ISOIEC 27000
23
COMPILACION BIBLIOGRAFICA ISO serie 27000, ISO 17799 Presentado Por Juan Pablo Castro Toro UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERIAS Ingeniería de Sistemas Y Computación Octubre 6 de 2010 Manizales
-
Upload
richard-barja -
Category
Documents
-
view
54 -
download
0
Transcript of ISOIEC 27000
COMPILACION BIBLIOGRAFICA
ISO serie 27000, ISO 17799
Presentado Por Juan Pablo Castro Toro
UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERIAS
Ingeniería de Sistemas Y Computación Octubre 6 de 2010
Manizales
COMPILACION BIBLIOGRAFICA
ISO serie 27000, ISO 17799
Presentado por Juan Pablo Castro Toro
Presentado a Carlos Hernán Gómez Gómez
Asignatura Auditoria Informática
UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERIAS
Ingeniería de Sistemas Y Computación Octubre 6 de 2010
Manizales
CONTENIDO
INTRODUCCION……………………………………………………………………...4
MARCO TERORICO………………………………………………………………….5
HISTORIA Y EVOLUCION…………………………………………………………..5
ISO 17799……………………………………………………………………………..6
ISO 27000…………………………………………………………………………….10
RESUMEN…………………………………………………………………………….16
COPARACION COBIT, ISO17799 e ISO 27000………………………………..21
COCLUSIONES Y OBSERVACIONES……………………………………………22
BIBLIOGRAFIA………………………………………………………………………23
INTRODUCCION
Si no hubiera estándares, muy pronto lo notaríamos. Los estándares hacen una contribución enorme a la mayoría de los aspectos de nuestras vidas, aunque muy a menudo, esa contribución es invisible, Por ejemplo, como compradores o usuarios de productos, muy pronto notamos cuando resultan estar de mala calidad, son incompatibles con el equipo existente, son no fiables o peligrosos. Cuando los productos alcanzan nuestras expectativas, tendemos para tomar esto por concedido. Somos generalmente inconscientes del papel desempeñado de los estándares pues estos levantan los niveles de la calidad, seguridad, confiabilidad, eficacia, así como en el abastecimiento de tales ventajas en un costo económico, por tal razón cientos de compañías de todo el mundo se basan en los estándares ISO que es el desarrollador más grande del mundo de estándares. Aunque la actividad principal de la ISO es el desarrollo de estándares técnicos, los estándares de ISO también tienen repercusiones económicas y sociales importantes. Los estándares de ISO hacen una diferencia positiva, no solamente a los ingenieros y a los fabricantes para quienes solucionan problemas básicos en la producción y la distribución, pero a la sociedad en su totalidad. Los estándares internacionales que la ISO desarrolla son muy útiles, Son útiles a las organizaciones industriales y de negocio de todos los tipos.
Los estándares de ISO contribuyen a hacer el desarrollo, la fabricación y la fuente de los productos y de los servicios más eficientes, más seguros y más limpios. Hacen comercio entre los países más fácil y más favorablemente. Proveen de gobiernos una base técnica para la salud, la seguridad y la legislación ambiental. Ayudan en tecnología de transferencia a los países en vías de desarrollo. Los estándares de ISO también sirven para salvaguardar consumidores, y a usuarios en general, de productos y de servicios , así como para hacer sus vidas más simples.
Cuando las cosas van bien, por ejemplo, cuando los sistemas, la maquinaria y los dispositivos trabajan bien y con seguridad, es entonces porque ellos llegan a cumplir con los estándares y la organización responsable de muchos millares de los estándares que benefician a sociedad alrededor del mundo es ISO.
MARCO TERORICO
La norma ISO 17799 es un código de buenas prácticas para la Gestión de la Seguridad de la Información, esta norma surge como evolución histórica de la norma británica BS 7799 y actualmente existen varias adaptaciones de la misma que convergerán en un futuro próximo a las normas de la serie ISO 27000.
