabajo. Este proceso va muy ligado a la
política de seguridad de la organización, ya que el correcto funcionamiento y acatamiento
de ella, facilita la administración del sistema operativo y por ende de sus herramientas de
seguridad.
7.2.8 Auditoría, detección de intrusiones y análisis forense. Es el complemento perfecto
para llevar a cabo un proceso global de seguridad de la información. Es a la vez complejo,
costoso y muy pocas personas tienen acceso a él. Permite realizar una revisión mecánica,
no crítica, del manejo, administración y mantenimiento de la política de seguridad y sus
implicaciones. Se especializa en detectar intrusiones con herramientas avanzadas y analizar
desde el punto de vista forense, los ataques que se lleven a cabo, con el fin de determinar
causas, lugares y autores, con un enfoque netamente investigativo, para hallar culpables y
aplicar leyes, si existen.
Las fuentes consultadas fueron de gran utilidad para el desarrollo del proyecto, por ser
las más actualizadas y detalladas con respecto al tema. No manejan el tema de manera
global sino que dividen muy bien cada uno de los temas para facilitar el aprendizaje.
7.2.9 Política de seguridad. Una vez asimilados estos seis frentes de la seguridad
informática, según el autor, es necesario revisar distintas definiciones del término Política
de Seguridad.
La definición general de Política, según SANS3 (SysAdmin, Audit, Network Security)
es: instrucción formal, breve y de alto nivel, o plan que abarca una organización en general
3 Entidad dedicada a la certificación, entrenamiento e investigación en Seguridad.
Política de Seguridad Informática para Apostar S.A.
32
con respecto a sus creencias, metas y objetivos y un procedimiento aceptable para un área
específica. Los atributos de la política deben incluir:
La exigencia de su cumplimiento.
Su incumplimiento debe dar lugar a una acción disciplinaria.
Debe centrarse en los resultados deseados, no sobre los medios de ejecución.
Debe ser definida por las normas y directrices de la organización.
La Real Academia de la Lengua Española, entrega dos definiciones más, que
complementan el concepto de política:
Estándar o norma: Acción de obligatorio cumplimiento o regla destinada a apoyar y
ajustarse a una política. Un estándar debe hacer una política más significativa y eficaz, debe
incluir una o más especificaciones aceptadas para el hardware, software o el
comportamiento. Las normas o estándares son generalmente escritas para describir algunos
requisitos a cumplir, y pretenden explicar una acción o regla obligatoria y está escrita en
relación con una política.
Guía o directriz: Declaraciones generales, recomendaciones o instrucciones
administrativas designadas para hacer cumplir los objetivos de la política, proporcionan un
marco para dar cumplimiento a los procedimientos.
Esta guía puede cambiar frecuentemente basada en el ambiente, y debe ser revisada
con más frecuencia que las normas y políticas. Una guía no es obligatoria, más bien una
sugerencia de las mejores prácticas, por lo tanto directrices y mejores prácticas son
intercambiables.
Política de Seguridad Informática para Apostar S.A.
33
Con base en lo anterior, se puede decir que la política define el porqué, la norma o
estándar el qué y finalmente la guía o directriz el cómo (Guel, Michele D; SANS Institute,
2007).
En la Figura 2 se aprecia la relación entre políticas, normas o estándares y guía o
directriz, la guía describe las mejores prácticas en cómo hacer algo, las normas lo que son
los requisitos básicos a cumplir y las políticas describen las acciones que se requieren
tomar y porqué.
Procedimiento. Se define como una serie de medidas adoptadas para lograr un
objetivo final. Los Procedimientos definen "cómo" proteger los recursos y son los
mecanismos para hacer cumplir las políticas. Los procedimientos ayudan a eliminar los
problemas en un punto de fallo específico, por ejemplo la renuncia de un empleado o que
no esté disponible en un momento de crisis.
Los procedimientos son tan importantes como las políticas, las políticas definen que va
a ser protegido y las reglas de juego, los procedimientos describen cómo van a ser
protegidos los recursos o cómo llevar a cabo las políticas.
En lo que a impacto de las políticas se refiere, está permite evaluar los cambios
introducidos y cómo afectarán la empresa o las acciones que debe tomar la gente para estar
compatible a la política, además proporciona una razón o justificación de la actualización
de la política, o la nueva política como tal. En algunos casos esta evaluación solo es
revisada por los administradores de la seguridad en la organización.
Política de Seguridad Informática para Apostar S.A.
34
Figura 2. Relación entre políticas, normas o estándares y guía o directriz.
Fuente:(Guel, Michele D; SANS Institute, 2007)
Continuando con las diferentes definiciones de política de seguridad, se tiene de
acuerdo a Wood (2002), las políticas son definidas como:
Instrucciones gerenciales que trazan una dirección predeterminada o describen la manera
de manejar un problema o situación.
Planteamientos de alto nivel que transmiten a los trabajadores la orientación que
necesitan para tomar decisiones presentes y futuras.
Requisitos generalizados que deben ser escritos en papel y comunicados a ciertos grupos
de personas dentro, y en algunos casos fuera, de la organización.
Son obligatorias y pueden considerarse el equivalente de una ley propia de la
organización.
Por su parte, Álvarez y Pérez (2004), aseguran que “las políticas de seguridad definen
las reglas que la organización espera sean seguidas por sus miembros y las consecuencias
derivadas de no cumplirlas. Constituyen la piedra angular para la implantación de la
seguridad”.
Política de Seguridad Informática para Apostar S.A.
35
"Aunque nos encantaría que fuese de otra manera, las políticas simplemente no pueden
sacarse de un estante, redactarse, aprobarse mediante un fácil proceso burocrático y
emitirse, sino que deben adaptarse a las necesidades específicas de cada organización"
(Wood, 2002).
"Una política de seguridad de la información completa y sólida suele comprender tres
tipos de políticas de seguridad:
Política de Seguridad de la Información a nivel empresarial (Enterprise
Information Security Policy o EISP): cubre aspectos de interés para toda la
empresa. Es la primera en crearse. A partir de ella se van elaborando las
demás centradas en resolver problemas específicos. La política no debe
experimentar cambios frecuentes, pues perdería credibilidad, debe ser
firmada por la alta dirección y estar en consonancia con la estrategia
general de la organización.
Políticas de seguridad de asuntos específicos (Issue-Specific Security
Policy o ISSP): se ocupa de asuntos específicos, como un determinado
servicio de red, departamento o función, que no atañe a la organización en
su conjunto. Normalmente constituyen una guía detallada para instruir a
todo el personal en el uso de sistemas basados en la tecnología. Su
propósito no es perseguir las acciones de los usuarios sino sentar las bases
de lo que considera un uso adecuado e inadecuado de la tecnología.
