Escolar Documentos
Profissional Documentos
Cultura Documentos
ISO 27001:2005
ISO 27001:2005
El diseo e implantacin de un SGSI (La parte del Sistema de Gestin Global, basada en una orientacin a riesgo de negocio, para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la informacin)se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados , el tamao, los sistemas de soporte y la estructura de la organizacin.
ISO 27001:2005
La siguiente terminologa aplica a esta norma: Recurso (Asset): Cualquier cosa que tenga valor para la organizacin.
Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada.
Confidencialidad (confidentiality): Propiedad que la informacin no est disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos.
Seguridad de la informacin: Preservacin de la confidencialidad, integridad y disponibilidad de la informacin, en adicin tambin de otras propiedades como autenticacin, autorizacin, registro de actividad, no repudio y confiabilidad pueden ser tambin consideradas. Eventos de seguridad de la informacin: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la poltica de seguridad de la informacin o fallo en el almacenamiento de la misma, tambin cualquier situacin previa desconocida que pueda ser relevante desde el punto de vista de la seguridad.
Incidente de seguridad: uno o varios eventos de seguridad de la informacin, no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la informacin.
Sistema de administracin de la seguridad de la informacin (ISMS: Information Security Management System): Parte de los sistemas de la empresa, basado en el anlisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la informacin. Integridad: Propiedad de salvaguardar la precisin y completitud de los recursos. Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad. Aceptacin de riesgo: Decisin de aceptar un riesgo. Anlisis de riego: Uso sistemtico de la informacin para identificar fuentes y estimar riesgos. Valoracin de riesgo: Totalidad de los procesos de anlisis y evaluacin de riesgo. Evaluacin de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.
ACLARACIN AJENA A LA NORMA: En definitiva la Evaluacin del riesgo , es el resultado final de esta actividad, pero no debe ser pensada nicamente con relacin a Anlisis y Valoracin , sino tambin a los criterios de riesgo que la organizacin haya definido a lo largo de toda su poltica empresarial. Administracin del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observacin del riesgo dentro de la organizacin.
Tratamiento del riesgo: Proceso de seleccin e implementacin de mediciones para modificar el riesgo. Declaracin de aplicabilidad: Documento que describe los objetivos del control, y los controles que son relevantes y aplicables a la organizacin del ISMS.
DESCRIPCIN DE LOS 11 DOMINIOS DEL ESTNDARES ISO 27001 Poltica de Seguridad. Objetivo. El valor de una Poltica. Compromiso e Involucramiento de las partes. Organizacin de la Seguridad. Roles y Responsabilidades. Modelos de Estructura Organizacional. Ventajas y Desventajas. Administracin de Activos. La necesidad de hacerlo en la medida justa. Seguridad en los Recursos Humanos. La Cultura Empresarial y el Cambio Cultural. Niveles de Formacin. Seguridad Fsica y Ambiental. Objetivos y Alcances claros sobre modelos preestablecidos Administracin de las Comunicaciones y Operaciones. El Gobierno de TI. Control de Acceso. Sus Procesos y Controles Claves. Errores ms frecuentes. Adquisicin, desarrollo y mantenimiento de Sistemas de Informacin. Procesos y Controles Claves. Errores frecuentes. Administracin de Incidentes. Objetivos. Identificacin, Registro, Anlisis, Solucin y Reporte. Plan de Continuidad de Negocios. Objetivos y Alcance. Su desarrollo. Roles y Responsabilidades. Cumplimiento de Leyes y Regulaciones. El Impacto Real. Roles y Responsabilidades.
1. Poltica de seguridad.
Este grupo est constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado Desconcepto sobre lo que uno piensa que es un control, pues aqu se puede apreciar claramente la complejidad que representa el diseo, planificacin, preparacin, implementacin y revisiones de una Poltica de Seguridad (la revisin es justamente el segundo control que propone).como se mencion un Control es mucho (pero mucho), mas que eso La Poltica de Seguridad, para ser riguroso, en realidad debera dividirse en dos documentos: ISO-27001: Los Controles Alejandro Corletti Estrada Pgina 4 de 9 - Poltica de seguridad (Nivel poltico o estratgico de la organizacin): Es la mayor lnea rectora, la alta direccin. Define las grandes lneas a seguir y el nivel de compromiso de la direccin con ellas. - Plan de Seguridad (Nivel de planeamiento o tctico): Define el Cmo. Es decir, baja a un nivel ms de detalle, para dar inicio al conjunto de acciones o lneas rectoras que se debern cumplir.
3. Administracin de recursos.
Este grupo cubre cinco controles y tambin se encuentra subdividido en: - Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos. - Clasificacin de la informacin: Guas de clasificacin y Denominacin, identificacin y tratamiento de la informacin. Este grupo es eminentemente procedimental y no aporta nada al aspecto ya conocido en seguridad de la informacin, en cuanto a que todo recurso debe estar perfectamente inventariado con el mximo detalle posible, que se debe documentar el uso adecuado de los recursos y que toda la informacin deber ser tratada de acuerdo a su nivel. En el caso de Espaa, tanto la LOPD como la LSSI han aportado bastante a que esta tarea sea efectuada con mayor responsabilidad en los ltimos aos. Tambin se puede encontrar en Internet varias referencias a la clasificacin de la informacin por niveles.
