XLos Modelos de X Chateando con un Troyano –El
Continuidad del Negocio 1 hackeo de las Cuentas de Chat 8
XGestión del Conocimiento:
Introducción y Concepto 4
7
X Los Objetivos de
Control del Sistema de
Gestión de la Seguridad de
la Información ........ 5
Perspectivas
Informáticas
LA DIMENSION INFORMATICA DE LAS EMPRESAS
El problema de la información es que sobreabunda; el problema del
conocimiento es que escasea; el problema de la experiencia es que no
siempre se transforma en sabiduría
Los Modelos de Continuidad
del Negocio
En los Números Anteriores:
Costo y Beneficio de la Planificación
Ciclos de Vida y Planificación
Continuidad del Negocio. BCP
El Concepto de Continuidad del Negocio se
afianzó después del atentado a las Torres
Gemelas en 2001. Si bien el concepto es
antiguo las empresas no habían tomado
conciencia que una catástrofe podría
comprometer su operación y continuidad
futura. Si una empresa sufre un fuerte
impacto por una catástrofe natural o humana,
puede ocurrir que no se pueda recuperar o
que le demande un tiempo muy prolongado
el recuperarse; en ambos casos; los clientes
NO esperan, y si la empresa no puede
continuar ofreciendo sus productos y
servicios, lo más probable, es que otra
empresa comience a cubrir las necesidades
de los ‘antiguos clientes’. Para el momento
en que la empresa afectada se pueda
recuperar, tal vez ya haya perdido un 60% o
un 90% de sus antiguos clientes, con lo cual,
aun recuperándose, corre el riesgo de no
poder mantenerse en el mercado o incluso
de presentar quiebra.
X La Firma Digital y la AFIP 9
http://costobeneficiodelaplanificacion.blogspot.com/
Este panorama de riesgo en un mundo donde
tanto la violencia humana como natural va en
aumento hace que las empresas consideren
primordial definir los aspectos claves que podrían
afectar su supervivencia ante catástrofes
específicas, distribuyan sus activos y servicios de
soporte, de forma de no depender exclusivamente
de una localización y generen planes de
recuperación de sus capacidades productivas,
distributivas, de soporte y de marketing que
disminuyan a un mínimo posible los efectos de
una catástrofe y reduzcan los tiempos de
recuperación de forma que, ante una catástrofe
seria, en poco tiempo la empresa pueda estar
1
Noviembre 2009
Volumen 2
Número 7
nuevamente operativa en el mercado sino al
100%, al menos en un nivel mínimo como para
que los clientes puedan ser servidos con una
calidad mininamente aceptable.
Los modelos de Continuidad del Negocio toman
como base a los Modelos y técnicas de las
Contingencias. Las contingencias son todos
aquellos sucesos y problemas que comprometan
la marcha normal de algún recurso de la empresa.
Para algunas contingencias se contempla técnicas
de:
Aseguramiento; se continúa operando a máxima
capacidad.
Emergencia; se continua operando con
capacidad reducida hasta resolver el problema.
Sin resolución; se continúa operando con
capacidad reducida pues la contingencia no afecta
al normal desenvolvimiento de las operaciones.
Eventualmente la contingencia se resolverá o
absorberá. Para el caso de la continuidad
consideramos aquellas contingencias que no
pueden resolverse en un tiempo comercialmente
proporcional.
Plan de Recuperación ante desastres.
Un paso intermedio entre las contingencias y la
continuidad lo constituyen los desastres. Las
contingencias son impactos menores que dejan
indisponibles recursos de una empresa por un
lapso de tiempo breve. Un desastre, en cambio,
 Pasos para la Generación de un Plan de recuperación
Fase 1: de Desastres y Continuidad del Negocio
Establecer las Análisis de
bases
Riesgo e
Impacto en el
Negocio
Revisar
los
Procesos
Planificación de la
Continuidad del
Negocio
Comprobar los
Procesos
Establecer el
Equipo de
Fase 3:
Planificación
Mantener el
plan
puede dejar indisponible recursos de una
empresa por un tiempo relativamente prolongado.
El Plan de Recuperación de Desastres conforma
la primer parte del Plan de Continuidad del
Negocio, ya que dado un desastre la empresa
deberá recuperarse de tal desastre. Sin embargo,
un desastre no suele poner en riesgo la
continuidad de una empresa, pero si
comprometer alguna faceta del negocio, ya sea el
servicio en una determinada localización, la
producción de un producto en particular o bien la
provisión de un servicio específico. Si bien la
empresa no corre riesgo como tal si puede verse
perjudicada una porción de su negocio bastante
significativa; de allí la naturaleza de su
importancia.
Los desastres se clasifican en dos grandes
grupos; los Naturales; y los Humanos.
Entre ellos se incluyen: Fuego, Fallas de
suministro eléctrico, fallas de sistemas, errores
humanos, huelgas, atentados, virus informáticos,
restricciones legales, anegamientos, etc.
El Riesgo.
Cuando consideramos los impactos de un
incidente, una contingencia, un desastre o una
catástrofe estamos categorizando las diferentes
fases que presenta un riesgo. Riesgo, es todo
aquello que nos aparte del objetivo deseado, por
ende, riesgo es todo aquello que queda fuera de
lo planificado. Los riesgos se pueden incluir en
los planes y ser contemplados de alguna forma, o
bien ignorarlos y solo tomar acción en el caso de
Estrategia de
Recuperación
Fase 2:
Desarrollar
e implementar el
plan
que se materialicen. Lamentablemente una
empresa no puede ‘correr el riesgo’ de quedar a
la deriva, ya que una imprevisión le puede costar
su supervivencia. Lo que se trata entonces es de
acotar los diferentes riesgos previstos y posibles
y generar planes que los contemplen de alguna
forma. No todo puede cubrirse, pero la empresa
sabrá qué tipo de riesgo corre cuando se
presenta una determinada situación. No todas
las situaciones se pueden prever, pero si se
puede prever el impacto sobre diferentes tipos
de recursos de la empresa y que acciones
planificadas se han previsto para paliar o
resolver el impacto que una situación ha
generado o ha comprometido.