Pueden cubrir temas como uso del correo electrónico, uso de la navegación
web, uso de fotocopiadoras e impresoras, uso del teléfono, uso de recursos
de la empresa en el hogar, etc.
Política de Seguridad Informática para Apostar S.A.
36
Políticas de Seguridad de sistemas específicos (System-SpecificPolicy o
SysSP): se concentran en sistemas individuales o tipos de sistemas y
prescriben el hardware y software aprobados, delinean métodos para
fortalecer un sistema o especifican los tipos de cortafuegos u otras medidas
de control. Normalmente funcionan como estándares o procedimientos a la
hora de configurar o mantener sistemas." (Álvarez y Pérez, 2004, p.39)
El Instituto norteamericano SANS (SysAdmin, Audit, Network Security) la define
como una instrucción formal, breve y de alto nivel o plan que abarca a una organización en
general, con respecto a sus creencias, metas, objetivos; como un procedimiento aceptable
para un área específica. Además, sugiere un ciclo de vida de la política de seguridad, el
cual se visualiza y se explica en la Figura 3.
Figura 3. Ciclo de vida de la política de seguridad.
Fuente: (Guel, Michele D; SANS Institute, 2007)
Política de Seguridad Informática para Apostar S.A.
37
Se comienza en la esquina superior izquierda con la revisión de la política si ya existe,
con el fin de actualizarla o crear una nueva.
Para ambos casos, el documento pasa a ser revisado por expertos en la materia como
se muestra en la Figura 3 (SME "Subject Matter Experts" Review). En el proceso de
revisión de la política muchas veces se ven involucradas diferentes partes de la
organización como recursos humanos y legales, además del equipo de seguridad de la
empresa.
Una vez que la política ha sido revisada por los diferentes departamentos, debe ser
aprobada por un comité directivo para posteriormente ser publicada en el sitio web interno
de la organización y comunicarla a la comunidad de usuarios. En el caso de organizaciones
globales, se hace necesario traducirla a diferentes idiomas, además de transmitirla a
proveedores y socios. En este punto se inicia el proceso de implantación, donde juega un
papel muy importante la planificación.
"Es importante resaltar que una política de seguridad tiene un ciclo de vida completo
mientras está vigente. Este ciclo de vida incluye un esfuerzo de investigación, la labor de
escribirla, lograr que las directivas de la organización la acepten, conseguir que sea
aprobada, lograr que sea diseminada a través de la empresa, concienciar a los usuarios de la
importancia de la política, conseguir que la acaten, hacerle seguimiento, garantizar que esté
actualizada y, finalmente, suprimirla cuando haya perdido vigencia. Si no se tiene en cuenta
este ciclo de vida se corre el riesgo de desarrollar políticas que sean poco tenidas en cuenta,
incompletas, redundantes, sin apoyo por parte de los usuarios y las directivas, superfluas o
irrelevantes" (Universidad Nacional de Colombia, 2003).
Política de Seguridad Informática para Apostar S.A.
38
De acuerdo con lo anterior, la Guía para la Elaboración de Políticas de Seguridad,
emitida por la Universidad Nacional de Colombia en el año 2003, sugiere un conjunto de
etapas necesarias y básicas para iniciar el desarrollo de la política de seguridad informática:
Como puede evidenciarse, la elaboración de una política de seguridad no puede ser un
proceso acelerado, sin seguimiento, sin control. Debe ser una práctica organizada y
secuencial que garantice la calidad de su contenido y de la ejecución de sus distintas etapas.
Es en este punto, donde el término planificación debe ser aplicado.
Figura 4. Guía para la Elaboración de Políticas de Seguridad.
Fuente: Universidad Nacional de Colombia. Guía para la Elaboración de Políticas de
Seguridad, 2003.
7.2.10 Planificación del proceso de seguridad informática. "Cuando se improvisa sobre la
marcha, se va reaccionando a las amenazas según éstas se presentan" (Álvarez y Pérez,
2004).
El hecho de tomar medidas seguras solo cuando ocurre un evento desafortunado,
muestra la falta de compromiso, de planeación y de desorden. Si bien se van corrigiendo
falencias, difícilmente se llegará a proteger de manera integral la información.
Política de Seguridad Informática para Apostar S.A.
39
Es por esto que un componente clave para la buena marcha del negocio es la
planificación. Para un adecuado diseño y planificación de una política de seguridad
informática, es importante contar con una metodología a seguir, que de acuerdo a las
posibilidades y al tipo de organización a impactar, sea adecuada y vaya acorde con los
objetivos de la misma.
Partiendo de esta premisa, (Álvarez y Pérez, 2004), destacan algunos conceptos
fundamentales de este importante proceso:
La planificación estratégica: Se realiza en los niveles directivos más altos y se ocupa
de los objetivos a largo plazo de la organización, normalmente cinco o más años y se centra
en objetivos específicos de seguridad de la información.
La planificación táctica: Se deriva de la planificación estratégica y se centraliza en
unos objetivos más concretos y en el corto plazo, con fechas fijadas para su consecución.
Ejemplo: "Todo el personal de la empresa debe recibir formación y concienciación en
seguridad".
La planificación operativa: Se deriva de los planes tácticos y se encarga de organizar
las tareas del día a día; incluye objetivos como la selección, configuración y despliegue de
herramientas para la seguridad como un ejemplo. De esta manera, se va dando forma
concreta a los objetivos tácticos (Álvarez y Pérez, 2004).
Para una correcta planificación, es importante adoptar una metodología a seguir; es
importante evaluar una serie de propuestas internacionales en el contexto de la seguridad de
la información, que permita detectar la más adecuada para ser aplicada a la organización.
Al seguir un marco internacional que defina las mejores prácticas relacionadas con la
seguridad de la información y el gobierno de TI, se garantiza una calidad y confiabilidad en
Política de Seguridad Informática para Apostar S.A.
40
los estándares adoptados, pero esté debe ser consistente con el marco de control y la gestión
de riesgos de la empresa, apropiada para ella e integrada con otras metodologías y prácticas
que estén siendo utilizadas.
De acuerdo con él (ITGI (IT Governance Institute), 2007), "Los estándares y las
mejores prácticas no son una panacea; su efectividad depende de cómo se implementan y
mantienen. Estas son mucho más útiles cuando son aplicadas como un bloque de principios
y como un punto de partida para adaptar procedimientos específicos. Para evitar prácticas
que nunca se pongan en ejecución („shelfware‟), la dirección y el staff deben entender lo
que hay que hacer, cómo hacerlo y porqué es importante hacerlo."
Además teniendo en cuenta la estrategia de las empresas hoy por hoy, el uso de las
tecnologías de información se ha convertido en un factor crítico para el negocio.
