Escolar Documentos
Profissional Documentos
Cultura Documentos
DOCENTE:
INTEGRANTES:
ESCUELA:
Ingeniera de Sistemas
1
INDICE
INTRODUCCIN ............................................................................................................................ 3
ISO 27000 ...................................................................................................................................... 4
1. ORIGEN.............................................................................................................................. 4
2. SERIE ISO 27000 ................................................................................................................ 5
3. ISO 27001 .......................................................................................................................... 6
4. BENEFICIOS ....................................................................................................................... 7
5. PASOS PARA LA CERTIFICACIN....................................................................................... 8
6. CONTENIDO DE LA NORMA ISO 27001 ............................................................................ 8
7. METODOLOGIA PDCA ..................................................................................................... 10
8. DOMINIOS Y CONTROLES ............................................................................................... 11
9. NTP 17799 ....................................................................................................................... 18
CASO APLICATIVO ....................................................................................................................... 19
CONCLUSIN............................................................................................................................... 20
BIBLIOGRAFIA ............................................................................................................................. 21
2
INTRODUCCIN
La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier
organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por
tanto, un objetivo de primer nivel para la organizacin.
En esta monografa se resumen las distintas normas que componen la serie ISO 27000 y se indica
cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin
(SGSI) basado en ISO 27001.
3
ISO 27000
1. ORIGEN
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards
Institution) es responsable de la publicacin de importantes normas como:
Para encontrar las races de la serie 27000 hay que remontarse al 1995 y la norma BS7799 de la
propia BSI, cuyo principal objetivo era dotar a las empresas de un conjunto de buenas prcticas
que aplicar, a la hora de gestionar la seguridad de la informacin.
BS 7799-1 de 1995, que establece una gua de buenas prcticas, pero que no constituye
un esquema de certificacin.
BS 7799-2 de 1998, donde ya s, se establecen los requisitos de un SGSI (Sistema de
Gestin de Seguridad de la Informacin)38 para que ste pueda ser certificado como
tal.
La norma BS 7799, en sus dos partes, sigue evolucionando, y es sometida a una revisin en 1999,
de forma que la norma BS 7799-1 es adoptada por ISO como la norma ISO 17799, sin cambios
fundamentales.
Es as que en el 2005 nace, a partir de la norma BS 7799-2, la norma ISO 27001, como estndar
de certificacin, as como se revisa y actualiza la norma ISO 17799, renombrndose sta como
ISO 27002:2005. Vase un esquema que aclare esta evolucin:
4
2. SERIE ISO 27000
Seguidamente, y considerando que son de especial inters los contenidos de cada una de ellas,
se presenta una breve descripcin de toda la serie ISO 27000.
2.1. ISO 27000: Esta norma proporciona una visin general de las normas que componen la
serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin,
una breve descripcin del proceso Plan-Do-Check-Act y trminos y definiciones que se
emplean en toda la serie 27000.
2.2. ISO 27001: Es la certificacin que deben obtener las organizaciones. Norma que
especifica los requisitos para la implantacin del SGSI. Es la norma ms importante de
la familia. Adopta un enfoque de gestin de riesgos y promueve la mejora continua de
los procesos. Fue publicada como estndar internacional en octubre de 2005. En su
Anexo A, enumera en forma de resumen los objetivos de control y controles que
desarrolla la ISO 27002 para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los
controles enumerados en dicho anexo, la organizacin deber argumentar slidamente
la no aplicabilidad de los controles no implementados.
2.3. ISO 27002: Es una gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la informacin. No es certificable.
Contiene 39 objetivos de control y 114 controles, agrupados en 14 dominios.
2.4. ISO 27003: Es una gua que se centra en los aspectos crticos necesarios para el diseo
e implementacin con xito de un SGSI de acuerdo ISO 27001
2.5. ISO 27004: son mtricas para la gestin de seguridad de la informacin. Es la que
proporciona recomendaciones de quin, cundo y cmo realizar mediciones de
seguridad de la informacin.