Pasos para la generación de un Plan de
Recuperación de Desastres y de
Continuidad del Negocio.
1) Identificar el alcance y los límites del Plan
de Continuidad del Negocio.
Se debe proporcionar un esquema de las
limitaciones y los límites, incluir un análisis de
riesgos y el impacto en el negocio para los
diferentes factores; así como especificar los
puntos de auditoría para los diferentes bienes de
la empresa que resulten comprometidos en cada
caso.
2) Desarrollar un Análisis de Impacto en el
Negocio, BIA (Business Impact Analysis).
En tal análisis se especifican y calculan los
impactos financieros que se pueden producir a
partir de los diferentes impactos reales que
ocurran. Además se deben incluir estudios de
compromiso legal, regulatorio o de
responsabilidad social, a fin de considerar
posibles seguros u otros mecanismos que
busquen acotar las posibles pérdidas financieras
en caso de que los eventos reales se produzcan.
3) Establecer la Estrategia de Recuperación.
Desarrollar la concientización y promocionar el
Plan de Recuperación y/o de Continuidad para
que la Alta Gerencia comprenda su importancia
y asigne los recursos económicos, materiales y
humanos para su concreción.
2
4) Establecer el Equipo de Planificación.
Todos los Departamentos de una empresa
deben están involucrados y colaborar para la
especificación y el establecimiento de un
correcto Plan de Recuperación / Continuidad. Si
una parte de la empresa no colabora, ya sea en
la especificación o en el establecimiento del plan
se convertirá en el ‘eslabón débil’ y por ende, la
probabilidad de que ocurran fallos por
responsabilidad de tal Departamento aumentará,
lo cual aumentará el riesgo que tal
Departamento le genera a la Empresa.
5) Comprobar los Procesos.
El Plan debe ser implementado, de nada sirve
haber desarrollado un plan si luego este solo
queda en los papeles.
6) Revisar los Procesos.
Es aconsejable que la realización del plan se
realice por medio de Normas Internacionales
establecidas y aceptadas en la Comunidad de
Práctica, de forma de apalancar los mecanismos
de Auditoria a los cuales se vea expuesta la
empresa. En particular se menciona al NIST
(National Institute of Standards and Technology),
de los EEUU, como referente en materia de
Seguridad.
Tipos de Medidas de Recuperación.
Como todo tipo de fallos las medidas que se
pueden tomar son del tipo Preventivo, de
Detección; y Correctivas.
Las medidas Preventivas se realizan por
Planificación y establecen un conjunto de
Políticas y Tareas rutinarias que permitan
salvaguardar diferentes bienes de posibles
fallos. El ejemplo más representativo es el de la
política de backups, tanto en cuanto a su
frecuencia, como a la verificación de que el
backup realmente ha quedado grabado y muy
especialmente al sitio de almacenaje, el cual
debiera diferir en ubicación geográfica con
respecto a lugar físico operativo del soporte de
la información.
Las medidas de detección buscan la prevención
de causas y eventos no deseados. Un ejemplo
es la aparición de humedad en una pared
interna, lo cual podría ser el indicador de que un
caño se ha roto, y, de dejarse en ese estrado
podría provocar la rotura total del caño
produciendo el anegamiento de una sala con
equipos de importancia. La detección temprana
permite desarrollar tareas preventivas que
reparen el caño en forma planificada, antes que
la situación empeoré y generé un incidente en el
momento menos oportuno.
Las Medidas de Detección se logran por medio
de controles orientados a la detección de
eventos no deseados.
Las Medidas Correctivas se logran por medio de
controles orientados a la corrección y la
restauración de los sistemas luego de que se ha
producido un incidente o desastre.
El Marco del IT Security EBK
Evaluación
Organizar Equipo Realizar la
de Evalución de Evaluación de
Riesgos Riesgos
Planificación
Desarrollo Identificación de
de Planes Eventos
Disparadores
Ejecucion
Ocurrencia de Ejecución del
Eventos Plan
Disparadores
Fases de los Procesos de
Planificación de la Continuidad del
Negocio.
En el proceso Normativo para los Procesos de
Planificación de la Continuidad del negocio se
reconocen cuatro fases esenciales: a)
Evaluación; b) Planificación; c) Ejecución; d)
Recuperación
Evaluación:
Dentro de la fase de evaluación se incluyen
cuatro procesos. 1) La Organización del
Equipo de Evaluación de los Riesgos; 2) La
realización de la Evaluación de riesgos; 3) La
Priorización del Alcance de los Riesgos; 4)
Desarrollo de diferentes variantes de fallos y
casos de estudio.
Planificación:
Dentro de la fase de planificación se incluyen
cuatro procesos. 1) Generar el desarrollo de
los Planes; 2) Identificar los eventos
disparadores; 3) Desarrollar Planes de
comprobación; 4) Establecer el entrenamiento
en los Planes de Continuidad.
Ejecución.
Dentro de la fase de ejecución se incluyen dos
procesos. 1) La implementación del Plan en
función de la ocurrencia de eventos
disparadores; 2) Ejecutar el Plan.
Recuperación.
Dentro de la fase de Ejecución se incluyen dos
procesos. 1) La finalización de los eventos de
contingencia y el restablecimiento en el modo
normal de operación de la empresa; 2) El Plan
de recuperación activa, que mantiene en
Priorización del Desarrollo de
Alcance de los Variantes
Riesgos
Planes de Entrenamiento
Comprobación en Planes
Recuperación
Finalización de Plan de
Eventos Recuperación
Activa
estado latente al Plan de Continuidad ante la
presencia de cualquier evento disparador.
Continuidad y Contingencia.
La contingencia es todo estado diferente al normal
y por el cual no se cuenta con la capacidad total
de los recursos asignados para la operación
normal de la empresa. El estado normal debe ser
aquel en el cual la empresa les ofrece a sus
clientes un servicio con calidad adecuada o
superior al de la competencia. El estado normal
debe contemplar el crecimiento y planificar la
capacidad futura de los recursos para que la
operación cotidiana no se vea afectada por un
desborde de solicitudes que comprometan a la
capacidad de prestación de los servicios.