"El uso de las Tecnologías de la Información (TI) tiene el potencial para ser el mayor
impulsor de riqueza económica en el siglo 21. Además de que TI ya es crítica para el éxito
empresarial, proporciona oportunidades para obtener una ventaja competitiva y ofrece
medios para incrementar la productividad, e incluso hará aún más en el futuro.
TI también implica riesgos. Es evidente que en estos días de negocios globales, la caída
de los sistemas y las redes puede resultar muy costosa para cualquier empresa. En algunas
industrias, TI es un recurso competitivo necesario para diferenciarse y obtener una ventaja
competitiva, mientras que en otras, no sólo determina la prosperidad sino la supervivencia".
ITGI, “Board Briefing on IT Governance”, 2nd Edition, USA, 2003 (Citado por ITGI y
OGC, 2008)
7.2.11 Marcos para la definición de políticas. En este proyecto se presentan algunos
marcos para la definición de políticas, entre ellos están: COBIT e ITIL, ISO27000, SSE-
Política de Seguridad Informática para Apostar S.A.
41
CMM; se identifican los recursos requeridos y criterios propuestos en cada uno de ellos,
para determinar al final, cuál es el más apropiado para su formulación y posterior diseño al
interior de Apostar S.A.
COBIT. Cobit (Control Objectives for Information Systems and related Technology),
“Objetivos de Control para los Sistemas de Información y la Tecnología Relacionada”
Es un modelo para el gobierno de la TI desarrollado por la ISACA (Information
Systems Audit and Control Association) y el IT Governance Institute (ITGI). Este modelo,
representa el esfuerzo de cientos de expertos voluntarios alrededor del mundo, tiene 34
objetivos de alto nivel y objetivos secundarios clasificados en cuatro dominios.
Las organizaciones actuales dependen en gran parte de las TI para cumplir sus
objetivos misionales, así como las necesidades del negocio. Para que esto ocurra de una
manera eficiente y controlada, la empresa debe asegurar que sus procesos y servicios:
Satisfacen la necesidad de la empresa y sus usuarios
Cumple con la legislación
Se asignan y entregan de manera eficaz y eficiente
Se revisan y mejoran de manera continua
La misión de COBIT es investigar, desarrollar, hacer público y promover un marco de
control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la
adopción por parte de las empresas y el uso diario por parte de gerentes de negocio,
profesionales de TI y profesionales de aseguramiento. (Consultado el 10 de Octubre, 2010.
En: www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf)
COBIT permite de acuerdo a normas técnicas internacionales, un conjunto de mejores
prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI, necesarias para
Política de Seguridad Informática para Apostar S.A.
42
alinear el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir
el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la
organización.
"Debido a que COBIT es un conjunto de herramientas y técnicas probadas y aceptadas
internacionalmente, su implementación es una señal de buena gestión en una organización.
Se pueden esperar resultados como los siguientes al adoptar COBIT:
Los gerentes y el staff4 de TI entenderán totalmente como es que el negocio y TI pueden
trabajar en forma conjunta para la entrega exitosa de las iniciativas de TI.
TI entregará proyectos de mejor calidad y más exitosos.
Los requisitos de seguridad y privacidad serán más claros y la implementación será
monitoreada con mayor facilidad.
Los riesgos de TI serán gestionados con mayor eficacia.
Las auditorías serán más eficientes y exitosas.
El cumplimiento de TI con los requisitos regulatorios serán una práctica normal de
gestión" (Consultado el 10 de Octubre, 2010. En:
(http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-Cobit-4.1,-
ITIL-v3-y-ISO-27002-en-beneficio-de-la-empresa-v2,7.pdf, p.13)
Este marco permite a cualquier empresa que lo adopte, ajustar sus objetivos misionales
y dirigir de una manera óptima el uso de TI, permite además la definición de un plan
estratégico para definición de arquitectura, adquisición de hardware y software necesario
para asegurar la continuidad del negocio.
4 Conjunto de personas que, en torno y bajo el mando del director de una empresa o institución, coordina su
actividad o le asesora en la dirección
Política de Seguridad Informática para Apostar S.A.
43
Cobit abarca un área amplia en la estrategia del negocio, pasando por todos los
departamentos de la organización e involucrando a todos y cada uno de ellos, como
consecuencia de ello se identifican los puntos neurálgicos en la organización y se gestionan
los riesgos y las vulnerabilidades de una manera más eficiente.
ISACA es el proveedor líder mundial de conocimiento, certificaciones, comunidad,
apoyo y educación en seguridad y aseguramiento de sistemas de información, gobierno
empresarial de TI y riesgos y cumplimiento relacionados con la TI. (Consultado Octubre
10, 2010 En: http://www.isaca.org/spanish/Pages/default1.aspx).
El IT Governance Institute (Instituto de Gobierno de TI) (ITGI) es un organismo
independiente de investigación, sin fines de lucro, que provee guía para la comunidad
global de negocios en asuntos relacionados con el gobierno de los activos de TI. El ITGI
fue establecido por la asociación sin fines de lucro ISACA en 1998. (Consultado Octubre
10, 2010. En: http://www.isaca.org/spanish/Pages/default1.aspx)
ITIL
"Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la
Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de
Servicios Informáticos" (Consultado Octubre 10, 2010. En:
(http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que
_es_ITIL/que_es_ITIL.php)
ITIL es un marco de trabajo público que describe las mejores prácticas en la
administración de servicios de TI, provee un marco de trabajo para el gobierno de TI y se
enfoca en la continua medición y el continuo mejoramiento de la calidad de los servicios
entregados (Mayorga, VIII Jornada Nacional de Seguridad Informática ACIS).
Política de Seguridad Informática para Apostar S.A.
44
Fue desarrollada ya que las organizaciones dependen cada vez más de la informática
para alcanzar sus objetivos corporativos.
"ITIL intenta respaldar mas no fijar los procesos de negocio de una organización".
(Consultado Octubre 10, 2010. En: http://www.isaca.org/Knowledge-
Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO-27002-en-beneficio-de-
la-empresa-v2,7.pdf)
Con base en lo anterior, ITIL brinda una orientación a nivel organizacional bajo, y
resume un extenso conjunto de procedimientos de gestión con el fin de ayudar a las
organizaciones a lograr la calidad y eficiencia en todo tipo de operaciones alrededor de TI.
En la Figura 5 se aprecia la evolución que ha tenido ITIL con el paso del tiempo, para
una correcta estructuración de su estrategia:
Figura 5. Evolución de la Biblioteca de Infraestructura de Tecnologías de la Información
(ITIL).
Fuente: (Mayorga, VIII Jornada Nacional de Seguridad Informática ACIS, 2007)
Política de Seguridad Informática para Apostar S.A.
45
En su última versión, ITIL ha pasado de ser un marco de trabajo basado en procesos, a
una estructura integral que refleja el ciclo de vida de los servicios de TI.