2.7. ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora y
certificacin de sistemas de gestin de seguridad de la informacin.
2.8. ISO 27007: Publicacin prevista en 2011. Consistir en una gua de auditora de un SGSI,
como complemento a lo especificado en ISO 19011.
5
2.9. ISO 27011: Es una gua de interpretacin de la implementacin y gestin de la seguridad
de la informacin en organizaciones del sector de telecomunicaciones basada en
ISO/IEC 27002.
3. ISO 27001
La norma ISO 27001 tiene su origen en la norma BS 7799-2:2002 y se public en octubre del
2005.
Se podra decir que es la norma principal de la serie, ya que tiene una completa descripcin de
los Sistemas de Gestin de Seguridad de la Informacin, pudiendo considerar actualmente a
dichos sistemas, como el mejor medio para asegurar la calidad de la seguridad de la informacin.
En esta norma, adems del Objeto, campo de aplicacin, terminologa y definiciones, se define
de forma clara cmo crear, implantar, operar, supervisar, revisar, mantener y mejorar el SGSI,
as como los requisitos de documentacin y control de dichos sistemas.
6
auditoras internas a los SGSI, as como acciones correctivas y preventivas para su mejora
continua.
Un SGSI, trata de ser un proceso sistemtico, documentado y conocido por toda la organizacin,
para gestionar la seguridad de la informacin desde un enfoque de riesgo empresarial.
Para realizar estas funciones, y en el mbito de la gestin de la calidad (ISO 9001), podra decirse
que un SGSI est formado por el siguiente modelo:
4. BENEFICIOS
7
Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y
las reas a mejorar.
Aumento de la motivacin y satisfaccin del personal al contar con unas directrices
claras.
Se elige la norma para luego poder realizar una solicitud correspondiente, para bajar de la
pgina web de la ISO 27001 para poder leer y entender la misma.
5.2. Contactar
Se conoce a la persona responsable de que el certificado sea entregado con todas las normas
correspondientes a este estndar dando la confianza de profesionalismo ante todo en el
trabajo que realiza y en los conocimientos que posee para un buen desempeo de la
certificacin.
Si se desea ampliar los conocimientos del estndar, se debe disponer de talleres, seminarios
donde la funcin es adaptar los conocimientos que se han pedido que se aplique en la
certificacin y as no tener problemas en el desarrollo de algn sistema de seguridad en
cualquier organizacin.
Se realiza una anlisis de los procesos operativos del sistema de gestin de seguridad
informtica, por ende cualquier problema que se realice se debe satisfacer antes de la
evaluacin formal, una vez resuelto el problema se llevara la evaluacin exclusiva en la
organizacin.
Concluida la evaluacin se emite un certificado de registro que se explica hasta donde llega
la certificacin, este certificado lleva una validez de tres aos y el responsable de la entrega
visitar constantemente para ayuda como garanta que cumpla los requisitos y el apoyo
continuo de los sistemas.
6.1. Introduccin
En la introduccin se indicar todo lo que se va abarcar en la Norma ISO 27001 con el fin que el
lector comprenda hasta dnde llegar sus objetivos y funciones de sta tesis.
8
6.2. Objeto
En el objeto de la Norma ISO 27001 se propone abarcar hasta qu punto puede ayudar ste tipo
de estndar en la organizacin que se va a auditar, se basa mucho en lo que es el Anexo A dnde
va ser el alcance de nuestra tesis.
Aqu se coloca cada uno de los trminos importantes que se den en la Norma ISO 27001 como
su respectiva definicin de cada uno de los trminos propiamente escritos.
