FORMULACIÓN DE UN MODELO ELECTRÓNICO Y UNA

METODOLOGÍA QUE PERMITAN DISEÑAR, IMPLANTAR y

MANTENER UN PLAN DE SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN PARA PYMES: e-
e-SGSI

Tesis para optar al grado de Magister en Seguridad

Informática y Protección de Información

UNIVERSIDAD CENTRAL DE CHILE

FACULTAD DE CIENCIAS FÍSICAS Y MATEMÁTICAS

Eric José Donders Orellana

2010

Profesor Guía: GABRIEL ROSENBERG LEVIT

Profesores Informantes: JULIO GODOY DEL CAMPO y PEDRO ESCÁRATE MONETTA
Agenda

Introducción

Objetivos

Estado del Arte

Fundamentos

Metodología

Servicio e-SGSI

Caso de Estudio

Resultados y Conclusiones
Introducción: Contexto

Gobierno de
Gestión de Seguridad de
Seguridad de la la Información
Información
Seguridad de la
Información

Seguridad de
las TIC’s ¿Dónde se encuentra inmerso
este trabajo de Tesis?
Introducción: Antecedentes

Seguridad de la Información

ISO 27003

Estado de Chile

OCDE

Corfo
Introducción: Motivación

Dado experiencias previas de

implantación de SGSI en grandes
organizaciones

Existen desafíos importantes para
desarrollarlo en un PYME versus una
organización grande

Existe una oportunidad de negocio de
implantar el SGSI en el Estado
Objetivo: Objetivo General

Disminuir los tiempos y costos de

Implementación de un Sistema de
Gestión de Seguridad de la información
para las PYMES en el mediano plazo, en
conformidad con la norma ISO 27001 y
dar cumplimiento a las mejores prácticas
según lo establecido en la norma ISO
27002
Objetivo: Objetivos Específicos

• Diseño de una Plataforma Electrónica para

implantar SGSI en PYMES

• Diseño de una Metodología de Implantación de un

SGSI para PYMES

• Elaboración de un programa de trabajo para el

Levantamiento de los Procesos de PYMES

• Generación de un Análisis Diferencial (estudio de

brechas) para PYMES

• Elaboración de un Programa de Trabajo para

implantar y mantener un SGSI para PYMES
•
•Elaboración de un curso para Capacitación para
PYMES.

• Generación de un conjunto de Políticas de Seguridad

de la Información para PYMES

• Elaboración de un informe ejecutivo final para

PYMES
Introducción: Trabajo

Plataforma
Metodología
Electrónica

e-SGSI
Estado del Arte en Gobierno de
Seguridad de la Información: GRC
Gobernabilidad de Seguridad de la Información GSI
Gobierno
Seguridad http://www.itgi.org/
Información
ISACA Organización de profesionales de Seguridad
http://www.isaca.org/

Gobierno

Cumplimie
Riesgos
nto
 Estado del Arte en Gestión de Seguridad
de la Información: SGSI
Gestión
Seguridad
Información

http://www.27000.org/iso-27003.htm http://www.iso27000.es/
 Fundamentos

ISO 9001

NCh2909-2004

CMM (Capability Maturity Model)

COSO y COBIT en el ámbito de la Auditoría

Balanced Score Card y Métricas

ITIL (IT Infrastructure Library)

ISO 20000 Gestión de Servicio TI

Serie ISO 27000 e-SGSI

(ISO 27001, ISO 27002, ISO 27005, ISO 27003)

Ciclo de Demming PDCA
Tesis

Gestión de Riesgo

PPI

Plataforma Comercio Electrónico e-commerce
Metodología: Propuesta

Metodología de Implantación de un SGSI

Metodología: Levantamiento de Procesos
en una PYME

Metodología para el levantamiento de procesos en la organización

Metodología: Identificación de Activos de
Información

Clasificación de activos de la
Metodología de las Elipses en la
Información Identificación de activos de la
Información

Por cada activo se indica su nivel de
Cada activo se asigna ranking de

confidencialidad, integridad y 1 (bajo) a 5 (alto) según tabla
disponibilidad
Metodología: Análisis y Evaluación de
Riesgos