El concepto anterior es de suma importancia para
evitar que la empresa opere ‘en contingencia’
como si fuera el ‘estado normal’.
Lamentablemente muchas empresas operan en el
límite de su capacidad o inclusive con menos
capacidad que la necesaria para ofrecer la calidad
de servicio que los clientes esperan; lo cual se
traduce en demoras y percances que afectan la
predisposición futura de los clientes para con tal
empresa. En tales condiciones, si se produce una
contingencia real, la empresa puede quedar
sumamente afectada durante varios días o
3
semanas.
Un plan de contingencia es aquel en el cual en
el estado normal la empresa dispone de
suficientes recursos para operar con la calidad
de servicio requerida por sus clientes y además
posee una pequeña capacidad ociosa para
utilizar en caso de contingencia. Cuando se
produce un evento que genera una
contingencia la empresa comenzará a funcionar
en un ‘esquema de emergencia’, que si está
bien planificado puede mantener la prestación
de los servicios sin pérdidas notables para los
clientes o con una pequeña degradación.
Por otra parte la Continuidad se considera
cuando la contingencia se prolongará por en el
tiempo, o bien la capacidad de la empresa ha
quedado tan comprometida que deberá operar
en estado ‘precario’ durante un período de
tiempo elevado.
La diferencia entre ambas es que una
contingencia es un percance menor, por
ejemplo la falta de suministro eléctrico durante
una hora o un día; en cambio la continuidad se
produce por un percance mayor, por ejemplo la
pérdida de suministro eléctrico durante un mes.
La continuidad de las operaciones de una
empresa se considera en función de la
posibilidad de que se produzcan catástrofes
naturales, como terremotos o inundaciones; o
generadas por el hombre, como guerras y
atentados.
Conclusión
La vida moderna ha transformado a las
empresas en participantes esenciales de las
actividades comerciales y sociales, lo cual las
entrelaza en el mundo con un sinfín de
relaciones y responsabilidades. La desaparición
de una empresa por una catástrofe es un
evento que se debe evitar por el sinnúmero de
efectos que tendría en accionistas, empleados,
proveedores, clientes, personas y gobiernos; en
función del tamaño de la empresa, la
envergadura de sus negocios; los capitales
comprometidos y la cantidad de recursos
involucrados. Mientras mayor es la empresa
más serio será el daño de una posible
desaparición, razón por la cual toda empresa
debe encarar un Plan de Continuidad que le
permita continuar operando, aun cuando gran
parte de su estructura haya sido afectada por
una catástrofe.
Autor: Osvaldo A Pérez
En los próximos números:
Estructura de Conocimiento de Proyectos
Funciones, Procesos y Proyectos
Mejora, Emergencia e Innovación
Gestión del Conocimiento
Introducción y Concepto
La problemática de Gestión del
Conocimiento es un tema de creciente
preocupación para la mayoría de las
empresas. En el siglo XXI, conseguir que el
recurso “conocimiento” sea productivo se ha
convertido en el gran reto de la gestión, tal
como en el siglo XX fue conseguir que los
recursos materiales fuesen productivos.
En la era actual, el conocimiento es el factor
competitivo decisivo. Esto lleva a que las
empresas comiencen a cuestionarse si están
aprovechando al máximo este recurso. En la
mayoría de ellas la respuesta es negativa: el
conocimiento básicamente está hoy en la
mente de cada trabajador y éste lo gestiona de
forma individual. Las personas que trabajan en
estas empresas leen, aprenden, deciden y
utilizan nuevas tecnologías en su trabajo, pero
¿dónde queda todo lo que la experiencia les
va aportando? ¿Aprovechan otros miembros
de la organización dicha información?
Si bien algunas empresas líderes, como IBM,
comenzaron a generar una Base de
Conocimiento (Knowledge Database) donde
queda registrada información sobre los
proyectos que se desarrollaron hasta la fecha
(lecciones aprendidas, errores cometidos,
estimaciones versus tiempos reales
consumidos, etc.), de modo que esta
experiencia pueda aprovecharse en proyectos
futuros, la realidad muestra que la mayoría de
las organizaciones no son aún consientes de
la carencia de optimización del
conocimiento, y si lo son, no han generado
cambios sustanciales en su organización
funcional, como para afrontar esta inminente
problemática de un modo eficiente.
Por otra parte, las empresas disponen de
tecnologías cada vez más sofisticadas:
blackberry’s, teléfonos móviles y sistemas para
compartir información de forma instantánea.
Muchas veces, dicha tecnología no se integra
en la gestión diaria y no se aprovechándose el
potencial de las herramientas tecnológicas
disponibles.
Aunque algunas empresas, como INTEL, han
comenzado a tomar conciencia, organizando
equipos de proyectos para estudiar cómo
optimizar los recursos tecnológicos y
proporcionando formación para que sus
empleados mejoren su trabajo, la mayor parte de
las organizaciones se niegan a comprender la
necesidad de una vital transformación a fin de
evitar un futuro poco auspicioso.
Si bien la problemática de la Gestión del
Conocimiento afecta a todas las empresas en
general y a la Empresas de IT de un modo más
particular, nosotros sostenemos que, entre estas
últimas, son las Software Factories las
principales afectadas en este aspecto, por lo cual
son aquellas organizaciones en las cuales una
mejora en la Gestión del Conocimiento se
convierte en una necesidad más urgente y
decisiva para su funcionamiento y desarrollo.
Concepto de Gestión del
Conocimiento
Para definir el concepto de Gestión del
Conocimiento vamos a comenzar por
preguntarnos: ¿A qué nos referimos,
concretamente, cuando hablamos de GC?, ¿Qué
conceptos se encuentran relacionados con el
concepto de GC?; y por último, ¿Cómo se
relacionan cada uno de estos conceptos con el
de GC?
Respecto a la primera pregunta: “¿Qué es,
concretamente, la GC?”, podemos afirmar que
no existe una definición clara y concisa, pero
podemos pensar, de modo preliminar, que la GC
consiste en optimizar la utilización de este
recurso: el conocimiento.
Ahora bien, de ahí surgen otras dos preguntas,
como, ¿Qué es la Gestión? y ¿Qué es el
Conocimiento?