Soporte ITIL a la seguridad de la información
“ITIL busca alinear los objetivos de seguridad de TI, con los objetivos de seguridad del
negocio, para poder asegurar la denominada trilogía de la seguridad, además de la
autenticidad y fiabilidad de la información, para así garantizar la continuidad y protección
de la información y contribuir a minimizar el daño al servicio por fallas de seguridad”
(Mayorga, VIII Jornada Nacional de Seguridad Informática ACIS, 2007)
Permite administrar la continuidad y disponibilidad del negocio, permitiendo así
reducir costo y tiempo en caso de sufrir una catástrofe. También brinda soporte a la
administración de acceso por parte de los usuarios, verificando la autenticidad y los
derechos de los mismos.
ITIL es un marco válido para aquellas empresas que requieran alinear todos los
procesos y el ciclo de vida del negocio, permitiendo direccionar los objetivos hacia la
optimización de la estructura organizacional, y como tal se debe tener en cuenta el tiempo
necesario para su correcta implantación ya que se deben revisar todos los procesos que se
ven involucrados en dicha propuesta. (Office of Government Commerce.ITIL Refresh
Statement. Consultado Octubre 10, 2010. En: http://www.itil.co.uk/refresh.htm).
ISO 27000
"El marco IT Security Code of Practice, desarrollado inicialmente con la ayuda de la
industria, se convirtió en BS 7799 y luego en ISO/IEC 17799, y ahora, en ISO/IEC 27002,
el primer estándar internacional de gestión de seguridad" ( ITGI y OGC, 2008).
Política de Seguridad Informática para Apostar S.A.
46
En sus primeras versiones, desarrolladas por la British StandardsInstitution (BSI), la
BS 7799-1:1999 abarcaba un código de buenas prácticas para la gestión de la seguridad de
la Información así como una serie de especificaciones con guías para su uso.
Así pues, fue publicada la primera versión en el año 2000, con posterior actualización
en 2005, posteriormente se utilizó el término ISO/IEC 27002 para describir lo que en la
actualidad son dos documentos diferentes:
ISO/IEC 17799 (ahora renombrada como ISO 27002, (Consultada Octubre 10, 2010. En:
www.iso.org/ISO/iso_catalogue/catalogue_tc/catalogue_detail. Htm?csnumber = 50297).
Un conjunto de controles de seguridad (un código de práctica).
ISO/IEC 27001 (Consultada Octubre 10, 2010. En:
www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103,
anteriormente, BS7799‐2). Una especificación estándar para un sistema de gestión de
seguridad de información (SGSI). (ITGI y OGC, 2008).
El objetivo principal de la norma ISO/IEC 27002:2005 es brindar información a los
responsables de la implementación de seguridad de la información de una organización. Se
constituye como una de las mejores prácticas actuales en materia de normas de seguridad y
prácticas de gestión en una organización.
En este marco se definen las estrategias de 133 controles de seguridad organizados
bajo 11 dominios, en el que se destaca la gestión del riesgo, aclarando que no es
completamente necesario aplicar cada parte, sino aquellas que se consideren relevantes. La
norma posee una serie de requisitos rectores de los que se debe partir para la
implementación de la seguridad de la información y las mejores prácticas generalmente
aceptadas, entre ellas se encuentran:
Política de Seguridad Informática para Apostar S.A.
47
Requisitos Legales
La protección y la no divulgación de datos personales.
Protección de la información interna.
Protección de los derechos de propiedad intelectual.
Mejores Prácticas
La política de seguridad de la información.
Asignación de la responsabilidad de seguridad de la información.
Escalamiento de problemas.
Gestión de la continuidad del negocio.
Cuando se implementa un sistema de gestión de seguridad de la información, se deben
considerar varios factores críticos de éxito:
La política de seguridad, sus objetivos y actividades deberían reflejar los objetivos de
negocio.
La implementación debería considerar los aspectos culturales de la organización.
Se requiere un abierto apoyo y el compromiso de la alta dirección.
Se requiere un conocimiento exhaustivo de los requisitos de seguridad, evaluación del
riesgo y gestión del riesgo.
El marketing efectivo de la seguridad debe dirigirse a todo el personal, incluidos los
miembros de la dirección.
La política de seguridad y las medidas de seguridad deben ser comunicadas a terceros
contratados.
Los usuarios deben ser capacitados en forma adecuada.
Política de Seguridad Informática para Apostar S.A.
48
Se debería disponer de un sistema integral y balanceado para la medición del
desempeño, que apoye la mejora continua de suministro de información. (ITGI y
OGC, 2008)
Teniendo en cuenta lo anterior, se puede apreciar el énfasis de la norma en las políticas
de seguridad de la organización como uno de los principales factores a tener en cuenta, así
como la gestión del riesgo y los planes de continuidad del negocio.
SSE-CMM
El SSE-CMM (Systems Security Engineering Capability Maturity Model) o (Modelo
de Madurez de Capacidades en la Ingeniería de Seguridad de Sistemas), es un modelo de
referencia de procesos que se centra en los requisitos para la implementación de la
seguridad en un sistema. Ha sido desarrollado por la "International Systems Security
Engineering Association (ISSEA)", organización sin ánimo de lucro patrocinada por un
buen número de compañías dedicadas a la seguridad de sistemas.
Su intención, es que la organización haciendo uso del modelo SSE-CMM debe utilizar
sus procesos existentes, para que basados en ellos se orienten hacia la ITS (Information
Technology Security) o (Seguridad de las tecnologías de la información), el ámbito de
aplicación abarca:
El sistema de actividades de ingeniería de seguridad, de un producto seguro o de un
sistema de confianza, abordando el ciclo de vida completo: definición del concepto,
análisis de requerimientos, diseño, desarrollo, integración, instalación, operación,
mantenimiento y puesta a punto final.
Política de Seguridad Informática para Apostar S.A.
49
Requisitos para los desarrolladores de producto, desarrolladores e integradores de
sistemas seguros, organizaciones que prestan servicios de seguridad informática y la
ingeniería de seguridad informática.
Se aplica a todo tipo y tamaño de organizaciones de ingeniería en seguridad comercial
del gobierno y de la academia (Model Description Document Version 3.0, 2003)
El documento general consta de 7 capítulos: Introducción, conceptos de CMM,
Arquitectura del modelo, usando SSE-CMM, prácticas generales, prácticas de seguridad de
base, proyecto y prácticas de la organización de base, además de un apéndice de referencia
rápida.