Roles y Responsabilidades
Análisis de Amenazas y
Vulnerabilidades

Matriz de Riesgo
PROBABILIDAD
Muy Alta 5 2 3 4 5 5

2 2 4 5 5
Alta 4

1 2 3 4 5
Moderada 3
Baja 2 1 1 3 4 4

1 1 3 4 4
Muy Baja 1
1 2 3 4 5
Insignificante Menor Moderado Mayor Muy Alto
IMPACTO
Metodología: Tratamiento de Riesgos

Flujo de Decisiones del CSI

Metodología: Análisis Diferencial de
Seguridad básico

Lo mínimo de
acuerdo a la ISO
27002

Controles de
Controles prácticas de la
Legislativos seguridad de la
información
Metodología: Evaluación de Controles

Evaluación de
controles

Administración y
Gestión de Evaluación de Evaluación de
Aplicaciones
Comunicaciones y controles basado Controles
Operaciones en ISO 27002 Asociados a las TI
Metodología: Resumen de Evaluación

Resumen de la evaluación de controles basado en ISO 27002 (un Ejemplo)
Objetivo Aplica
Docume Score Fortalez Nivel
Cláusula de Práctica Esperada S/N Tipo Clase
ntos Riesgo a Exposición
Control
A pesar de los mecanismos de
Formación y seguridad que se implanten esta siempre
capacitación recae en último término en los usuarios.
en materia Es necesario establecer programas que
6.2.1 de enseñen a los usuarios que es la Si Si 4 C M 1 3
seguridad seguridad y cómo les protegen los
de la distintos controles existentes, además de
información concienciarles de la necesidad de la
seguridad.

Cláusula: Indica el objetivo específico Score de Riesgo: Indica el nivel de riesgo

obtenido en la evaluación de riesgos
Objetivo de Control: Establece lo que se
debe lograr Tipo: Indica el tipo control (P, D, C)

Práctica Esperada: La acción a realizar Clase: Indica la naturaleza del control (M, S, A)

Documentos de referencia: Documentos Fortaleza: Tipo*Clase

de la organización
Nivel de Exposición: Indica el nivel de
Aplica S/N: Indica si el control aplica o no exposición del control
Metodología: Iniciativas y Proyectos

Conjunto estructurado y priorizado con la lista de actividades inmediatas

y las propuestas de proyectos de segurización orientados al mediano y
largo plazo.

Sección Ámbito
Actividad o Proyecto
ISO Temporal
3 Largo Plazo Proyecto de Implantación de Procedimientos de S.I.
4 Largo Plazo Cooperación con organizaciones externas
Actividad
5 Difusión de Política de Clasificación de la Información
Inmediata
Mediano
5 Efectuar una clasificación de Activos
Plazo
Actividad
6 Charlas de sensibilización a empleados
Inmediata
Metodología: Métricas

% de cumplimiento por sección
Madurez de los controles

de los controles por área
% de Cumplimiento por Sección según Modelo ISO 17799:2000

POLITICA DE SEGURIDAD

SEGURIDAD ORGANIZACIONAL

CLASIFICACIÓN Y CONTROL DE ACTIVOS

SEGURIDAD DEL PERSONAL

SEGURIDAD FÍSICA Y AMBIENTAL

GESTIÓN DE COMUNICACIONES Y OPERACIONES

CONTROL DE ACCESOS

DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS

CUMPLIMIENTO LEGALES

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Detalle del % de cumplimiento por sección de los

controles, por ejemplo área de Gestión y Operaciones.

INTERCAMBIOS DE INFORMACIÓN Y
SOFTWARE 8.7

ADMINISTRACIÓN Y SEGURIDAD DE LOS

MEDIOS DE ALMACENAMIENTO 8.6

ADMINISTRACIÓN DE LA RED 8.5

MANTENIMIENTO 8.4
1

PROTECCIÓN CONTRA SOFTWARE

MALICIOSO 8.3

PLANIFICACIÓN Y APROBACIÓN DE
SISTEMAS 8.2

PROCEDIMIENTOS Y RESPONSABILIDADES
OPERATIVAS 8.1

0% 20% 40% 60% 80%

 Metodología: Plan de Implantación SGSI

“El Como”
Aportes de la Metodología

PYME

No solo el Que sino el Como con entregables bien

definidos

Es flexibles a cambios futuros

Es aplicable, es una metodología simple

Plataforma e-SGSI: Fuentes de
Información

Sitios Web de Seguridad

• ISC2
• CERT/CC

Profesionales de Seguridad y Organización de
Seguridad Internacional y Local (Chile)
• ISACA y Capítulo chileno de ISACA
• ISSA y Capítulo chileno de ISSA
Consultoría Tradicional versus e-sgsi