Cuando indagamos acerca del concepto de
Gestión también nos encontramos un tanto
confundidos, dado que este concepto aparece
mezclado con el de “gerencia” y con el de
“administración”. Sin embargo, no vamos a
enredarnos en una discusión no resuelta, que no
es el fin de nuestro análisis. Por lo tanto, vamos
a limitarnos a afirmar que lo esencial de los
conceptos administración, gestión y gerencia
está en que los tres se refieren a un proceso de
1
"planear, organizar, dirigir, evaluar y controlar" .
Respecto al concepto de Conocimiento,
podemos considerar que es todo aquello de lo
4
cual disponemos para interpretar mejor el
entorno y, como consecuencia, para actuar más
eficientemente. Es importante entender el
conocimiento no tan sólo como algo que nos
permite interpretar y saber, sino como algo que
nos da la posibilidad de poder actuar de un
modo más efectivo, y esto es lo que realmente
buscan las empresas cuando se refieren a la
GC.
De este modo, aunque de modo preliminar,
podemos responder la primera pregunta que
nos habíamos planteando, arribando a una
aproximación de la definición de Gestión del
Conocimiento.
Continuando con las otras preguntas: “¿Qué
conceptos se encuentran relacionados con el
de la GC y cómo se relacionan con éste?”,
podemos advertir que cuando comenzamos a
investigar acerca de lo que significa e implica el
concepto GC, nos vemos perdidos en una
maraña de conceptos aparentemente similares.
Unos hablan de Gestión del Conocimiento,
propiamente dicho, otros de Aprendizaje
Organizacional, algunos de Capital
Intelectual, e incluso de Activos Intangibles. A
veces se introducen los mismos conceptos con
denominaciones diferentes, o se habla de uno o
de otro concepto como si se tratara de
sinónimos. Esta situación nos lleva a intentar
aclarar a qué nos referimos cuando los
mencionamos.
Desde hace algún tiempo las organizaciones
comprendieron que sus activos físicos y
financieros no tienen la capacidad de generar
ventajas competitivas sostenibles en el tiempo,
y descubrieron que los Activos Intangibles (AI)
son los que aportan verdadero valor a las
organizaciones. Pero, ¿qué significan
exactamente los AI?
Los AI son una serie de recursos que
pertenecen a la organización, pero que no
están valorados desde un punto de vista
contable. En definitiva un activo intangible es
todo aquello que una organización utiliza para
crear valor, pero que no se contabiliza.
Si bien lo más evidente dentro de una
organización son los Activos Tangibles como
la bienes muebles e inmuebles y los activos
financieros que determinan su valor en libros,
como dijimos anteriormente, hoy día es mucho
más importante la evaluación de los
conocimientos humanos, el saber hacer (know
how), el personal competitivo, la propiedad
intelectual, las marcas, el mantenimiento de la
clientela y los conocimientos sobre el
comportamiento del mercado. Estos son
algunos ejemplos de AI que suman al valor
real que tiene una empresa en el mercado.
Una vez analizada la importancia de los
intangibles, aunque es evidente, es necesario
remarcar que la mayoría de ellos suelen estar
basados en la información, el aprendizaje y el
conocimiento. En este punto, podemos hablar
de Aprendizaje Organizativo (AO).
determinada.
La Gestión del Conocimiento es, en
definitiva, la gestión de los AI que generan
valor para la organización. La mayoría de
estos intangibles tienen que ver con procesos
relacionados de una u otra forma con la
captación, estructuración y transmisión de
conocimiento. Por lo tanto, la GC tiene en el
AO su principal herramienta, siendo, por lo
tanto, un concepto dinámico.
Cabe aquí plantear la diferencia entre dato,
información y conocimiento. Una primera
aproximación podría ser la siguiente: los
datos están localizados en el mundo, el
conocimiento está localizado en agentes
(personas, organizaciones, etc.), y la
información adopta un papel mediador entre
ambos conceptos.
Como podemos observar en la Figura, los
datos, una vez asociados a un objeto y
estructurados, se convierten en información.
La información, asociada a un contexto y a
una experiencia, se convierte en
conocimiento.
trata de un concepto casi contable. Como
habíamos afirmado anteriormente, el principal
problema de los Activos Intangibles es que no
pueden ser valorados mediante unidades de
medida uniformes, y por lo tanto, no se puede
presentar una “contabilidad de intangibles”. Sin
embargo, la medición del CI, nos permite tener
una foto aproximada del valor de los intangibles
de una organización y determinar cuáles son
los intangibles que aportan valor a la
organización y cuáles no, y en qué medida lo
hacen.
Una vez que hemos analizado el concepto de
CI, podemos definir de nuevo el concepto de
Gestión del Conocimiento de una forma más
precisa:
“conjunto de procesos y sistemas que
permiten que el Capital Intelectual de una
organización aumente de forma
significativa, mediante la gestión de sus
capacidades de resolución de problemas de
forma eficiente, con el objetivo final de
generar ventajas competitivas sostenibles
en el tiempo”.
En conclusión, como podemos apreciar en la
Figura, en la el Aprendizaje Organizativo, la
Gestión del Conocimiento y el Capital
Intelectual son conceptos relacionados y
complementarios. En pocas palabras, el
Aprendizaje Organizativo es la base de una
buena Gestión del Conocimiento, y la
Gestión del Conocimiento es la base para la
generación de Capital Intelectual.

Luego, el conocimiento, asociado a una

El AO permite aumentar las capacidades de
una organización, es decir, es un medio para
que la empresa pueda resolver problemas
cada vez más complejos. Cuando una serie de
personas empiezan a trabajar en grupo, al
principio se suelen producir problemas de
coordinación. Cuando pasa un tiempo, se van
afinando los procesos y cada vez se realiza
mejor la tarea. Esto es AO: aprender juntos a
resolver problemas con una efectividad
persona, se convierte en sabiduría, y
finalmente el conocimiento, asociado a una
organización y a una serie de capacidades
organizativas, se convierte en Capital
Intelectual.