Este es un modelo enfocado a evaluar la capacidad de seguridad en ingeniería, pero
esto no implica que se aplique de forma aislada de otras disciplinas, al contrario SSE-CMM
promueve la integración teniendo como base que la seguridad es un fenómeno generalizado
a todas las áreas o disciplinas por ejemplo: sistemas, software, hardware, su característica
principal es "Coordinar las prácticas de Seguridad" e integrarlas con todas las disciplinas y
grupos que participan en un proyecto o una organización.
En el contexto de la Ingeniería de Seguridad, se debe tener en cuenta que esta
disciplina ha cobrado mayor importancia ya que con la creciente dependencia de la
sociedad de la información, la protección de dicha información es cada vez más importante.
El enfoque de la ingeniería de seguridad se ha ampliado para la salvaguarda de procesos tan
importantes como: Datos clasificados del gobierno, transacciones financieras, acuerdos
contractuales entre otras, tendencias que han elevado la importancia de la ingeniería de
seguridad.
Política de Seguridad Informática para Apostar S.A.
50
De acuerdo al SSE-CMM, este modelo es aplicable a una gran variedad de
organizaciones que quieran practicar la ingeniería de seguridad en su equipo de desarrollo
ya sea para programas como software de sistemas operativos, administración de seguridad
y cumplimiento de funciones. Y algunas de estas organizaciones se ocupan en cuestiones
de alto nivel (por ejemplo considerar el uso de la arquitectura del S.O) mientras que otras se
centran en los temas de bajo nivel (por ejemplo un mecanismo de selección de diseño), es
decir las organizaciones se pueden especializar en un determinado tipo de tecnología, o en
un contexto especial (ejemplo: el mar).
El SSE-CMM está diseñado para este tipo de organizaciones, la organización debe
analizar las diferentes relaciones entre las diferentes prácticas dentro del modelo para poder
así determinar su aplicabilidad.
7.2.12 La seguridad informática en este entorno. Con el apoyo de una herramienta de
evaluación en el área de seguridad informática creada por Microsoft, llamada Microsoft
AssesmenteTool (MSAT), en su versión de prueba, se realizó un diagnóstico en dos
empresas de apuestas de Colombia, en cuatro empresas ubicadas en la ciudad de Pereira y
por supuesto, en la empresa objeto de estudio: Apostar S.A., con el fin de contextualizar el
problema de la seguridad informática, a nivel empresarial.
El aplicativo en mención clasifica y centra la seguridad informática en 4 niveles dentro
de la organización, como son:
Infraestructura: Estado de la organización en su infraestructura de red y hardware en
general. Evalúa la defensa del perímetro, la autenticación y la gestión, el control y el
mantenimiento.
Política de Seguridad Informática para Apostar S.A.
51
Aplicaciones: Estado de la organización con respecto al manejo de las aplicaciones y a
su disponibilidad. Evalúa la implementación y su uso, la seguridad en el diseño de
aplicaciones y el almacenamiento y comunicación entre los datos.
Operaciones: Valora las prácticas de funcionamiento y las normas que sigue la
organización para aumentar las estrategias de defensa en profundidad. Evalúa la directiva
de seguridad, la gestión de actualizaciones y revisiones, además de las políticas para copias
de seguridad y su posterior recuperación.
Personal: Valora las prácticas organizacionales encaminadas a socializar las prácticas
de seguridad informática con sus empleados, así como evaluar el grado de conocimiento y
de formación de cada uno de ellos.
Aproximadamente en 40 minutos puede obtenerse un informe completo sobre el estado
actual de la organización, conocer los riesgos más representativos, obtener
recomendaciones y determinar así su plan a seguir para contrarrestar las amenazas
encontradas. Está dirigido a los responsables de TI para dar visión de los niveles de
seguridad globales de la empresa.
Valora dos aspectos importantes que son visualizados gráficamente en el informe, como
son:
BRP = Medición del riesgo (RIESGO)
DIDI = Medición de las defensas de seguridad (DEFENSA)
7.2.13 Interpretación del gráfico perfil de riesgo vs índice de defensa. Se tiene en cuenta lo
siguiente:
La puntuación del BRP va de 0 a 100. Una puntuación más alta significa un riesgo
posible aumentado al que está expuesta su empresa en esta área de análisis. Es
Política de Seguridad Informática para Apostar S.A.
52
importante tener en cuenta que una puntuación de 0 no es posible; dedicarse a una
actividad comercial siempre implica un nivel de riesgo. También es importante
comprender que hay riesgos comerciales que no se pueden mitigar directamente.
DIDI también tiene una puntuación de 0 a 100. Una puntuación más alta significa un
entorno donde han tomado más medidas para implementar estrategias de DiD en el área
de análisis específica. La puntuación DIDI no indica la eficacia general de la seguridad
ni siquiera la cantidad de recursos para la misma, sino que cuantifica la estrategia global
que se utiliza para defender el entorno.
En principio, una puntuación baja del BRP y alta del DIDI parecería un buen resultado,
pero no siempre es así. Está fuera del ámbito de la presente autoevaluación tener en
cuenta todos los factores. Una disparidad significativa entre la puntuación del BRP y la
del DIDI para un área de análisis específica significa que se recomienda una revisión del
área. Cuando analice sus resultados, es importante tener en cuenta las puntuaciones
individuales, tanto de BRP como de DIDI, y cómo se relacionan entre sí. Un entorno
estable probablemente tendría como resultado puntuaciones iguales en todas las áreas.
Disparidades entre las puntuaciones DIDI son un indicio de una estrategia general de
seguridad concentrada en una sola técnica de mitigación. Si la estrategia de seguridad no
abarca el personal, los procesos ni la tecnología, el entorno estará expuesto a un mayor
riesgo de ataque.
Por lo general, es mejor contar con una calificación de DIDI del mismo nivel que otra de
BRP para la misma categoría. Un desequilibrio, ya sea dentro de una categoría o entre
categorías, en cualquier dirección, puede indicar la necesidad de volver a alinear sus
inversiones de TI.
Política de Seguridad Informática para Apostar S.A.
53
Finalmente, MSAT permite realizar nuevamente la encuesta, con el fin de comparar en
un lapso de tiempo, seleccionado por el profesional de TI, su estado con respecto al informe
anterior y evaluar si fue eficiente al contrarrestar los riesgos encontrados.
Política de Seguridad Informática para Apostar S.A.
54
8. Evaluaciones Realizadas
8.1 A Nivel Nacional
APUESTAS OCHOA S.A.
Empresa de apuestas permanentes del departamento de Quindío
Figura 6. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido.
Fuente: Microsoft Assesment Tool
En esta empresa, a nivel de aplicaciones, existe el nivel ideal, riesgo vs protección, que
es en últimas el resultado que debería darse en todos los frentes. Se evidencia una
protección mayor con respecto al riesgo en la parte de Infraestructura y de Operaciones y
una protección mínima frente a un gran riesgo en la parte del personal.