La direccin debe estar atenta a lo que ocurra con las auditoras, ya que con ello pueden tomar
medidas para poder prevenir posibles fallos en la seguridad informtica. La direccin debe
tambin racionalizar el uso de los activos informticos y para ello se realizan actividades que
ayudan al auditor a tomar decisiones
El objetivo primordial de este tipo de auditora de SGSI es averiguar si hay algo que se est
realizando mal, de manera objetiva. El auditor interno debe ser una persona capacitada y atenta
a lo que est ocurriendo en la empresa, debe poder descubrir si algo se hace mal dentro de su
empresa de trabajo. Si se realiza un buen trabajo, correctivo o preventivo, entonces la auditora
interna de SGSI mejorar su seguridad.
Este paso es muy importante, ya que la direccin tambin debe formar parte en el proyecto,
para lo cual se realizan reuniones planificadas para dar puntos de vista y recomendaciones. La
revisin por parte de la direccin esta desarrolladamente con ese objetivo, ya que el estndar
requiere que la direccin examine todos los hechos importantes que se van encontrando en el
transcurso del tiempo. Al momento que se ha realizado ste paso, entonces se decidirn las
mejoras que se implementarn.
Mediante la mejora continua del SGSI, se evitarn que se produzcan errores y para ello se
desarrollarn medidas preventivas, que representan una forma de corregir las cosas antes que
se generen problemas. Similares a las medidas preventivas existen las medidas correctivas que
corrigen un problema cuando ste ya sucedi
9
6.10. Anexo A. Resumen de controles
Para este caso, el anexo que se va a cumplir, es el anexo A. Este anexo es, probablemente, el
anexo ms nombrado de todas las normas de gestin El objetivo del anexo A contiene los
siguientes puntos:
Poltica de la seguridad
Gestin de activos
Seguridad relacionada con el personal
Seguridad fsica y de entorno
Control de Acceso
Estrategias de Solucin
Como podemos observar en los puntos, el anexo A, no solamente se centra en las tecnologas
de la informacin; tambin incluye seguridad fsica, proteccin legal, gestin de recursos, etc.
6.11. Bibliografa.
Aqu se citan todas las referencias visitadas para consultas o copias ya sean: libros, revistas,
pginas web, etc.
7. METODOLOGIA PDCA
- Plan: (Establecer el SGSI): Implica, establecer a poltica SGSI, sus objetivos, procesos,
procedimientos relevantes para la administracin de riesgos y mejoras para la seguridad
de la informacin, entregando resultados acordes a las polticas y objetivos de toda la
organizacin.
- Check (Monitorizar y revisar el SGSI): Analizar y medir donde sea aplicable, los procesos
ejecutados con relacin a la poltica del SGSI, evaluar objetivos, experiencias e informar
los resultados a la administracin para su revisin.
10
8. DOMINIOS Y CONTROLES
11
Contacto con grupos de inters especial: Se debera mantener el contacto con
grupos o foros de seguridad especializados y asociaciones profesionales.
12
Devolucin de activos: Todos los empleados y usuarios de terceras partes
deberan devolver todos los activos de la organizacin que estn en su
posesin/responsabilidad una vez finalizado el acuerdo, contrato de prestacin
de servicios o actividades relacionadas con su contrato de empleo.
13
Seguridad fsica y Ambiental: El objetivo es minimizar los riesgos de daos e
interferencias a la informacin y a las operaciones de la organizacin.
Permetro de seguridad fsica: Se deberan definir y utilizar permetros de
seguridad para la proteccin de las reas que contienen informacin y las
instalaciones de procesamiento de informacin sensible o crtica.
14
Seguridad en telecomunicaciones: El objetivo es asegurar la proteccin de la
informacin que se comunica por redes telemticas y la proteccin de la infraestructura
de soporte.
15
informacin requeridos por los activos de la organizacin con el objetivo de
mitigar los riesgos asociados al acceso por parte de proveedores y terceras
personas.
Gestion de incidentes: Con este control se busca evitar los incumplimientos de cualquier
ley civil o penal, requisito reglamentario, regulacin u obligacin contractual, y de todo
requisito de seguridad.