En pocas palabras podemos definir Capital
Intelectual (CI) como “la sumatoria de todos
los conocimientos específicos reales que
tienen cada una de las personas que trabajan
en una organización”. Podríamos decir que se Autor: Pablo de Natale

Los Objetivos de Control de los Sistemas de

Gestión de la Seguridad de la Información.
http://riesgoseguridadinformacion.blogspot.com/
Los Sistemas de Gestión de la Seguridad de Información, SGSI, incluyen un conjunto de Objetivos de Control, por medio de los cuales se puede
asegurar que tales sistemas se desempeñan según los requerimientos exigidos para su diseño, en caso contrario el SGSI solo sería nominal y no se
podría garantizar en la práctica que proveyera seguridad. Proveer seguridad y conocer en qué grado provee seguridad un SGSI es la condición de base
para implementar un SGSI.

Desde sus inicios la norma BS 7799 y sus herederas la ISO 17799 y la ISO 27001 han definido un conjunto de 10 Dominios de Control que modelan el
comportamiento característico de las empresas y permiten establecer Sistemas de Gestión de Seguridad de la Información. En la ISO 27001 se
renombraron algunos de los Dominios y se los llevó a 11 Dominios.
5
 11 Dominios en la norma ISO 27001
A.5
1 Políticas de Seguridad

11 A.15 Organización de
Cumplimiento 2 A.6 la Seguridad
de la Información A.9 Seguridad Física y Ambiental
Información La seguridad física y ambiental reconoce los
A.14 Gestión de la 10 3 Gestión de los aspectos ligados al área de trabajo físico y los
Continuidad del Negocio A.7 Bienes aspectos ligados a la seguridad del
Confidencialidad
equipamiento electrónico o documental que
Gestión de los Incidentes 9 se utiliza para evitar que puedan ser
de la Seguridad accedidos desde el exterior o por personal no
A.13de la Información Integridad autorizado, con el objetivo de limitar el acceso
Desarrollo, Adquisición 8 4 A.8 Seguridad de los a la información contenida en tales
Y Mantenimiento de Recursos Humanos dispositivos. Se hace notar que un simple
Sistemas de Información A.12 Disponibilidad papel impreso también debe ser controlado
y/o destruido, para evitar que sea accedido,
A.11 Control de 7 5 Seguridad Física y por ejemplo, por el personal de limpieza.
Acceso A.9 ambiental
Gestión de las A.10 Gestión de las Comunicaciones
6 A.10Comunicaciones y las Operaciones.
y las Operaciones Resulta evidente que la parte operativa será
la que más detalle requiere de los Objetivos
de Control; y por tal razón existen 10
Objetivos de Control en este Dominio.
Los 11 Dominios del SGSI. terceros. Los objetivos son sumamente variados y un
Los Dominios, Objetivos y Requerimientos de simple listado podrá en evidencia la
control aparecen en el Anexo A de la Norma ISO A.7 Gestión de los Bienes. complejidad de los problemas a abordar. Los
27001 y se numeran desde la Clausula A.5 a la La gestión de los bienes involucra a dos aspectos objetivos de control son; a) Procedimientos
Clausula A.15. Aquí trataremos con mucha principales; a) la asignación de la responsabilidad Operacionales y Responsabilidades; b)
brevedad la esencia del objetivo de cada por el bien; b) la clasificación de la información Gestión de la Provisión de Servicios por
Dominio. sobre el bien. Terceros; c) Planificación y Aceptación de
En ambos casos se hace referencia tanto a los Sistemas; d) Protección contra código
bienes de información como a la información sobre malicioso y de movilidad; e) Sistemas de
los bienes. La información por sí misma es un Respaldo de la Información; f) Gestión de la
bien, pero además a los bienes físicos se les Seguridad de Red
asigna algún tipo de inventario, tanto para su Manejo de Medios; g) Intercambio de
organización como por requisitos contables; a Información; h) Servicios de Comercio
partir de lo cual los bienes físicos pasan a poseer Electrónico; i) Monitoreo
información asociada que los representa en la
empresa.

A.5 Política de Seguridad.

Se debe alinear con los Objetivos de la Alta
Dirección de la Empresa y garantizar la
seguridad de la información en concordancia
con las Leyes, las Regulaciones y los
Requerimientos del Negocio.
En materias de leyes se deberá revisar en cada A.11 Control de Acceso.
país las leyes vigentes de Seguridad de Datos, El control de acceso es uno de los controles
Privacidad de la Información, Firma Digital y esenciales para mantener la protección de los
otras similares que regulen el intercambio de bienes de una empresa, por lo cual en la
información electrónica entre empresas y entre A.8 Seguridad de los Recursos Humanos. norma se consideran siete Objetivos de
empresas y particulares. Los objetivos de este dominio son altamente Control relacionados con el Acceso: a) Los
sensibles y se han transformado en una pieza Requerimientos de Negocio para el Control
A.6 Organización de la Seguridad de la clave de los SGSI. Se reconocen tres objetivos de del Acceso; b) La Gestión del Acceso de los
control alineados con; a) el proceso previo a Usuarios; c) Las Responsabilidades de los
Información.
incorporar una persona; b) el proceso durante el Usuarios; d) El Control de Acceso a la Red; e)
La Organización de la Seguridad de la
tiempo que la persona es empleado o está ligado a El Control de Acceso al Sistema Operativo; f)
Información reconoce dos categorías
la empresa; c) el proceso de desvinculación de la El Control de Acceso a las Aplicaciones y a la
principales; a) la que es interna a la propia
empresa y/o inserción de la persona en una Información; g) La computación móvil y el
organización; b) la que se relaciona con terceras
empresa competidora. teletrabajo.