Sin embargo, a nivel general, las prácticas utilizadas en el área de seguridad en esta
empresa, están bien orientadas. Debe revisarse la parte de recomendaciones del informe
completo para ajustar las políticas y obtener la eficiencia en este importante proceso.
Política de Seguridad Informática para Apostar S.A.
55
Cuadro 3. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido.
Fuente: Fuente: Microsoft Assesment Tool
Confirmando lo expuesto anteriormente, se evidencia la necesidad de intervenir en el
área de personal, de manera prioritaria y en general, la madurez de la seguridad debe
mejorarse hasta llegar a la estabilidad de la misma.
8.2 Empresas Locales
ASMET SALUD EPS
Entidad de Salud del Régimen Subsidiado, ubicada en la ciudad de Pereira, con cobertura
nacional.
Figura 7. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido.
Fuente: Fuente: Microsoft Assesment Tool
Política de Seguridad Informática para Apostar S.A.
56
Como es evidente, en esta empresa, la defensa contra los riesgos probables es alta, lo
cual puede sugerir que hay demasiadas restricciones en el área de seguridad y que el nivel
de riesgo no amerita un programa tan riguroso de seguridad. Se ve por ejemplo como el
riesgo en el personal está en un 22% aproximadamente y la defensa está a un 63%
aproximadamente.
Cuadro 4. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido.
Fuente: Fuente: Microsoft Assesment Tool
En el Cuadro 4 la interpretación se realiza simulando un semáforo. Donde lo que se
encuentra en rojo, requiere intervención urgente; el amarillo indica que debe revisarse por
precaución y el verde indica que se encuentra en un nivel adecuado. Como ya se explicó en
el Cuadro 4, en el área de Operaciones y de Personal, la defensa vs riesgo es demasiado
alta.
ONCÓLOGOS DEL OCCIDENTE
Empresa del sector de la salud, ubicada en el Departamento de Risaralda.
Política de Seguridad Informática para Apostar S.A.
57
Figura 8. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido.
Fuente: Fuente: Microsoft Assesment Tool
La Figura 8 evidencia el riesgo mínimo que tiene la empresa en sus cuatro frentes y
como se protege de manera excesiva. Se ve por ejemplo que el riesgo en la parte de
infraestructura está en un 11% aproximadamente y la protección sobre ella está a un 80%,
lo cual es exagerado y tiende a restringir más de la cuenta el acceso a este frente.
Cuadro 5. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido.
Fuente: Fuente: Microsoft Assesment Tool
El Cuadro 5 confirma la información general del diagnóstico dado por la herramienta.
La defensa ante los riesgos debe revisarse por estar sobre elaborada y en verde se ve la
Política de Seguridad Informática para Apostar S.A.
58
madurez en seguridad. Debe existir un equilibrio entre ambas (riesgo y defensa) para que el
plan de seguridad sea exitoso.
8.3 Empresa objeto de estudio
APOSTAR S.A.
Empresa de apuestas permanentes del departamento de Risaralda.
Figura 9. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido.
Fuente: Fuente: Microsoft Assesment Tool
Como se visualiza en la Figura 9, en Apostar S.A. la defensa contra los riesgos
probables es mínima en términos generales. La parte de infraestructura está protegida con
respecto a los riesgos, aunque no se nota un equilibrio entre la protección y el riesgo. Es
por esta razón que se debe prestar especial atención al área de Aplicaciones, Operaciones y
el Personal.
En conjunto, representan los puntos neurálgicos que se definieron y es donde debe
centrarse el diseño de la política de seguridad informática, que sin lugar a dudas, debe
contar con la total participación del personal de la organización.
Política de Seguridad Informática para Apostar S.A.
59
Cuadro 6. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe
resumido.
Fuente: Fuente: Microsoft Assesment Tool
El Cuadro 6 confirma los resultados del diagnóstico y del análisis del riesgo contra su
defensa.
En conclusión, con respecto a empresas que explotan la misma actividad económica, es
la que requiere intervención urgente previendo posibles ataques premeditados o
accidentales que puedan ir en detrimento de los objetivos organizacionales.
Política de Seguridad Informática para Apostar S.A.
60
9. Modelo Teórico
El diagnóstico en el área de seguridad informática, realizado en Apostar S.A., como punto
de partida y aporte vital al proyecto, muestra como resultado una marcada amenaza contra
los tres pilares fundamentales de la seguridad: confidencialidad, integridad y
disponibilidad.
Se detectaron cuatro puntos neurálgicos que requieren intervención inmediata,
enfocados sobre todo a la seguridad lógica, más que a la física y con urgencia en la parte
administrativa de la organización. Estos son:
Manejo de Contraseñas.
Manejo de Perfiles de Usuario.
Estandarización de procesos para la administración de hardware y software
Manejo de Backups.
Se realizaron las recomendaciones respectivas, entre las cuales estaba la de diseñar la
política de seguridad, la cual debe ser de carácter particular y que le dé cobertura a los
puntos más críticos.
Fue así como se decidió tomar como referente bibliográfico la norma ISO 27000 y el
libro “Políticas de Seguridad Informática-Mejores Prácticas Internacionales, escrito por
Charles Cresson Wood en su versión 9.0, con el fin de delimitar el objeto de estudio y
encontrar un modelo teórico que se ajustara a las necesidades de la organización.
De acuerdo a las propuestas mundiales ya estudiadas, se destaca la importancia de
Norma ISO 27000, porque permite tener en cuenta aspectos como la gestión del riesgo, las
políticas de continuidad del negocio, así como las mejores prácticas reconocidas
Política de Seguridad Informática para Apostar S.A.
61
internacionalmente en materia de gestión de la seguridad de la información. Textualmente,
su alcance se cita a continuación con su correspondiente traducción:
“This International Standard establishes guidelines and general principles for initiating,
implementing, maintaining, and improving information security management in an
organization. The objectives outlined in this International Standard provide general
guidance on the commonly accepted goals of information security management.
The control objectives and controls of this International Standard are intended to be
implemented to meet the requirements identified by a risk assessment. This International
Standard may serve as a practical guideline for developing organizational security
standards and effective security management practices and to help build confidence in
inter-organizational activities”. (Norma ISO 27002, p. 16).
“Este Estándar Internacional establece los lineamientos y principios generales para
iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en
una organización. Los objetivos delineados en este Estándar Internacional proporcionan un
lineamiento general sobre los objetivos de gestión de seguridad de la información
generalmente aceptados.
Los objetivos de control y los controles de este Estándar Internacional son diseñados
para ser implementados y satisfacer los requerimientos identificados por una evaluación del
riesgo. Este Estándar Internacional puede servir como un lineamiento práctico para
desarrollar estándares de seguridad organizacional y prácticas de gestión de seguridad
efectivas y para ayudar a elaborar la confianza en las actividades inter-organizacionales”.