La ISO 17799 introduce un cambio importante en los sistemas de gestión de la seguridad de la información ya que los aborda desde un punto de vista de continuidad de negocio y de mejora continua. Esta norma hereda muchos conceptos de la serie de normas ISO 9000 y subraya la seguridad entendida como proceso.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO e IEC que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña; Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
HISTORIA Y EVOLUCION
La estandarización Internacional comenzó en el campo electrotécnico: la Comisión Electrotécnica Internacional (IEC) fue establecida en 1906. Iniciando el trabajo en otros campos fue realizado por la Federación Internacional de la Organización Estandarizadora Nacional (ISA), que fue instalada en 1926. El énfasis dentro de ISA fue puesto pesadamente en la ingeniería industrial. Las actividades de ISA acabaron en 1942. En 1946, delegados de 25 países se reunieron en Londres y decidieron crear una nueva organización internacional, de la cual el objeto sería "facilitar la coordinación y la unificación internacional de estándares industriales". La nueva organización, ISO, comenzó oficialmente operaciones el 23 de febrero de 1947.
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001
1992 Publicación BS 7750 - ahora ISO 14001
1996 Publicación BS 8800 - ahora OHSAS 18001 La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa , británica o no, un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte
(BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. WWW.ISO27000.ES © 3En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
ISO 17799
ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la
gestión de la seguridad de la información a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestión de la
seguridad de la información.
La versión de 2005 del estándar incluye las siguientes once secciones
principales:
1. Política de Seguridad de la Información.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento.
La norma ISO/IEC 27001 (Information technology - Security techniques -
Information security management systems - Requirements) sí es certificable y
especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información según el
famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas
descritas en ISO/IEC 17799 y tiene su origen en la norma británica British
Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el
propósito de poder certificar los Sistemas de Gestión de la Seguridad de la
Información implantados en las organizaciones y por medio de un proceso
formal de auditoría realizado por un tercero.
En toda organización que haga uso de las tecnologías de información se recomienda implementar buenas prácticas de seguridad, pues en muchas ocasiones el no seguir un proceso de implementación adecuado como el que establece el ISO 17799 puede generar huecos por la misma complejidad de las organizaciones, en ese sentido, aumenta la posibilidad de riesgos en la información.
Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO (International Organization for Standardization) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.
El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:
Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información.
Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.
Estos principios en la protección de los activos de información constituyen las normas básicas deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.
El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de la organización, reducir al mínimo los daños causados por una contingencia, así como optimizar la inversión en tecnologías de seguridad.
Como todo buen estándar, el ISO 17799 da la pauta en la definición sobre cuáles metodologías, normas o estándares técnicos pueden ser aplicados en el sistema de administración de la seguridad de la información, se puede entender que estos estándares son auxiliares y serán aplicados en algún momento al implementar el mismo.
La aplicación de un marco de referencia de seguridad basado en el ISO 17799 proporciona beneficios a toda organización que lo implemente, al garantizar la existencia de una serie de procesos que permiten evaluar, mantener y administrar la seguridad de la información.
Las políticas, estándares locales y los procedimientos se encuentran adaptados a las necesidades de la organización debido a que el proceso mismo de su elaboración integra mecanismos de control y por último, la certificación permite a las organizaciones demostrar el estado de la seguridad de la información, situación que resulta muy importante en aquellos convenios o contratos con terceras organizaciones que establecen como requisito contractual la certificación BS7799.
Es importante entender los principios y objetivos que dan vida al ISO 17799, así como los beneficios que cualquier organización, incluyendo las instituciones públicas, privadas y ambientes educativos pueden adquirir al implementarlo en sus prácticas de seguridad de la información.
El estándar de seguridad de la información ISO 17799, descendiente del BS 7799 –Information Security Management Standard – de la BSI (British Standard Institute) que publicó su primera versión en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos partes:
· Parte 1. Código de prácticas.
· Parte 2. Especificaciones del sistema de administración de seguridad de la información.
Por la necesidad generalizada de contar con un estándar de carácter internacional que permitiera reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se elaboró el estándar ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida como Código de Prácticas (BS 7799 Part 1: Code of Practice).