partes externas a la organización. En ambos
casos se deberá garantizar el secreto y
privacidad de la información y en particular en el A.12 Desarrollo Adquisición y
caso de terceros considerar tanto el riesgo de
Dibujos: Mantenimiento de Sistemas de
exposición de la información como la http://thegoldguys.blogspot.com/ Información
responsabilidad de mantener información de
6

El desarrollo, la adquisición y el mantenimiento
de sistemas de información es una tarea
compleja y de alto riesgo. Las empresas cuyo
negocio no es el desarrollo de software tratan
de evitar todo lo relativo al desarrollo, ya sea
tercerizando su desarrollo, o bien adquiriendo
sistemas ‘llave en mano’ que les resuelvan sus
necesidades de procesamiento de la
información. Una alternativa más moderna es el
uso de Servicios de Procesamiento de
Información, en los cuales un tercero se
encarga del procesamiento de la información
de la empresa, ya sea con equipamiento en la
propia empresa o bien con equipamiento y
sistemas del tercero que se acceden por algún
mecanismo de red. En todos los casos se trata
de que el desarrollo y el mantenimiento queden
a cargo del tercero, liberando a la empresa; en
otras ocasiones se incluye la operación, ya sea
local o remota, por medio de personal del
tercero. En tales condiciones la norma solo
contempla el proceso de Adquisición de tales
sistemas; en los casos más genéricos la
empresa deberá operar y mantener al sistema y
en casos aun más amplios desarrollar su propio
sistema.
Los Objetivos de Control previstos son seis,
para todos aquellos casos en los cuales
aplique. A) Requerimientos de Seguridad para
los Sistemas de Información; b) Procesamiento
correcto de las aplicaciones; c) Controles de
Criptografía; d) Seguridad de los Sistemas de
Archivos; e) Seguridad de los Procesos de
Desarrollo, Operación y Mantenimiento; f)
Gestión de las Vulnerabilidades Técnicas.
A.13 Gestión de los Incidentes de la
Seguridad de la Información.
La seguridad de la información se puede ver
comprometida por el acceso a la información o
por errores en las plataformas que contienen a
tal información; en particular al software del
sistema operativo, de la red, o de las
aplicaciones que procesan o gestionan a la
información. Es esencial estar al tanto de las
vulnerabilidades que presentan las diferentes
plataformas, de las soluciones para tales
vulnerabilidades y de las posibles brechas por las
cuales se podría haber accedido a la
información. Todo evento de acceso no permitido
debe ser registrado ante posibles robos o
alteraciones de la información que podrían
descubrirse en el futuro. La problemática general
es que un atacante podría haber accedido al
sistema, robando o alternado información que
solo después de un período de tiempo breve o
prolongado podría hacerse evidente; los acceso
deben quedar registrados para tratar los posibles
eventos futuros que comprometan a la
información. En la norma se prevén dos objetivos
de control relacionados con los incidentes sobre
la información: a) El reporte de los eventos y
debilidades de la información; b) La gestión de
los incidentes y de las mejoras en la seguridad
de la información.
A.14 Gestión de la Continuidad del
Negocio
La gestión de la continuidad del negocio es un
aspecto de suma importancia que considera en
el mundo moderno a partir de la posibilidad de
que una catástrofe deje inoperativa a una
empresa por un tiempo prolongado, pudiendo
producir su desaparición o afectar seriamente su
rol en el mercado. Dada la gran interrelación de
actividades que una empresa de mediana o gran
envergadura genera, se busca minimizar el
impacto que una catástrofe, ya sea natural o
7
generada por el hombre, le puede producir a una
empresa.
La Norma solo especifica un objetivo de control
para este dominio que es el de considerar los
Aspectos de la Seguridad de la Información para
la Gestión de la Continuidad del Negocio.
A.15 Cumplimiento.
El cumplimiento de una norma contempla
determinados aspectos que se deben tener en
cuenta para asegurarse que realmente la norma
se cumple en la práctica. La forma de confrontar
el cumplimiento es hacerlo con respecto a ciertos
parámetros o regulaciones existentes, tanto
externas como internas; en donde lo primero que
se debe cumplir es aquello que estipule la Ley y
sus reglamentaciones asociadas.
La norma posee tres objetivos de control
relacionados con el cumplimiento: a) Cumplir con
los requerimientos legales; b) Cumplir con las
políticas de seguridad; los estándares y los
aspectos técnicos requeridos; c) cumplir con las
consideraciones de auditoría para los Sistemas
de Información.
Conclusión.
Existen diversas normas para el control de los
Sistemas de Información y de la Seguridad de los
Sistemas de Información; normas de
Instituciones privadas, como es el caso de
COBIT; o normas impuestas por determinados
cuerpos legales, como es el caso de Sarvanes
Oxley o de Basilea II para el ámbito bancario; sin
embargo el conjunto Normativo de la serie ISO
27000 es el más general y abarcativo; y al ser
regulado por el Instituto Internacional de
Estandarización, garantiza su continuidad en el
tiempo y la independía de criterios parcializados;
criterios que pueden aparecer en diversas
normativas con alcance para alguna nación o
región particular.
La práctica indica que establecer aquellos
controles de la norma ISO 27001 que apliquen
en una empresa particular es un buen comienzo
para cumplir con cualquier normativa
especializada de Seguridad de los Sistemas de
Información que se solicite.
Autor: Osvaldo A Pérez
Chateando con un Troyano – El Hackeo a las cuentas de Chat
Qué hacer cuando por Messenger han contaminado la PC
El uso del CHAT en sus diversas versiones,
Messenger, ICQ, etc, es un beneficio a la
comunicación interpersonal, masivamente
difundida en la actualidad.
Y el CHAT, como toda actividad informática
actual, también está expuesto a sufrir ataques
mediante los cuales, aprovechando el descuido o
engaño de la víctima, recibe un mensaje de un
supuesto contacto “legítimo” indicando que vea
las fotos o los archivos que le adjunta, por
trabajo, por vacaciones, etc, colocando un
hipervínculo en el mensaje.
Normalmente, lo que sucede por parte de la
víctima inocente o descuidada, cae en el engaño,
y clickea en ese hipervínculo, haciendo que se
baje un troyano que toma control de su sesión de
Chat y de todos sus contactos, y comienza a
establecer sesiones con cada uno de ellos,
reproduciendo el ardid, y propagando el troyano
entre más víctimas engañadas.
Las víctimas ven que se les abren múltiples
sesiones de Chat en su PC, y los contactos de la
víctima ven que las sesiones de Chat son
distintas en su lenguaje e idioma a los que
acostumbra usar su contacto legítimo (por
ejemplo, habla en castellano neutro o en otro
idioma, dependiendo de lo que interprete en base
al nombre del contacto).
