estandares bs-7799, iso 17799, 27000

“ BS 7799, ISO 17799 e ISO 27000”

Materia : Seguridad en Redes y Transmisión de Datos

Santa Cruz – Bolivia 2015

UNIVERSIDAD AUTÓNOMA GABRIEL RENE MORENO BS 7799 – ISO 17799 – ISO 27000

Contenido

1.- NORMA BS 7799................................................................................................................................7

1.1- INTRODUCCIÓN............................................................................................................................7

1.2.- CARACTERÍSTICAS........................................................................................................................8

1.3.- BENEFICIOS DE USAR BS 7799.....................................................................................................9

1.4.- ENTENDIENDO LA BS 7799 PARTE 1: 10 PASOS.........................................................................10

1.5.- TÉRMINOS QUE MANEJA LA NORMA PARA LAS EMPRESAS......................................................13

1.6.- CERTIFICACION BS 7799............................................................................................................13

1.7.- COMO OBTENER LA CERTIFICACION?........................................................................................14

1.8.- CUALES SON LOS REQUERIMIENTOS DE LAS ORGANIZACIONES PARA BS 7799?......................15

1.9.- ¿QUE SE CERTIFICA?..................................................................................................................15

1.10.- CASO DE ESTUDIO CON EL BS 7799-2......................................................................................15

2.- ESTANDAR ISO17799.......................................................................................................................20

0. HISTORIA...................................................................................................................................20

1. ESTRUCTURA DE ESTE ESTÁNDAR.............................................................................................21

1.1. Cláusulas............................................................................................................................21

2. Política de seguridad.................................................................................................................21

2.1. Política de seguridad de la información.............................................................................21

3. Organización de la seguridad de la información........................................................................22

| P á g i n a 1


3.1. Organización interna.........................................................................................................22

3.2. Grupos o personas externas..............................................................................................23

4. Gestión de activos.....................................................................................................................24

4.1. Responsabilidad por los activos.........................................................................................24

4.2. Clasificación de la información..........................................................................................25

5. Seguridad de recursos humanos...............................................................................................25

5.1. Antes del empleo...............................................................................................................25

5.2. Durante el empleo.............................................................................................................26

5.3. Terminación o cambio de empleo.....................................................................................27

6. Seguridad física y ambiental......................................................................................................28

6.1. Áreas seguras....................................................................................................................28

6.2. Equipo de seguridad..........................................................................................................29

7. Gestión de las comunicaciones y operaciones..........................................................................30

7.1. Procedimientos y responsabilidades operacionales..........................................................30

7.2. Gestión de la entrega del servicio de terceros...................................................................30

7.3. Planeación y aceptación del sistema.................................................................................31

7.4. Protección contra el código malicioso y móvil...................................................................32

7.5. Respaldo o Back-Up...........................................................................................................32

7.6. Gestión de seguridad de la red..........................................................................................33

7.7. Gestión de medios.............................................................................................................33

7.8. Intercambio de información..............................................................................................34

7.9. Servicios de comercio electrónico.....................................................................................35

| P á g i n a 2


7.10. Monitoreo.....................................................................................................................36

8. Control del acceso.....................................................................................................................37

8.1. Requerimiento del negocio para el control del acceso......................................................37

8.2. Gestión de acceso del usuario...........................................................................................37

8.3. Responsabilidades del usuario..........................................................................................38

8.4. Control de acceso a la red.................................................................................................39

8.5. Control del acceso al sistema operativo............................................................................40

8.6. Control de acceso a la aplicación y la información............................................................41

8.7. Computación y tele-trabajo móvil.....................................................................................42

9. Adquisición, desarrollo y mantenimiento de los sistemas de información................................42

9.1. Requerimientos de seguridad de los sistemas de información..........................................42

9.2. Procesamiento correcto en las aplicaciones......................................................................43

9.3. Controles criptográficos....................................................................................................44

9.4. Seguridad de los archivos del sistema...............................................................................45

9.5. Seguridad en los procesos de desarrollo y soporte...........................................................45

9.6. Gestión de la Vulnerabilidad Técnica.................................................................................46

