Documente Academic
Documente Profesional
Documente Cultură
NORMA ISO27001
SEGURIDAD EN REDES
Andrea Muñoz
09
NORMA ISO27001:
1. OBJETIVO:
2. RESUMEN DE LA NORMA:
1. CARACTERÍSTICAS GENERALES
Este es un estándar preparado para proveer un modelo de establecimiento,
implementación, operación, monitoreo, revisión, mantenimiento y mejora de un
Sistema de Gestión de Seguridad de la Información1 documentado; en el contexto de
los riesgos específicos de las actividades de la organización.
El Enfoque a Procesos2 para la gestión de seguridad de información que se presenta
en éste Estándar Internacional enfatiza la importancia de:
Entender los requerimientos de seguridad de una organización y la necesidad
de establecer políticas y objetivos para la seguridad de la información.
Implementar y operar controles para manejar la los riesgos de seguridad de la
información.
Monitorear y revisar el rendimiento del Sistema de Gestión de seguridad de la
Información
Mejoramiento continuo.
Éste estándar adopta un modelo “Planear-Hacer-Revisar-Actuar” que se aplica para
estructurar todos los procesos del SGSI.
Partes Planear
Partes
Interesadas Establecer Interesadas
SGSI
Implementar y Mantener y
Hacer Actuar
Operar el SGSI Mejorar SGSI
Requerimientos y Monitorear y
Expectativas de la Revisar SGSI
Seguridad de
Seguridad de la
Revisar Información
información
Gestionada.
2. ALCANCE
Los requerimientos de éste estándar son genéricos y aplicables a cualquier tipo de
organización. Sin embargo, la exclusión de cualquiera de los requerimientos
especificados en las clausulas 5,6,7, y 8 no es aceptable para la certificación del
estándar.
El documento ISO/IEC 17799:2005 es indispensable para la aplicación de éste
estándar.
3. TÉRMINOS
Recurso: Cualquier cosa que tenga un valor para la organización
Disponibilidad: La propiedad de ser accesible y poder ser usado cuando una entidad
autorizada lo solicite.
Confidencialidad: La propiedad de que la información no está disponible para
individuos, entidades o procesos no autorizados.
Seguridad de Información: Preservación de la confidencialidad, integridad y
disponibilidad de la información.
Evento de Seguridad de Información: Un evento en un sistema, servicio o red que
indica la posibilidad de una brecha en las políticas de seguridad de información o una
falla.
Incidente de Seguridad de Información: Una serie de eventos de seguridad de
información indeseados que tienen alta probabilidad de comprometer las operaciones
del negocio.
Sistema de Gestión de Seguridad de Información: La parte del Sistema de Gestión
basada en una aproximación a los riesgos del negocio para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar la seguridad de la información; que
incluye una estructura organizacional, políticas, actividades de planeación,
responsabilidades, prácticas, procedimientos, procesos y recursos.
Riegos Residual: El riesgo que queda después de haber tratado al riesgo inicial.
Aceptación de Riesgo: Decisión de aceptar el riesgo.
Análisis de Riesgo: Uso sistemático de la información para identificar las fuentes y
estimar el riesgo.
Evaluación de Riesgo: Proceso de comparar los riesgos estimados con cierto criterio
para determinar su importancia.
Gestión de Riesgos: Actividades coordinadas para dirigir y controlar una organización
respecto al riesgo.
Tratamiento del Riesgo: Proceso de selección e implementación de medidas para
modificar el riesgo.
Manifiesto de Aplicabilidad: Manifiesto que describe los objetivos y controles que son
relevantes y aplicables al SGSI de la organización.
5. REQUERIMIENTOS DE LA DOCUMENTACIÓN:
Los documentos que son requeridos por el SGSI se encuentran protegidos y controlados para
lo cual se emite un documento donde se especifican los datos concernientes al SGSI y su
control.
6. RESPONSABILDAD DE MANDO:
Se debe gestionar todo lo pertinente con el personal para que este bien calificado y cumpla
con las habilidades necesarias para mantener el SGSI, así como la capacitación necesaria.
9. MEJORA CONTINUA:
La organización deberá mejorar continuamente la SGSI a través del uso de las políticas de
seguridad de la información, los objetivos de seguridad de la información, resultados de
auditorías, análisis de los eventos de seguimiento, correctivas y de acciones preventivas y
revisión de la gestión.
Previo a la contratación.- Para garantizar que los empleados, contratistas y terceros usuarios
entiendan sus responsabilidades y funciones que se consideran para ellos, y para reducir el
riesgo de robo, fraude o uso indebido de las instalaciones, se define Roles, Responsabilidades,
Proyección, Términos y condiciones de Trabajo.
Durante el Trabajo.- Para garantizar que todos los empleados, contratistas y terceros usuarios
son conscientes de las amenazas de seguridad de la información y preocupaciones, sus
responsabilidades y obligaciones, y que están equipados para apoyar la política de seguridad
de la organización en el curso de su trabajo normal, y para reducir el riesgo de error humano,
utilizando una gestión de responsabilidades, información de seguridad y entrenamiento y
realizando un proceso disciplinario.
Terminación o cambio de trabajo.- Para garantizar que los empleados, contratistas y terceros
usuarios que salen de una organización o cambien de empleo de una manera ordenada.
12. La seguridad física y ambiental
Áreas seguras.- Proceso para prevenir el acceso físico no autorizado, daño e interferencia a las
premisas e información de la organización. Definiendo un perímetro físico de seguridad,
controles de entrada, seguridad de oficinas, protección externa, control de acceso público.
Seguridad del Equipamiento.- Para evitar la pérdida, daño, robo o compromiso de los activos y
la interrupción de las actividades de la organización.
A.15 CONFORMIDAD
A.15.2 Conformidad con las políticas y los estándares de seguridad, y conformidad técnica
3. CONCLUSIONES:
Las políticas de información son muy importantes en una empresa ya que definen lo
que se puede hacer y lo que está prohibido dentro de un sistema de información.