Y sí, quedan chateando con un troyano.
Increíble, no?
Qué debemos hacer cuando sucede esto?
Primero sepamos por qué se produce esta
contaminación, y es justamente porque en la
gran mayoría de los casos, se cuenta con
versiones de antivirus que no brindan la
protección correspondiente. No por falla del
producto, sino por las características del mismo
por la forma en que fue conseguido o instalado.
En todos los casos, he comprobado que el
antivirus que tenían instalado tenía las siguientes
características:
a) era ilegítimo (versiones crackeadas o
adulteradas para que funcionen sin haber
comprado la licencia), normalmente conseguidas
de un amigo, o bajadas de Internet.
b) no tenía actualizaciones completas de su
versión (por ejemplo, casi todos los antivirus
ilegítimos, solamente actualizan las firmas de
virus, contra las cuales verifica el encabezado de
los programas maliciosos, pero no se actualizan
los motores de análisis de comportamientos, que
justamente bloquean a troyanos como éste)
c) La licencia era legítima, pero el
mantenimiento y soporte estaban vencidos
(ergo, no se actualiza en su totalidad)
d) Era un antivirus por control de firmas
solamente (sin análisis heurístico o de
comportamiento)
Les recomiendo que tomen nota de esto, para no
poner en riesgos sus equipos, ni los de sus
contactos. Al no protegerse seriamente cada uno,
está poniendo en riesgo también a sus contactos,
que pueden caer en la misma “trampa”.
Para enriquecer aún más estos consejos, he
recibido de parte de un colega mío, llamado
Horacio Ortiz, que como información general
estos virus utilizan un programa llamado
browsr64.exe que es el que se encarga de
disparar programas como por ejemplo 71.exe,
16.exe, 31.exe, etc., que son los que mandan los
mensajes. Estos programas se pueden ver desde
el Task Manager o administrador de tareas de
Windows.
El programa browsr64.exe está oculto y protegido
en el folder c:\windows\system32 y para poder
borrarlo es necesario desprotegerlo y asegurarse
que no se esté ejecutando. Por último asegurarse
de borrar todos los ejecutables de los que
hablamos antes y los archivos fotos.zip,
images.zip y otros que son los que se envían a los
contactos para difundir el virus.
De la misma manera, nunca dejen abiertas sus
sesiones de Chat cuando no las usan, porque el
otro riesgo es que les puedan tomar control de
sus cuentas de Hotmail, mediante técnicas de
hacking.
La recomendación es la siguiente:
a) Tengan siempre un antivirus legítimo, bajo
contrato de mantenimiento, y que cumpla con las
funciones de control por Firmas y por Análisis de
Comportamiento (heurístico). Ejecutarlo. De esta
manera, el antivirus puede bloquear estos
troyanos, al reconocer sus intenciones por su
comportamiento. Si tienen antivirus de primeras
marcas, la manera de darnos cuenta si son
ilegítimos, o bien son licencias legítimas pero sin
mantenimiento, es verificar la versión del producto
que tenemos instalado, y seguramente
encontrarán que la misma es anterior a la última
en vigencia. Verificar también que el Antivirus
tenga también un AntiSpyware.
b) Tengan en sus PC’s productos de software que
funcionen como Firewalls Personales,
idealmente incluyendo Sistema de Prevención
de Intrusos (IPS). Si el producto de firewall no lo
incluye, existen Sistemas de Prevención de
Intrusos que se pueden agregar, y que funcionan
bien con casi todos los firewalls personales. Esto
nos brindará protección ante intentos de intrusión
8
a nuestra PC, o de conexión de sitios externos
no autorizados. El Firewall debe ser bi-
direccional para controlar no solamente lo que
intenta conectarse desde fuera de nuestra PC,
sino también cualquier malware que habiendo
ingresado en nuestro equipo, pretenda
conectarse hacia fuera. (NOTA el firewall del
WinXP controla en un solo sentido. En Windows
Vista se dispone del control en doble sentido).
Marcas que tienen Firewall con IPS son a
manera de ejemplo Kaspersky, Panda, Sunbelt,
McAfee y Symantec, entre otros.
C) Si tenemos versiones de sistema operativo
obsoletos, tales como Windows 95, 98, Me y
Windows 2000, existen también protección para
estas plataformas. No por ser versiones
descontinuadas, debemos dejarlas sin
protección.
d) Cuando hablamos de Sistema de Prevención
de Intrusos (IPS) nos referimos a soluciones que
también mediante el análisis de comportamiento
a nivel aplicación o por aplicación de reglas,
realizan sus propios controles, completando
funciones que los Firewalls no tienen, por
ejemplo poder identificar ataques a nivel
aplicación (lo que en la jerga informática se
indica como ataques a nivel de capa 7 del
modelo OSI). Si se dispone de solamente un
firewall personal (ejemplo Windows XP y Vista,
AVG, NOD32, eConceal, entre otros), existen
productos como Safe&Sec Host Intrusion
Prevention System, que les agrega esta función,
completando el nivel de protección.
Adicionalmente, se deben aumentar las barreras
de seguridad de Windows y del Internet
Explorer para que no sea todo de libre acceso,
sin importar que se bajen cookies, controles
Active-X, etc. Lo ideal es colocarlo a nivel de
Seguridad Media, para que permita operar.
Estas soluciones a veces son encontradas en
forma integrada, donde un mismo producto
puede suplir todas las funciones. Y no son
productos de alto precio, donde hay soluciones
debajo de los $ 100 (pesos) por año por PC. No
vale la pena arriesgarnos nosotros, y
comprometer a nuestros contactos. Ante estos
valores, vale la pena afrontar los riesgos que
mencionamos al principio?
Rompamos con el viejo mito de tener
licencias ilegítimas, si podemos tener todo en
regla y más seguros.
Roberto Langdon
Presidente
2MINDS Servicios Informáticos
rlangdon@2mindsarg.com.ar
La Firma Digital y la AFIP
Lo que AFIP llama Token es en realidad el soporte en el que nos darán la Firma Digital
A través de la Resolución 2571/09 la AFIP
reglamenta bajo el nombre de Token la
Firma Digital para sus contribuyentes.