(Norma ISO 27002, p.16)
Política de Seguridad Informática para Apostar S.A.
62
Este alcance y la estructura de la norma en su totalidad, aunque amplia, son
compatibles con los objetivos del presente proyecto, concluyendo así que es la metodología
más apropiada para desarrollar la política de seguridad de Apostar S.A.
Por su parte, las recomendaciones puntuales y modelos a seguir en el Libro “Políticas
de Seguridad Informática-Mejores Prácticas Internacionales, escrito por Charles Cresson
Wood, facilitarán el cumplimiento del objetivo general del proyecto, al dividir claramente
los aspectos primordiales a tener en cuenta al diseñar una política de seguridad y cómo cada
uno de ellos juega un papel importante en la seguridad de la información.
El aporte práctico de los autores para el proyecto se centra en facilitar las herramientas
teóricas necesarias para proteger la información y preservarla, así como de sensibilizar a la
alta gerencia para estimular su implementación y contribuir así con el inicio de un proceso
vital para cualquier organización, como lo es la seguridad informática. Se pretende crear
conciencia organizacional en lo que se refiere a la seguridad de los datos y las
implicaciones que conllevaría la no aplicación de las medidas diseñadas para tal fin.
La política será entregada a la Gerencia General de Apostar S.A. con todas las
recomendaciones del caso, y será quien en últimas tomará la decisión de modificarla,
ajustarla, darla a conocer e implementarla.
Política de Seguridad Informática para Apostar S.A.
63
10. Concreción del Modelo
A continuación se da a conocer la Política de Seguridad diseñada para Apostar S.A., como
producto final y objetivo del presente proyecto.
Los objetivos fueron cumplidos en su totalidad y se logró probar la hipótesis, al
obtener una respuesta positiva por parte de la Gerencia de la organización. Ver Anexos.
Política de Seguridad Informática para Apostar S.A.
64
11. Presupuesto
11.1 Materiales e Insumos
Cuadro 7. Materiales e Insumos
DESCRIPCIÓN CANTIDAD UNIDAD VALOR
UNIDAD
VALOR
TOTAL
Fotocopias 1 Hojas $50 $50,000.00
Internet 100 Horas $1.00 $150,000.00
TOTAL $150,000.00
11.2 Viáticos
Cuadro 8. Viáticos
LUGAR Nº DE PERSONAS VALOR
PASAJES
# DE
VIAJES TOTAL
Armenia 2 $ 10.000 1 $20,000.00
Área Metropolitana 2 $ 50.000 50 $50,000.00
TOTAL $100,000.00
Política de Seguridad Informática para Apostar S.A.
65
11.3 Papelería
Cuadro 9. Papelería
DESCRIPCIÓN VALOR
Libro Metodología de la Investigación $85,000.00
Fotocopias varias $60,000.00
TOTAL $145,000.00
11.4 Presupuesto Global
Cuadro 10. Presupuesto Global.
CONCEPTO TOTAL
Materiales e insumos $150,000.00
Viajes $100,000.00
Bibliografía $145,000.00
TOTAL $395,000.00
Política de Seguridad Informática para Apostar S.A.
66
12. Cronograma de Actividades
Cuadro 11. Cronograma de Actividades.
Fuente: Microsoft Project
Política de Seguridad Informática para Apostar S.A.
67
Conclusiones y Recomendaciones
En general y con base en la exploración realizada, es posible determinar que a nivel
nacional y/o regional muchas organizaciones no consideran necesario tener una política de
seguridad informática definida formalmente; si bien se considera importante y se ejecutan
algunas prácticas tendientes a garantizar la seguridad de la información, la falta de
procedimientos formales hace que no se tomen medidas definidas en momentos que así lo
requieran.
El diseño y formulación de un plan de políticas y seguridad de la información lleva en
muchas ocasiones al surgimiento de nuevas ideas y estrategias para la organización que la
desarrolle.
La falta de consideración de estas políticas lleva a que las organizaciones incurran en
costos que no estaban definidos en materia de seguridad tanto lógica como físicamente,
llevando muchas veces a invertir en elementos innecesarios y/o adquiridos en momentos
inadecuados.
Al finalizar la etapa de diseño y formulación de la política de seguridad de Apostar
S.A, se puede concluir que se logró establecer las prioridades que en materia de seguridad
informática requería la organización para así poderle dar viabilidad a éstas, garantizando la
continuidad en sus operaciones en caso de una pérdida generalizada de información a causa
de una de las vulnerabilidades detectadas.
Se hace entrega del diseño de la Política de Seguridad Informática de Apostar S.A, con
los resultados del análisis realizado por los autores del proyecto, como una propuesta para
su posterior implementación.
Política de Seguridad Informática para Apostar S.A.
68
Proponer una política de seguridad informática requiere un alto compromiso por parte
de la organización, para que se convierta en un proceso exitoso.
El propósito de establecer estas políticas principalmente es proteger la información y
los activos de la organización, tratando de proporcionar confidencialidad, integridad y
disponibilidad de los datos, además de las responsabilidades que deben asumir todos y cada
uno de los empleados mientras permanezcan en la organización.
Considerando la recolección de información con el software “Security Assesment
Tool”, fue posible determinar que si bien existen prácticas tendientes a proporcionar cierto
de nivel de seguridad informático, las mismas no son suficientes ni se encuentran
especificadas formalmente en las organizaciones, o por el contrario, se exagera en las
medidas de seguridad adoptadas.
Política de Seguridad Informática para Apostar S.A.
69
Referencias
Aguirre, J. R. (2010). Elementos de Optimización en la gestión de la seguridad de la
información orientada a la continuidad del negocio. Trabajo desarrollado para la
asignatura Técnicas Avanzadas de Ingeniería en Desarrollo de Sistemas y Servicios
Telemáticos, Universidad Politécnica de Madrid, Lenguajes,Proyectos y Sistemas
Informáticos, Madrid.
ALFA - Redi. (12 de Agosto de 1998). ALFA - Redi Derecho Informático. Recuperado el
21 de Septiembre de 2010, de ALFA - Redi Derecho Informático: http://www.alfa-
redi.org
Álvarez, G. y Pérez, P. (2004). Seguridad Informática para Empresas y Particulares.
Madrid, España: Mc Graw Hill.
Ardita, J. (2004). El estado del Arte de la Seguridad Informática. Seminario “Tendencias
de la Tecnología en Seguridad Informática”. Buenos Aires: CYBSEC Security Systems.
Ardita, J. (2009). ¿Cómo organizar el Departamento de Seguridad? Costa Rica: CYBSEC
Security Systems.