El éxito de la implementación del estándar de seguridad ISO 17799 requiere de una serie de procedimientos donde, inicialmente, el análisis de riesgos identificará los activos de la información y las amenazas a las cuales se encuentra expuesta.
El análisis de riesgos guiará en la correcta selección de los controles que apliquen a la organización; este proceso se conoce en la jerga del estándar como Statement of Applicability, que es la definición de los controles que aplican a la organización con objeto de proporcionar niveles prácticos de seguridad de la información y medir el cumplimiento de los mismos.
A continuación, se describirán cada una de las diez áreas de seguridad con el objeto de esclarecer los objetivos de estos controles.
Políticas de seguridad. El estándar define como obligatorias las políticas de seguridad documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad.
Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una organización, tales como un foro de administración de la seguridad de la información, un contacto oficial de seguridad (Information System Security Officer – ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos.
Clasificación y control de activos. El análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.
Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información.
El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la información.
Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.
Comunicaciones y administración de operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.
Desarrollo de sistemas y mantenimiento. La organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización.
Continuidad de las operaciones de la organización. El sistema de administración de la seguridad debe integrar los procedimientos de
recuperación en caso de contingencias, los cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos.
Requerimientos legales. La organización establecerá los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los contratos o convenios.
Cada una de las áreas establece una serie de controles que serán seleccionados dependiendo de los resultados obtenidos en el análisis de riesgos, además, existen controles obligatorios para toda organización, como es el de las políticas de seguridad cuyo número dependerá más de la organización que del estándar, el cual no establece este nivel de detalle.
ISO 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
ISO/IEC 27000:
Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión general de
las normas que componen la serie 27000, una introducción a los Sistemas de
Gestión de Seguridad de la Información, una breve descripción del proceso
Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie
27000. En España, esta norma aún no está traducida. El original en inglés y su
traducción al francés pueden descargarse gratuitamente
de standards.iso.org/ittf/PubliclyAvailableStandards.
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad de la información.
Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma
con arreglo a la cual se certifican por auditores externos los SGSIs de las
organizaciones. a pesar de no ser obligatoria la implementación de todos los
controles, la organización deberá argumentar sólidamente la no aplicabilidad de
los controles no implementados. Desde el 28 de Noviembre de 2007, esta
norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede
adquirirse online en AENOR (también en lengua gallega). En 2009, se publicó
un documento adicional de modificaciones (UNE-ISO/IEC
27001:2007/1M:2009). Otros países donde también está publicada en español
son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma
ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001)
o México (NMX-I-041/02-NYCE). El original en inglés y la traducción al francés
pueden adquirirse eniso.org. Actualmente, este estándar se encuentra en
periodo de revisión en el subcomité ISO SC27, con fecha prevista de
publicación en 2012.
ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,
manteniendo 2005 como año de edición. Es una guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. No es certificable. Contiene 39 objetivos de control
y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su
apartado correspondiente, la norma ISO 27001 contiene un anexo que resume
los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC
27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros
países donde también está publicada en español son, por
ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC
27002), Argentina (IRAM-ISO-IEC 27002),Chile (NCh-ISO27002) o Perú (como
ISO 17799; descarga gratuita). El original en inglés y su traducción al francés
pueden adquirirse en iso.org. Actualmente, este estándar se encuentra en
periodo de revisión en el subcomité ISO SC27, con fecha prevista de
publicación en 2012.
ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra
en los aspectos críticos necesarios para el diseño e implementación con éxito
de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de
especificación y diseño desde la concepción hasta la puesta en marcha de
planes de implementación, así como el proceso de obtención de aprobación
por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la
norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de
los años con recomendaciones y guías de implantación. En España, esta
norma aún no está traducida. El original en inglés puede adquirirse en iso.org.