Lamentablemente a la fecha de publicación
de esta nota (19/05/09) no estaba activa la
web AFIP http://acn.afpi.gov.ar como
certificador digital donde los contribuyentes
podríamos verificar las políticas (que
transacciones tiene validez con el uso de
esa firma) de la Firma que nos otorgan,
pero que según los documentos con los
que se licenciaron sería exclusivamente
para su operaciones con los contribuyentes.
Hemos definido la firma digital y sus
diferencias con la firma electrónica en
nuestra nota de marzo. Teniendo en cuenta
eso podemos ver que hasta ahora nuestros
trámites en AFIP era bajo firma electrónica
con la carga de prueba sobre los hombros
del contribuyente ante cualquier repudio o
problema que se presentara en una
presentación de Declaraciones Juradas y
cualquier otro trámite vía web.
En el link
http://www.afip.gov.ar/genericos/guiaDeTra
mites/categoria_list_detail.aspx?id_padre=7
31 podemos ver el alcance de la
implantación y las instrucciones para
solicitar el Token. Por el momento solo
podrán solicitarlo los que tengan nivel 4 al
finalizar lo obtendrán los de nivel 3.
En nuestra opinión el Token debería
entregarse a todo contribuyente desde el
nivel 3 que opere vía web y no sólo a quién
lo pida ya que esto demostraría que AFIP
adoptó la firma digital en sus operaciones
con el contribuyente. Esto además
aceleraría la extensión del concepto de
firma digital en la sociedad herramienta que
las organizaciones que operan en Mercosur
están obligadas a cumplir para sus
documentos comerciales. Una herramienta
que además al dar validez legal a los
archivos y documentos permite
despapelizar las operaciones
Pero lo importante es que haremos con
profesionales y como contribuyentes con la
firma digital que se nos otorgue. En primer
lugar debemos saber que si el documento o
la firma es alterado por cualquier tipo de
software sea virus, robot espía, etc. la
validez de la firma no se verifica y se
informa a quien accede al archivo el error
que se produjo. Por eso es muy importante
ahora más que cuando operábamos con
firma electrónica tener PC, terminales y
servidores seguros para trabajar. Aplicar
seguridad de la información como usuarios
suele ser poco aceptado por la mayoría
pero si a partir de ahora cada vez que
cargue al documento la firma digital ese
documento será idéntico a uno en papel
firmado y certificada la firma por escribano
público debemos empezar a madurar en
nuestra condición de usuarios de
tecnologías de la información.
No sólo debemos ocuparnos de que
nuestras PC, terminales y servidores sean
seguros sino que debemos extremar la
seguridad en la conservación y uso del
Token ya que en él estará nuestra firma y
por lo tanto no podemos alegremente
dejarlo en cualquier lugar o cederlo a un
tercero para que suba una declaración
9
jurada por nosotros. Hasta hace poco
podíamos discutir si el sistema de clave
fiscal actual de la AFIP era seguro y de
hecho sabemos que fue hackeado y se
cambio la situación fiscal de un
contribuyente públicamente conocido.
Haciendo uso de la firma digital no hubiese
ocurrido y no debería ocurrir a menos que
el titular de la firma haga un tratamiento
inadecuado del mismo.
Comenzar con estos ejercicios simples ya
que será en nuestra realidad de
contribuyentes donde empezarnos a hacer
uso de la herramienta nos permitirá ir
escalando en el uso de la firma digital en
operaciones más complejas cuando en un
futuro cercano con otros certificadores y
registrantes con políticas más amplias nos
permitan remplazar el fax, el certificación de
firma, tal vez como en España nuestro
documento de identidad se simplifique y un
sin números de transacciones civiles y
comerciales hay bajo tramites papelizados,
se transformen en electrónicas legalmente
válidas.
Dr Silvia Iglesias
siglesias@itsb.com.ar
http://www.drasilviaiglesias.blogspot.com/

Con la Colaboción de;
http://www.itsb.com.ar
Escuche el contenido de nuestro Newsletter
en Radio Blogs en Radio Nexo
www.radionexo.com.ar
Los miércoles a las 10:00 Hs, a las 14:00 Hs y
a las 20:00 Hs y los jueves a las 17:00 Hs
Participe de Nuestros Blogs en
www.perspectivasinformaticas.blogspot.co
m/
Editorial
Noviembre 2009 Perspectivas
Informáticas
El mundo de la Seguridad de la Información perspectivasinformaticas@gmail.com
se encuentra en permanente desarrollo,
habiéndose transformado en parte esencial de
+54-11-4754-8884
los Sistemas de información.
Novedades del Sector de
Todos recordamos la época en la cual Tecnología de la Información
nuestras casas podían permanecer con las
puertas abiertas; y también sabemos de la Al servicio de:
necesidad de instalar rejas y cercos en la
época actual. Lamentablemente la inseguridad
y la violencia se ha apropiado de nuestras
sociedades y debemos aprender a convivir
con ella.
En algún momento los Sistemas de
Información estaban libres de ataques y por
ello solo era importante mejorarlos para
eliminar errores y hacerlos más eficaces. Sin
embargo la facilidad de acceso de Internet,
sumado al anonimato que en muchos casos
aun se mantiene, hace que todo sistema de http://www.radionexo.com.ar/
información que permanezca conectado a la
red sea vulnerable a posibles ataques. Esto
hace, que así como hemos incluido rejas en
los hogares debamos incluir mecanismos de
defensa en los sistemas de información que
permitan monitorear accesos, controlar el http://www.ccat.com.ar/
código en ejecución, mantener actualizados
los sistemas y aplicativos en uso y preservar Nootech
los datos de la empresa libres de errores,
accesos indebidos y alteraciones no
deseadas. Colaboradores de esta Edición:
En el número de Mayo hemos incluido Pablo De Natale
diversos artículos que tratan desde diversos Silvia Iglesias
ángulos la problemática de la Seguridad de la Osvaldo A Pérez
Información y la Seguridad de los Sistemas de Roberto Langdon
Información.
10