Documente Academic
Documente Profesional
Documente Cultură
Contenido:
Historia. Definicin. Objetivos. Estructura y Dominios. Ventajas. Implementacin de un plan de seguridad.
Historia:
1987 1995 1999
Origen de la BS7799
La BS7799 fue publicada como un cdigo de practica para manejo de seguridad de informacin
2000 2004
2005
Definicin
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada.
El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.
Confidencialidad: Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso.
Integridad: Garanta de la exactitud y completitud de la informacin y de los mtodos de su procesamiento. Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.
Objetivos
Proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la seguridad. Proteger la confidencialidad, integridad y disponibilidad de la informacin escrita, almacenada y transferida. Asegurar la continuidad de las operaciones de la organizacin, reducir al mnimo los daos por una contingencia, as como optimizar la inversin en tecnologas de seguridad.
Estructura y Dominios
La norma ISO/IEC 17799 establece 12 dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin:
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Poltica de seguridad. Aspectos organizativos para la seguridad. Clasificacin y control de activos. Seguridad ligada al recurso humano. Seguridad fsica. Seguridad del entorno. Gestin de comunicaciones y operaciones. Control de accesos. Desarrollo y mantenimiento de sistemas. Gestin de Incidentes en la Seguridad de la Informacin. Gestin de continuidad del negocio. Cumplimiento.
De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementacin de controles) y 127 controles (prcticas, procedimientos o mecanismos que reducen el nivel de riesgo).
Debe Incluir:
La Direccin debera aprobar y publicar un documento de la poltica de seguridad de la informacin y comunicar la poltica a todos los empleados y las partes externas relevantes.
Objetivos y alcance generales de seguridad. Apoyo Expreso de la direccin. Breve explicacin de los valores de seguridad de la organizacin. Definicin de las responsabilidades generales y especficas en materia de gestin de la seguridad de la informacin. Referencias a documentos que puedan respaldar la poltica.
Debera seguir los siguientes lineamientos Se debera establecer una estructura de gestin con objeto de iniciar y controlar la implantacin de la seguridad de la informacin dentro de la Organizacin. El rgano de direccin debera aprobar la poltica de seguridad de la informacin, asignar los roles de seguridad y coordinar y revisar la implantacin de la seguridad en toda la Organizacin. Si fuera necesario, en la Organizacin se debera establecer y facilitar el acceso a una fuente especializada de consulta en seguridad de la informacin. Deberan desarrollarse contactos con especialistas externos en seguridad, que incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en las tendencias de la industria, la evolucin de las normas y los mtodos de evaluacin, as como proporcionar enlaces adecuados para el tratamiento de las incidencias de seguridad. Debera fomentarse un enfoque multidisciplinario de la seguridad de la informacin, que, por ejemplo, implique la cooperacin y la colaboracin de directores, usuarios, administradores, diseadores de aplicaciones, auditores y el equipo de seguridad con expertos en reas como la gestin de seguros y la gestin de riesgos.
Organizacin interna
Respecto al manejo de la terceros: La seguridad de la informacin de la organizacin y las instalaciones de procesamiento de la informacin no debera ser reducida por la introduccin de un servicio o producto externo.
Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin de la organizacin. Cuando el negocio requiera dicho acceso de terceros, se debera realizar una evaluacin del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberan definirse y aceptarse en un contrato con la tercera parte.
Terceros
Todos los activos deberan ser justificados y tener asignado un propietario. Se deberan identificar a los propietarios para todos los activos y asignarles la responsabilidad del mantenimiento de los controles adecuados. La implantacin de controles especficos podra ser delegada por el propietario convenientemente. El trmino propietario identifica a un individuo o entidad responsable, que cuenta con la aprobacin del rgano de direccin, para el control de la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino propietario no significa que la persona disponga de los derechos de propiedad reales del activo. Como aplicarlo: Elabore y mantenga un inventario de activos de informacin, mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes. Use cdigos de barras para facilitar las tareas de realizacin de inventario y para vincular equipos de TI que entran y salen de las instalaciones con empleados.
Se debera clasificar la informacin para indicar la necesidad, prioridades y nivel de proteccin previsto para su tratamiento. La informacin tiene diversos grados de sensibilidad y criticidad. Algunos tems podran requerir niveles de proteccin adicionales o de un tratamiento especial. Debera utilizarse un esquema de clasificacin de la informacin para definir el conjunto adecuado de niveles de proteccin y comunicar la necesidad de medidas especiales para el tratamiento. Cmo hacerlo: Distinga los requisitos de seguridad bsicos (globales) de los avanzados, de acuerdo con el riesgo. Comience quizs con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.