ISO/IEC 27004:
Publicada el 7 de Diciembre de 2009. No certificable. Es una guía para el
desarrollo y utilización de métricas y técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles o grupos de controles
implementados según ISO/IEC 27001. En España, esta norma aún no está
traducida. El original en inglés puede adquirirse eniso.org
ISO/IEC 27005:
Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la
gestión del riesgo en la seguridad de la información. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001 y está diseñada para
ayudar a la aplicación satisfactoria de la seguridad de la información basada en
un enfoque de gestión de riesgos. Su publicación revisa y retira las normas
ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en inglés
puede adquirirse en iso.org. En España, esta norma aún no está traducida, sin
embargo, sí lo está en países como México (NMX-I-041/05-NYCE), Chile(NCh-
ISO27005) o Colombia (NTC-ISO-IEC 27005).
ISO/IEC 27006:
Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación
de entidades de auditoría y certificación de sistemas de gestión de seguridad
de la información. Es una versión revisada de EA-7/03 (Requisitos para la
acreditación de entidades que operan certificación/registro de SGSIs) que
añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y
certificación de sistemas de gestión) los requisitos específicos relacionados con
ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de
acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación
de ISO 27001, pero no es una norma de acreditación por sí misma. El original
en inglés puede adquirirse en iso.org. En España, esta norma aún no está
traducida, sin embargo, sí lo está en México (NMX-I-041/06-NYCE).
ISO/IEC 27007:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía
de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
ISO/IEC 27008:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía
de auditoría de los controles seleccionados en el marco de implantación de un
SGSI.
ISO/IEC 27010:
En fase de desarrollo, con publicación prevista en 2012. Es una norma en 2
partes, que consistirá en una guía para la gestión de la seguridad de la
información en comunicaciones inter-sectoriales.
•ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la
implementación y gestión de la seguridad de la información en organizaciones
del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada
también como norma ITU-T X.1051. En España, aún no está traducida. El
original en inglés puede adquirirse eniso.org.
ISO/IEC 27012:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en un
conjunto de requisitos (complementarios a ISO/IEC 27001) y directrices
(complementarias a ISO/IEC 27002) de gestión de seguridad de la información
en organizaciones que proporcionen servicios de e-Administración.
ISO/IEC 27013:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía
de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la
información) y de ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27014:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía
de gobierno corporativo de la seguridad de la información.
ISO/IEC 27015:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía
de SGSI para organizaciones del sector financiero y de seguros.
ISO/IEC 27031:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía
de continuidad de negocio en cuanto a tecnologías de la información y
comunicaciones.
ISO/IEC 27032:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía
relativa a la ciberseguridad.
ISO/IEC 27033:
Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1,
conceptos generales (publicada el 10 de Diciembre de 2009 y disponible
en iso.org); 27033-2, directrices de diseño e implementación de seguridad en
redes (prevista para 2011); 27033-3, escenarios de redes de referencia
(prevista para 2011); 27033-4, aseguramiento de las comunicaciones entre
redes mediante gateways de seguridad (prevista para 2012); 27033-5,
aseguramiento de comunicaciones mediante VPNs (prevista para 2012);
27033-6, convergencia IP (prevista para 2012); 27033-7, redes inalámbricas
(prevista para 2012).
ISO/IEC 27034:
En fase de desarrollo, con publicación prevista en 2010. Consistirá en una guía
de seguridad en aplicaciones informáticas.
ISO/IEC 27035:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía
de gestión de incidentes de seguridad de la información.
ISO/IEC 27036:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía
de seguridad de outsourcing (externalización de servicios).
ISO/IEC 27037:
En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía
de identificación, recopilación y preservación de evidencias digitales.
ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices
para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC
27002, en cuanto a la seguridad de la información sobre los datos de salud de
los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el
subcomité JTC1/SC27, sino el comité técnico TC 215. El original en inglés o
francés puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma
está publicada en España como UNE-ISO/IEC 27799:2010 y puede adquirirse
online en AENOR.
Algunos beneficios que trae aplicar ISO 27000 son:
Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
Reducción del riesgo de pérdida, robo o corrupción de información.