Arrevola, M. (2007). Factores en el mercado de seguridad TI en la protección de la
información y los accesos remotos. Madrid: Primer Encuentro Nacional de la Industria
de Seguridad.
Canal, A. (2006). Seguridad de la Información: Expectativas, riesgos y técnicas
de protección. D.F, México: Limusa S.A de C.V.
Política de Seguridad Informática para Apostar S.A.
70
Cano, J. J. (2007). Apuntes sobre la Inversión y Gestión de la Seguridad Informática. Alfa
redi Derecho Informático.
Cano, J. (2007). Administrando la confidencialidad de la información: Algunas
consideraciones sobre el saneamiento de medios de almacenamiento. Alfa redi Derecho
Informático.
Cano, J. ( 2010). Fuga y/o Pérdida de la Información. Signos y señales de la Inseguridad
de la información. Alfa redi Derecho Informático.
Carnegie Mellon University. (1999). Systems Security Engineering Capability Maturity
Model (SSE-CMM). Propuesta Macro, Pittsburgh Pennsylvania.
Castillejo, J. (2007). Nuevas tendencias en gestión de la seguridad: Centros de Respuesta a
Incidentes de Seguridad (CERT). Primer Encuentro Nacional de la Industria de
Seguridad. Madrid.
Castillo, C. y Romero, R. (2008). Guía Metodológica para el Análisis Forense Orientado a
Incidentes en Dispositivos Móviles. Trabajo de Grado, Pontificia Universidad Javeriana,
Facultad de Ingeniería, Bogotá.
Cerini, M. y Prá, P. (2002). Plan de Seguridad Informática. Trabajo de Grado, Córdoba,
Argentina: Universidad Católica de Córdoba, Facultad de Ingeniería.
Departamento de Seguridad en Cómputo UNAM. (s.f.). Seguridad Informática.es.
Recuperado el 10 de Junio de 2010, de
http://files.uladech.edu.pe/docente/17939348/Gran%20Libro%20de%20la%20Seguridad
%20Inform%C3%A1tica%20%28I%29.pdf
Política de Seguridad Informática para Apostar S.A.
71
Guel, M. (2007). A Short Primer for Developing Security Policies. SANS Institute. The
SANS Policy Primer.
GMV Innovating Solutions. (2007). Evolución de las Estrategias de Gestión de Seguridad:
relaciones simbióticas entre un SGSI y los procesos ITIL de Gestión de TI.
Hernández R., Fernández, C. y Baptista P. (1991). Metodología de la Investigación.
México D.F: Mc Graw Hill.
ISO/IEC. (2005). ISO/IEC 17799 27002. Estándar Internacional.
ITGI (IT Governance Institute). (2007). Cobit 4.1. Propuesta Macro. Rolling Meadows, IL.
Linares, S., & Paredes, I. (2007). IS2ME Seguridad de la Información a la Mediana
Empresa. Tecnocom, Madrid.
López, P. (2007). Análisis de Riesgos del Proceso. Medidas Prevención, Detección y
Respuesta. Primer Encuentro Nacional de la Industria de Seguridad, Madrid.
Microsoft. (2008). 9 Pasos para Implementar la Seguridad Informática en su Empresa.
Recomendaciones. Madrid.
OGC (Office of Government Commerce), ITGI (IT Governance Institute). (2008).
Alineando Cobit 4.1, ITIL V3 e ISO/IEC 27002 en beneficio del negocio. Londres:
Crown.
Ramió J. (1998). Red Temática Iberoamericana de Criptografía y Seguridad de la
Información. Recuperado el 12 de Agosto de 2010, de Red Temática Iberoamericana de
Criptografía y Seguridad de la Información: http://www.criptored.upm.es
Política de Seguridad Informática para Apostar S.A.
72
Sánchez, N., y Segura, J. (2006). Una Guía Metodológica para el Cálculo del Retorno a la
Inversión (ROI) en Seguridad Informática. Trabajo de Grado, Pontificia Universidad
Javeriana, Facultad de Ingeniería , Bogotá
Sans Institute. (2002). Building and Implementing an Information Security Policy. SANS,
USA.
Spafford, E. (1989). Computer Recreations: Of worms, viruses and core war. Scientific
American.
The Business Continuity Institute (BCI). (2007). Good Practice Guidelines 2007: A
Management Guide to Implementing Global Good Practice in Business Continuity
Management. Madrid: ISMS Forum Spain.
Torrealba, M. (2005). Equivocaciones Comunes en la Gestión Corporativa de la Seguridad
Telemática. Caracas: Universidad Simón Bolívar.
Universidad Nacional de Colombia. (2003). Guía para elaboración de Políticas de
Seguridad. UNAL, Vicerrectoría General, Bogotá.
Universidad Politécnica de Madrid. Escuela Universitaria de Informática. (2005). Técnicas
de la criptografía clásica. En U. P., Aplicaciones Criptográficas. España: Madrid.
Wood, C. C. (2002). Políticas de Seguridad Informática Mejores Prácticas
Internacionales. Houston, TX, USA: NetIQ, Inc.
WEBGRAFIA
http://books.google.com.co/books?id=bmRfgGEh2PkC&printsec=frontcover&dq=the%20s
ecurity%20policy%20life%20cycle%3A%20Functions%20#v=onepage&q&f=false
http://segu-info.com.ar/libros/
http://www.revistasic.com/
Política de Seguridad Informática para Apostar S.A.
73
http://www.sans.org/reading_room/
http://www.iso27000.es/sgsi.html
http://www.inteco.es/home/instituto_nacional_tecnologias_comunicacion/
http://www.isaca.org/Knowledge-enter/cobit/Documents/cobiT4.1spanish.pdf
http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-
v3-y-ISO-27002-en-beneficio-de-la-empresa-v2,7.pdf
http://www.isaca.org/spanish/Pages/default1.aspx
http://www.itgi.org
http://www.isaca.org/spanish/Pages/default1.aspx
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_
es_ITIL/que_es_ITIL.php
http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-
v3-y-ISO-27002-en-beneficio-de-la-empresa-v2,7.pdf
http://www.itil.co.uk/refresh.htm
http://www.iso.org/ISO/iso_catalogue/catalogue_tc/catalogue_detail. Htm?csnumber =
50297
Política de Seguridad Informática para Apostar S.A.
74
Anexos
Anexo A. Diagnóstico de Seguridad Informática Apostar S.A.pdf
Anexo B. Evaluación en Seguridad Informática Apostar S.A.pdf
Anexo C. Evaluación en Seguridad Informática Apuestas Ochoa.pdf
Anexo D. Evaluación en Seguridad Informática Asmed Salud.pdf
Anexo E. Evaluación en Seguridad Informática Oncologos de Occidente.pdf
Anexo F. Politica de Seguridad Apostar S.A..pdf