Clasificacin de la Informacin
Dicho simplemente, el proceso de contratacin de un administrador de sistemas TI debera ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formacin, conocimientos, etc.
reas seguras
Los servicios de procesamiento de informacin sensible deberan ubicarse en reas seguras y protegidas en un permetro de seguridad definido por barreras y controles de entrada adecuados. Estas reas deberan estar protegidas fsicamente contra accesos no autorizados, daos e interferencias. La proteccin suministrada debera estar acorde con los riesgos identificados. El estndar parece centrarse en el Centro de Procesamiento de Datos pero hay muchas otras reas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estndares se refieren a asegurar la informacin, no slo las TI).
Definir reglas claras para el paso de un software, del estado de desarrollo hacia el estado operativo. Estipular procedimientos y normas para proteger la informacin y los medios fsicos que contienen informacin en trnsito.
Caractersticas
OBJETIVOS:
Evitar accesos no autorizados a los sistemas de informacin. Evitar el acceso de usuarios no autorizados. Proteccin de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la informacin contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo.
OBJETIVOS: Asegurar que la seguridad est incluida dentro de los sistemas de informacin. Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la informacin. Asegurar que los proyectos de Tecnologa de la Informacin y las actividades complementarias son llevadas a cabo de una forma segura. Mantener la seguridad del software y la informacin de la aplicacin del sistema.
Debe contemplarse la seguridad de la informacin en todas las etapas del ciclo de vida del software en una organizacin: especificacin de requisitos, desarrollo, explotacin, mantenimiento. Para esto deben crearse: Requisitos de Seguridad de Sistemas: Estos deben ser identificados para el desarrollo de sistemas de informacin. Seguridad de Sistemas de Aplicacin: Sistemas de aplicacin interactivos con los usuarios, sin dejar de lado la seguridad de la informacin.
OBJETIVO: Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente grandes fallos o desastres.
Al utilizar los controles de seguridad contra desastres naturales, interrupciones operacionales y fallas potenciales de seguridad ayudan a fomentar la continuidad de funciones del negocio. Principales etapas o curso a seguir si se presenta un imprevisto. 1. Clasificacin de los distintos escenarios de desastres 2. Evaluacin de impacto en el negocio. 3. Desarrollo de una estrategia de recuperacin. 4. Implementacin de la estrategia. 5. Documentacin del plan de recuperacin. 6. Mantenimiento del plan.
Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. Los planes de contingencia deben ser probados y revisados peridicamente. Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre.
OBJETIVO:
Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requerimiento de seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma.
Se debe identificar convenientemente la legislacin aplicable a los sistemas de informacin corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrndola en el sistema de seguridad de la informacin de la compaa y garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutado convenientemente, para garantizar la deteccin de desviaciones con respecto a la poltica de seguridad de la informacin.
Ventajas
La norma permite una gestin efectiva de sus recursos de informacin crticos y los mecnicos de proteccin adecuados.
A travs de la norma las organizaciones pueden trazar una efectiva planificacin de las actividades a desarrollar con el objetivo de hacer ms seguro los sistemas.
Planificacin de actividades
Se tienen en cuenta tanto los procesos de alcance de objetivos de seguridad como los criterios de revisin y mejora continua para mantener los niveles de seguridad deseados.
Mejora continua
Su implementacin permite a las organizaciones enfrentar nuevos desafos y ampliar sus actividades y competencias de manera segura.
POSICIONAMIENTO ESTRATEGICO
Este estndar permite alinear los esfuerzos y recursos de la organizacin, ya que en muchos sectores existen normativas y reglamentaciones respecto al tratamiento de la informacin.
Permite crear un marco homogneo para comparar con otras organizaciones el posicionamiento frente a la seguridad de la informacin.
Plan de Seguridad
Esta basado en el sistema PLANEAR, HACER, COMPROBAR Y ACTUAR:
Planear Actuar Hacer
Comprobar
Planificacin: Establecer la poltica, objetivos, procesos y procedimientos relativos a la gestin del riesgo y mejorar la seguridad de la informacin de la organizacin para ofrecer resultados de acuerdo con las polticas y objetivos generales de la organizacin. Hacer: Implementar y gestionar el SGSI de acuerdo a su poltica, controles, procesos y procedimientos. Comprobar: Medir y revisar las prestaciones de los procesos del SGSI . Actuar: Adoptar acciones correctivas y preventivas basadas en auditoras y revisiones internas en otra informacin relevante a fin de alcanzar la mejora continua del SGSI.
Ciclo
riesgos
Esta debe ser: Breve Clara Implementable Puesta en marcha por la direccin Difundida al personal y terceros
Componentes
Tecnolgico: procesamiento de los sistemas Funcional: procedimientos del personal
A Accin concreta: Plano Ejecutivo Parametrizacin de las redes y los sistemas de una forma ms segura
Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrnico Servidores, PCs y laptops Seguridad fsica Integracin con otras tecnologas
Con el pasar del tiempo esta norma ha sufrido algunas modificaciones, partiendo de la BS 7799, luego siendo la norma ISO/IEC 17799, aunque tomando su pleno reconocimiento en el ao de 2005 y actualmente modificada en el ao 2007.
La modificacin mas notable es la distribucin de los dominios, ya que objetivo sigue siendo el mismo.