Los clientes tienen acceso a la información a través medidas de seguridad.
Los riesgos y sus controles son continuamente revisados.
Confianza de clientes y socios estratégicos por la garantía de calidad y
confidencialidad comercial.
Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001,
OHSAS 18001L).
Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
Conformidad con la legislación vigente sobre información personal, propiedad
intelectual y otras.
Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
Confianza y reglas claras para las personas de la organización.
Reducción de costes y mejora de los procesos y servicio.
Aumento de la motivación y satisfacción del personal.
Aumento de la seguridad en base a la gestión de procesos en vez de en la compra
sistemática de productos y tecnologías. El siguiente grafica nos muestra la forma correcta de adaptar ISO 27000
Por ejemplo:
La implantación de ISO/IEC 27001 en una organización es un proyecto que
suele tener una duración entre 6 y 12 meses, dependiendo del grado de
madurez en seguridad de la información y el alcance, entendiendo por alcance
el ámbito de la organización que va a estar sometido al Sistema de Gestión de
la Seguridad de la Información ( en adelante SGSI) elegido. En general, es
recomendable la ayuda de consultores externos.
El equipo de proyecto de implantación debe estar formado por representantes
de todas las áreas de la organización que se vean afectadas por el SGSI,
liderado por la dirección y asesorado por consultores externos especializados
en seguridad informática, derecho de las nuevas tecnologías, protección de
datos y sistemas de gestión de seguridad de la información (que hayan
realizado un curso de implantador de SGSI).
RESUMEN
La norma ISO 17799 es un código de buenas prácticas para la Gestión de la Seguridad de la Información, esta norma surge como evolución histórica de la norma británica BS 7799 y actualmente existen varias adaptaciones de la misma que convergerán en un futuro próximo a las normas de la serie ISO 27000. La ISO 17799 introduce un cambio importante en los sistemas de gestión de la seguridad de la información ya que los aborda desde un punto de vista de continuidad de negocio y de mejora continua. Esta norma hereda muchos conceptos de la serie de normas ISO 9000 y subraya la seguridad entendida como proceso. ISO/IEC 27000 es un conjunto de estándares desarrollados, o en fase de desarrollo- por ISO e IEC que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña; Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el famoso “Círculo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 y tiene su origen en la norma británica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propósito de poder certificar los Sistemas de Gestión de la Seguridad de la Información implantados en las organizaciones y por medio de un proceso formal de auditoría realizado por un tercero.
El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:
Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información.
Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.
El estándar de seguridad de la información ISO 17799, descendiente del BS 7799 –Information Security Management Standard – de la BSI (British Standard Institute) que publicó su primera versión en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos partes:
· Parte 1. Código de prácticas.
· Parte 2. Especificaciones del sistema de administración de seguridad de la información.
Por la necesidad generalizada de contar con un estándar de carácter internacional que permitiera reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se elaboró el estándar ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida como Código de Prácticas (BS 7799 Part 1: Code of Practice).
El éxito de la implementación del estándar de seguridad ISO 17799 requiere de una serie de procedimientos donde, inicialmente, el análisis de riesgos identificará los activos de la información y las amenazas a las cuales se encuentra expuesta.
El análisis de riesgos guiará en la correcta selección de los controles que apliquen a la organización; este proceso se conoce en la jerga del estándar como Statement of Applicability, que es la definición de los controles que aplican a la organización con objeto de proporcionar niveles prácticos de seguridad de la información y medir el cumplimiento de los mismos.
A continuación, se describirán cada una de las diez áreas de seguridad con el objeto de esclarecer los objetivos de estos controles.
Clasificación y control de activos. El análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información.
Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información.
Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos,
transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.
Comunicaciones y administración de operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.
Desarrollo de sistemas y mantenimiento. La organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización.
Continuidad de las operaciones de la organización. El sistema de administración de la seguridad debe integrar los procedimientos de recuperación en caso de contingencias, los cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos.
Requerimientos legales. La organización establecerá los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los contratos o convenios.