10. Gestión de un incidente en la seguridad de la información...................................................46

10.1. Reporte de los eventos y debilidades de la seguridad de la información......................46

10.2. Gestión de los incidentes y mejoras en la seguridad de la información........................47

11. Gestión de la continuidad del negocio..................................................................................48

11.1. Aspectos de la seguridad de la información de la gestión de la continuidad del negocio48

| P á g i n a 3


12. Cumplimiento........................................................................................................................49

12.1. Cumplimiento de los requerimientos legales................................................................49

12.2. Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico......50

12.3. Consideraciones de auditoria de los sistemas de información......................................51

13. VENTAJAS DE LA NORMA ISO 17799.....................................................................................51

14. DESVENTAJAS DE LA NORMA ISO 17799...............................................................................52

15. CASO DE ESTUDIO.................................................................................................................52

3.- ISO 27000.........................................................................................................................................55

1. INTRODUCCION................................................................................................................................55

2. JUSTIFICACION............................................................................................................................56

3. OBJETIVOS...................................................................................................................................56

4. MARCO TEÓRICO Y ESTADO DEL ARTE..............................................................................57

4.1 Concepto de ISO......................................................................................................................57

4.2 ISO 27000.................................................................................................................................58

4.3 Origen........................................................................................................................................58

4.4 La serie 27000..........................................................................................................................60

4.5 Contenido..................................................................................................................................62

• ISO/IEC 27000:........................................................................................................................63

• ISO/IEC 27001:........................................................................................................................63

• ISO/IEC 27002:........................................................................................................................63

• ISO/IEC 27003:........................................................................................................................64

• ISO/IEC 27004:........................................................................................................................64

| P á g i n a 4


• ISO/IEC 27005:........................................................................................................................64

• ISO/IEC 27006:........................................................................................................................64

• ISO/IEC 27007:........................................................................................................................65

• ISO/IEC TR 27008:..................................................................................................................65

• ISO/IEC 27010:........................................................................................................................65

• ISO/IEC 27011:........................................................................................................................65

• ISO/IEC 27013:........................................................................................................................66

• ISO/IEC 27014:........................................................................................................................66

• ISO/IEC TR 27015:..................................................................................................................66

• ISO/IEC TR 27016:..................................................................................................................66

• ISO/IEC TS 27017:..................................................................................................................66

• ISO/IEC 27018:........................................................................................................................66

• ISO/IEC TR 27019:..................................................................................................................66

• ISO/IEC 27031:........................................................................................................................67

• ISO/IEC 27032:........................................................................................................................67

• ISO/IEC 27033:........................................................................................................................67

• ISO/IEC 27034:........................................................................................................................67

• ISO/IEC 27035:........................................................................................................................68

• ISO/IEC 27036:........................................................................................................................68

• ISO/IEC 27037:........................................................................................................................68

• ISO/IEC 27038:........................................................................................................................68

• ISO/IEC 27039:........................................................................................................................68

| P á g i n a 5


• ISO/IEC 27040:........................................................................................................................68

• ISO/IEC 27041:........................................................................................................................69

• ISO/IEC 27042:........................................................................................................................69

• ISO/IEC 27043:........................................................................................................................69

• ISO/IEC 27044:........................................................................................................................69

• ISO 27799:................................................................................................................................69

4.6 Beneficios..................................................................................................................................69

4.7 Enfoque del Proceso...............................................................................................................70

4.7.1 Planificación (Plan)...........................................................................................................73

4.7.2 Implementación (Do)........................................................................................................75

4.7.3 Seguimiento (Check)........................................................................................................76

4.7.4 Mejora continua (Act).......................................................................................................77

4.8 Aspectos clave.........................................................................................................................78

4.8.1 Fundamentales.................................................................................................................78

4.8.2 Factores de éxito..............................................................................................................78

4.8.3 Riesgos..............................................................................................................................79

4.8.4 Consejos básicos..............................................................................................................79

5. Caso de estudio.................................................................................................................................81

Hackers roban $us 1.000 millones en 100 bancos en todo el mundo.................................................81

BIBLIOGRAFÍA.......................................................................................................................................82

| P á g i n a 6


1.- NORMA BS 7799

1.1- INTRODUCCIÓN.