Este grupo comprende treinta y dos controles, es el ms extenso de todos y se divide en: -Procedimientos operacionales y responsabilidades: Tiene como objetivo asegurar la correcta y segura operacin de la informacin, comprende cuatro controles. Hace especial hincapi en documentar todos los procedimientos, manteniendo los mismos y disponibles a todos los usuarios que los necesiten, segregando adecuadamente los servicios y las responsabilidades para evitar uso inadecuado de los mismos. - Administracin de prestacin de servicios de terceras partes: Abarca tres controles, se refiere fundamentalmente, como su nombre lo indica, a los casos en los cuales se encuentran tercerizadas determinadas tareas o servicios del propio sistema informtico.
- Planificacin y aceptacin de sistemas: El objetivo es realizar una adecuada metodologa para que al entrar en produccin cualquier sistema, se pueda minimizar el riesgo de fallos. De acuerdo a la magnitud de la empresa y al impacto del sistema a considerar, siempre esuna muy buena medida la realizacin de maquetas. Estas maquetas deberan acercarse todo lo posible al entorno en produccin, para que sus pruebas de funcionamiento sean lo ms veraces posibles, simulando ambientes de trabajo lo ms parecidos al futuro de ese sistema (Hardware y Software, red, carga de operaciones y transacciones, etc.), cuanto mejor calidad y tiempo se dedique a estas maquetas, menor ser la probabilidad de fallos posteriores, es una relacin inversamente proporcional que se cumple en la inmensa mayora de los casos. - Proteccin contra cdigo mvil y maligno: el objetivo de este apartado es la proteccin de la integridad del software y la informacin almacenada en los sistemas.
- Resguardo: El objetivo de esta apartado conceptualmente es muy similar al anterior, comprende un solo control que remarca la necesidad de las copias de respaldo y recuperacin. Siguiendo la misma insistencia del prrafo precedente, de nada sirve realizar copias de respaldo y recuperacin, sino se prepara al personal e implementan las mismas con prcticas y procedimientos. - Administracin de la seguridad de redes: Los dos controles que conforman este apartado hacen hincapi en la necesidad de administrar y controlar lo que sucede en nuestra red, es decir, implementar todas las medidas posibles para evitar amenazas, manteniendo la seguridad de los sistemas y aplicaciones a travs del conocimiento de la informacin que circula por ella. Se deben implementar controles tcnicos, que evalen permanentemente los servicios que la red ofrece, tanto propios como tercerizados.
- Manejo de medios: En esta traduccin, como medio debe entenderse todo elemento capaz de almacenar informacin (discos, cintas, papeles, etc. tanto fijos como removibles). Por lo tanto el objetivo de este grupo es, a travs de sus cuatro controles, prevenir la difusin, modificacin, borrado o destruccin de cualquiera de ellos o lo que en ellos se guarda. - Intercambios de informacin: Este grupo contempla el conjunto de medidas a considerar para cualquier tipo de intercambio de informacin, tanto en lnea como fuera de ella, y para movimientos internos o externos de la organizacin. - Servicios de comercio electrnico: Este grupo, supone que la empresa sea la prestadora de servicios de comercio electrnico, es decir, no aplica a que los empleados realicen una transaccin, por parte de la empresa o por cuenta propia, con un servidor ajeno a la misma. - Monitorizacin: Este apartado tiene como objetivo la deteccin de actividades no autorizadas en la red y rene seis controles.
7. Control de accesos.
No se debe confundir la actividad de control de accesos con autenticacin, esta ltima tiene por misin identificar que verdaderamente sea, quien dice ser. El control de acceso es posterior a la autenticacin y debe regular que el usuario autenticado, acceda nicamente a los recursos sobre los cuales tenga derecho y a ningn otro, es decir que tiene dos tareas derivadas: Encauzar (o enjaular) al usuario debidamente. Verificar el desvo de cualquier acceso, fuera de lo correcto. El control de acceso es una de las actividades ms importantes de la arquitectura de seguridad de un sistema. Al igual que sucede en el mundo de la seguridad fsica, cualquiera que ha tenido que acceder a una caja de seguridad bancaria vivi como a medida que uno de llegando a reas de mayor criticidad
- Seguridad en los sistemas de archivos: La Seguridad en los sistemas de archivos, independientemente que existan sistemas operativos ms robustos que otros en sus tcnicas de archivos y directorios, es una de las actividades sobre las que se debe hacer un esfuerzo tcnico adicional, pues en general existen muchas herramientas para robustecerlos, pero no suelen usarse. - Seguridad en el desarrollo y soporte a procesos: Este apartado cubre cinco controles cuya finalidad est orientada hacia los cambios que sufre todo sistema. - Administracin tcnica de vulnerabilidades: Toda vulnerabilidad que sucede en un sistema de informacin, tarde o temprano se describe con todo lujo de detalles en Internet. Las palabras claves de esto son tarde o temprano, pues cuanto antes se tenga conocimiento de una debilidad y las medidas adecuadas para solucionarlas, mejor ser para la organizacin.