ISO 27000
ISO/IEC 27000: Publicada el 1 de Mayo de 2009. Esta norma
proporciona una visión general de las normas que componen la serie
27000, una introducción a los Sistemas de Gestión de Seguridad de la
Información, una breve descripción del proceso Plan-Do-Check-Act y
términos y definiciones que se emplean en toda la serie 27000.
ISO/IEC 27001: Es la norma principal de la serie y contiene los
requisitos del sistema de gestión de seguridad de la información. Tiene
su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma
con arreglo a la cual se certifican por auditores externos los SGSIs de
las organizaciones. a pesar de no ser obligatoria la implementación de
todos los controles, la organización deberá argumentar sólidamente la
no aplicabilidad de los controles no implementados.
ISO/IEC 27002: Es el nuevo nombre de ISO 17799:2005, manteniendo
2005 como año de edición. Es una guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. No es certificable. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios.
ISO/IEC 27003: No certificable. Es una guía que se centra en los
aspectos críticos necesarios para el diseño e implementación con éxito
de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de
especificación y diseño desde la concepción hasta la puesta en marcha
de planes de implementación, así como el proceso de obtención de
aprobación por la dirección para implementar un SGSI.
ISO/IEC 27004: No certificable. Es una guía para el desarrollo y
utilización de métricas y técnicas de medida aplicables para determinar
la eficacia de un SGSI y de los controles o grupos de controles
implementados según ISO/IEC 27001.
ISO/IEC 27005: No certificable. Proporciona directrices para la gestión
del riesgo en la seguridad de la información. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001 y está diseñada
para ayudar a la aplicación satisfactoria de la seguridad de la
información basada en un enfoque de gestión de riesgos.
ISO/IEC 27006: Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión de
seguridad de la información. Es una versión revisada de EA-7/03
(Requisitos para la acreditación de entidades que operan
certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos
para las entidades de auditoría y certificación de sistemas de gestión)
los requisitos específicos relacionados con ISO 27001 y los SGSIs.
ISO/IEC 27007: En fase de desarrollo, con publicación prevista en 2011.
Consistirá en una guía de auditoría de un SGSI, como complemento a lo
especificado en ISO 19011.
ISO/IEC 27008: En fase de desarrollo, con publicación prevista en 2011.
Consistirá en una guía de auditoría de los controles seleccionados en el
marco de implantación de un SGSI.
ISO/IEC 27010: En fase de desarrollo, con publicación prevista en 2012.
Es una norma en 2 partes, que consistirá en una guía para la gestión de
la seguridad de la información en comunicaciones inter-sectoriales.
ISO/IEC 27011: Es una guía de interpretación de la implementación y
gestión de la seguridad de la información en organizaciones del sector
de telecomunicaciones basada en ISO/IEC 27002. Está publicada
también como norma ITU-T X.1051.
ISO/IEC 27012: En fase de desarrollo, con publicación prevista en
2011. Consistirá en un conjunto de requisitos (complementarios a
ISO/IEC 27001) y directrices (complementarias a ISO/IEC 27002) de
gestión de seguridad de la información en organizaciones que
proporcionen servicios de e-Administración.
ISO/IEC 27013: En fase de desarrollo, con publicación prevista en 2012.
Consistirá en una guía de implementación integrada de ISO/IEC 27001
(gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión
de servicios TI).
ISO/IEC 27014: En fase de desarrollo, con publicación prevista en 2012.
Consistirá en una guía de gobierno corporativo de la seguridad de la
información.
ISO/IEC 27015: En fase de desarrollo, con publicación prevista en 2012.
Consistirá en una guía de SGSI para organizaciones del sector
financiero y de seguros.
ISO/IEC 27031: En fase de desarrollo, con publicación prevista en 2011.
Consistirá en una guía de continuidad de negocio en cuanto a
tecnologías de la información y comunicaciones.
ISO/IEC 27032: En fase de desarrollo, con publicación prevista en 2011.
Consistirá en una guía relativa a la ciberseguridad.