16
Recopilacin de evidencias: La organizacin debera definir y aplicar los
procedimientos necesarios para la identificacin, recopilacin, adquisicin y
preservacin de la informacin que puede servir de evidencia.
Cumplimiento: Con este control se busca evitar los incumplimientos de cualquier ley
civil o penal, requisito reglamentario, regulacin u obligacin contractual, y de todo
requisito de seguridad.
17
segn requiere la legislacin y las normativas pertinentes aplicables que
correspondan.
9. NTP 17799
El 23 de julio del 2004 la Presidencia del Consejo de Ministros (PCM) a travs de la ONGEI,
dispone el uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 17799:2004 EDI Tecnologa
de la Informacin: Cdigo de buenas prcticas para la gestin de la seguridad de la informacin
en entidades del Sistema Nacional de Informtica. Dicha norma fue actualizada el 25 de agosto
del 2007 con la Norma Tcnica Peruana NTP - ISO/IEC 17799:2007 EDI
As, podemos decir que la poltica de seguridad se refiere al por qu una organizacin protege
la informacin. En tanto, los estndares de seguridad son aquello que la organizacin quiere
hacer para implementar y administrar la seguridad de la informacin. Y los procedimientos de
seguridad se refieren a cmo la organizacin obtendr los requerimientos de seguridad.
18
CASO APLICATIVO
DOMINIO 10: CIFRADO.
Unos hackers consiguieron entrar a la base de datos de Adobe, se especula que haban robado
las credenciales de un gran nmero de usuarios registrados en esta compaa. Robaron,
nombres de usuarios y contraseas para acceder a la plataforma, robando tambin tarjetas de
crdito y dbito. Adobe en un principio dijo que el nmero de afectados es de 2,8 millones de
clientes, pero segn investigaciones los afectados ascienden a ms de 38 millones de clientes.
Los programas ms afectados por el ataque fueron los lectores de PDF Adobe Reader y Acrobat
Reader, pero tambin los hacker robaron cdigos de la plataforma de edicin Adobe Photoshop.
Para que el ataque no sea de mayores magnitudes envi mensajes de advertencia a sus clientes
para tener cuidado y recetar sus contraseas para impedir que roben su informacin personal.
El hack, sin embargo, no slo afect a los usuarios ya que tambin se liber el cdigo fuente de
algunas aplicaciones de la compaa. Por el momento, slo se sabe que Acrobat, ColdFusion y
ColdFusion Builder fueron los productos afectados, tal vez ms adelante sepamos de algunos
ms. Esto representa un verdadero problema para Adobe, ya que el uso inadecuado de esos
productos en la web puede propiciarse gracias a la obtencin del cdigo fuente. Es ms podra
hasta generarse una copia "pirata" de cada una de las aplicaciones involucradas.
Adobe no ha dicho cmo se encriptaron los datos de las cuentas, pero ya ha notificado a todos
los usuarios y an est en proceso de investigacin.
19
CONCLUSIN
La creacin de normas en cualquier rea siempre ser de vital importancia pues ayuda a seguir
una lnea la cual proporciona las herramientas necesarias para que la gestin de recursos sea la
ms ptima y eficiente y as lograr los objetivos que quien hace uso de stas se ha fijado.
Hablando esencialmente en cuanto a gobierno de TI, estas normas llegan como herramienta
para que la gestin de seguridad y otros aspectos sean realizados de la manera ms correcta.
En conclusin, la ISO 27000 permite a las organizaciones presentar y certificar un nivel de calidad
ante sus usuarios y el pblico en general. Aunque en un principio fue de inters para las grandes
empresas, las norma ISO 27000 est siendo considerada tambin por medianas empresas en el
mundo. Adems, las normas sirven para tener una gua de buenas prcticas que pueden ser de
utilidad, incluso si la organizacin no desea o puede certificar la misma.
20
BIBLIOGRAFIA
21