• Tradicional • e-sgsi
Plataforma e-SGSI: Atributos

• Atributos de valor de la • Requerimientos de un e-SGSI

plataforma e-SGSI
– Operación
– Adaptación
– Reutilización de los procesos
de la organización
– Adaptación de las cadenas
de valor asociadas al SGSI
– Posicionamiento como un
atributo de calidad
– Toma de decisión en tiempo
real
Plataforma e-SGSI: Requerimientos y
modelo

Uso del modelo electrónico B2B
Plataforma e-SGSI desarrollado

para el e-SGSI hasta el prototipo
 Servicio e-SGSI: Prototipo

• Plataforma e-SGSI
• Toolkit de
Implantación
Caso de Negocios: Descripción

El sistema de Gestión de la Seguridad de la Información (SGSI) se aplicó a

todas las actividades de la Dirección de Presupuesto (DIPRES) establecidas
en los sistemas PMG (Programa de Mejoramiento de la Gestión) que se
encuentran en proceso de acreditación externa, bajo norma ISO 9001:2000,
vale decir:
• Servicio Planificación-Control de Gestión
• Servicio Capacitación
• Servicio de Compras y Abastecimiento
• Servicio de Higiene y Seguridad
• Servicio de Auditoría Interna

http://www.dipres.cl/transparencia/doc/honorarios01/2007/hon01.asp
Caso de Negocios: Actividades y
Entregables

“Diagnostico ISO 27001”
El caso de negocio permitió validar

Duración los entregables de la metodología
Etapa
(días) propuesta y así dar cumplimiento a
Inicio del proyecto 5 los objetivos específicos de la tesis
Definición del SGSI 10
Programa de Trabajo para
proyecto de consultoría
Gestión de Activos 10

Material del curso de capacitación
Análisis y Evaluación de Riesgos 10

Políticas Actuales revisadas
Tratamiento de Riesgos 15

Diagramas de Procesos
Revisión de fase de planificación 10
Políticas faltantes

Duración
Cartera de Proyectos

3 meses (60 días hábiles)
Plan de Implantación

Costo Aprox.

300 UF
 Resultados con un par de ejemplos

Reducción de riesgos

Gestión de código malicioso;
la activación de Virus en el
interior de la organización
Perdida anual sin Gestión AV
US$25.000 = (5000*5)
Perdida anual con Gestión AV
US$5.000 = (5000*1)

Cumplimiento Legal

Publicación de una política de
cumplimiento del derecho de
propiedad intelectual de
software que defina el uso
legal de productos de
información y de software
Resultados: Costos

Costo de Implantación de un SGSI

Fase1: Diagnóstico ISO 27001. Evaluar la
condición en que se encuentra el ámbito
a ser certificado respecto de los
estándares que impone la norma

Costo de Implantación de un SGSI

Fase 1 + Fase2 : Consultoría SGSI.
Implantación de la Norma SGSI 27001
en el ámbito que se determine
Conclusiones

La aplicación de la metodología desarrollada en esta tesis

mediante la plataforma e-sgsi en el caso de negocio
permiten emitir dos conclusiones.

La metodología propuesta es aplicable, es decir, permite

implantar un SGSI en la PYME

El uso de la plataforma e-sgsi en su calidad de prototipo

permiten en forma efectiva acortar los tiempos y costos de
implantar un SGSI en la PYME
Lo que sigue

Desarrollo de un proyecto CORFO que permita transformar el

prototipo en producto final y crear el plan de negocios para su
venta

Desarrollo de un nuevo PMG (Programa de Mejoramiento de

Gestión) de Gobierno para la implantación de un SGSI en el
Estado

“Cuando los vientos de cambios

soplan, algunos construyen refugios y
se ponen a salvo… otros construyen
molinos y se hacen ricos”
(Claus Möller
Möller))