ISO/IEC 27033: Norma dedicada a la seguridad en redes, consistente
en 7 partes: 27033-1, conceptos generales, 27033-2, directrices de
diseño e implementación de seguridad en redes (prevista para 2011);
27033-3, escenarios de redes de referencia (prevista para 2011);
27033-4, aseguramiento de las comunicaciones entre redes mediante
gateways de seguridad (prevista para 2012); 27033-5, aseguramiento
de comunicaciones mediante VPNs (prevista para 2012); 27033-6,
convergencia IP (prevista para 2012); 27033-7, redes inalámbricas
(prevista para 2012).
ISO/IEC 27034: En fase de desarrollo, con publicación prevista en 2010.
Consistirá en una guía de seguridad en aplicaciones informáticas.
ISO/IEC 27035: En fase de desarrollo, con publicación prevista en 2011.
Consistirá en una guía de gestión de incidentes de seguridad de la
información.
ISO/IEC 27036: En fase de desarrollo, con publicación prevista en 2012.
Consistirá en una guía de seguridad de outsourcing (externalización de
servicios).
ISO/IEC 27037: En fase de desarrollo, con publicación prevista en 2012.
Consistirá en una guía de identificación, recopilación y preservación de
evidencias digitales.
ISO 27799: Es una norma que proporciona directrices para apoyar la
interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en
cuanto a la seguridad de la información sobre los datos de salud de los
pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el
subcomité JTC1/SC27, sino el comité técnico TC 215.
El siguiente grafica nos muestra la forma correcta de adaptar ISO 27000:
COPARACION COBIT, ISO17799 e ISO 27000
Los estándares ISO17799 y ISO 27000 Son es un conjunto de estándares desarrollados, o en fase de desarrollo, por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña, mientras que COBIT es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez, Por lo que notamos una estrecha relación entre ISO y COBIT, pues COBIT Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por COBIT están más cerca de adaptarse y lograr la certificación en ISO 27001. En conclusión ISO17799 y ISO 27000 y COBIT van de la mano pues ambos velan por la buena gestión de la información de de las organizaciones.
COCLUSIONES Y OBSERVACIONES
Se puede prever, que la certificación ISO 27000 será una obligación de cualquier empresa que desee competir en el mercado, se deben exigir niveles concretos y adecuados de seguridad informática, sino se podrían abrir brechas de seguridad, este estándar apunta a poder exigir dichos niveles y cubrir todas estas posibles brechas, y ya no puede caber duda que las empresas para competir con sus productos en el mercado cibernético, tienen que exponer sus infraestructuras de información, es por esto que ISO 27000 en este sentido es una muy buena y solida solución.
En estos momentos ISO se encuentra trabajando en nuevos estándares que serán publicados para así cubrir casi en su totalidad las posibles brechas, que puedan llevar a cualquier tipo de riesgo la información de las organizaciones.
Es claro que al aplicar en una organización un estándar como ISO 27000 el trabajo con estos estándares debe ser continuo , pues ISO año tras año publica nuevas modificaciones a estos estándares, para así asegurar una correcta gestión de la información de las organizaciones, por lo tanto se debe estar muy pendiente de todas estas nuevas publicaciones para no poner en riesgo la información de la organización.
Algo que queda muy claro es que los estándares ISO 27000 son aplicables a cualquier tipo de organización, independientemente de la magnitud que sea, si es grande este estándar tiene todo el nivel de de detalle que se necesita y se es pequeña, ISO 27000 nos permite Sacar adelante un verdadero SGSI.
BIBBLIOGRAFIA
http://www.iso27000.es/download/doc_iso27000_all.pdf
http://es.wikipedia.org/wiki/ISO/IEC_17799
http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm
http://www.worldamerican.com/spanish_pages/site/quality/iso.html
http://www.iso27000.es/iso27000.html#section3b
http://www.itsecurity.es/2010/01/origen-y-breve-historia-de-la-familia.html
http://www.iso27000.es/download/doc_iso27000_all.pdf