BS 7799 es una política de seguridad y procedimiento de estándares.En 1989, se reúne un grupo de altos ejecutivos y especialistas en seguridad de las principales empresas Británicas (Shell, BT, Mark & Spencer, Nationwide Building Society, BOC), quienes deciden acordar controles claves para la Seguridad, que todas las organizaciones puedan cumplir.

La esencia de la norma BS 7799 es que el Sistema de Administración de Seguridad de la Información (ISMS, por sus siglas en inglés) debería ser establecido entre las organizaciones.

El propósito de esta es asegurar que la información de una organización este segura y propiamente administrada.

BS 7799 es el estándar más influyente y más reconocido para la administración de la seguridad.

Más BS 7799 Parte 1 se vuelve un estándar internacional (ISO/IEC 17799) en Diciembre del 2000. British Estándar Institute (BSI) publica la norma 7799, que era un código de buenas prácticas para la seguridad de la información. El estándar era conocido inicialmente como BS llamado estándar británico 7799.

Ha sido recientemente revisado en base con los procedimientos ISO y el estándar revisado BS 7799 debería estar disponible durante el 2005.

| P á g i n a 7


BS 7799 parte 2, aunque es aún un estándar en el Reino Unido, fue publicado como estándar nacional en muchos países y estuvo en una etapa avanzada del proceso hacia la internacionalización. Este proceso se completó para el 2005.

El estándar se dividía en dos partes:

Parte 1: Contenía la guía e información explicativa. En 1995 el Department Trade & Industry (DTI) desarrolla 10 controles claves en un Código de Buenas Prácticas para la Administración de la Seguridad de la Información como Parte 1.

Parte 2: En 1998 el BSI genera la Parte 2, donde se detallan más de 100 controles como parte de un ISMS (Sistema de Administración de Seguridad de la Información), basado en una estrategia formal de Análisis de Riesgos.Proveía un modelo que puede ser usado por empresas para moldear y hacer efectiva el Sistema de Administración de la Información de Seguridad (ISMS).

Las dos partes están publicadas como: ISO/IEC 17799 "Código de Practica para la Seguridad de la Información". BS 7799-2:2002: "Especificación de la Información en la Administración de la

Seguridad".

Diciembre 2000.- Fue entregado el status ISO para la Parte 1 “Código de Buenas Prácticas” (ISO/IEC 17799), (Comisión Electrotécnica Internacional).

2001 en adelante.- Observamos cómo las empresas Europeas, Asiáticas y Norteamericanas han adoptado la Norma, principalmente por la necesidad de contar con un estándar confiable y globalmente aceptado para el mundo internet y el e-Business.

Llaman IEC JTC (este es un comité técnico conjunto entre ISO y IEC) 1 de la ISO y es actualmente responsable tal comité de toda la información con respecto a estándares de la tecnología, y el BS7799 se refiere específicamente al estándar de la gerencia de la seguridad de la información aprobado formalmente durante el año 2000. Este estándar define un sistema de prácticas de gerencia recomendadas de la seguridad de la información, aunque es probablemente mejor decir que el estándar es un sistema de recomendaciones, pues el IEC de la ISO recomienda que considerar cada sugerencia como intentar mejorar tu programa de la seguridad de la información, y no ver cada sugerencia como obligación inflexible de seguir.

En 2005, con más de 1700 empresas certificadas en BS 7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

| P á g i n a 8


1.2.- CARACTERÍSTICAS

Dependiendo de las necesidades de la seguridad de la información se puede aceptar o no los estándares BS7799. Si una recomendación particular ayuda a tratar cualquier materia de seguridad importante entonces es aceptarla.Las normas ISO17799 y BS7799 incluyen un acercamiento a las ediciones comunes de las informaciones relacionadas con los archivos electrónicos, los ficheros de datos y los archivos del software, y los documentos de papel.

La información se relacionó con las notas escritas mano, materiales impresos y las fotografías, las grabaciones, las grabaciones video y las grabaciones audio, comunicaciones generales incluyendo conversaciones, conversaciones de teléfono, conversaciones de teléfono de la célula y conversaciones cara a cara, así como mensajes tales como mensajes del email, envían por telefax los mensajes, mensajes inmediatos, mensajes video, mensajes físicos, entre muchos otros artículos se consideran como definición del término “información”.

Puesto que la información tiene valor y es por lo tanto un activo, necesita ser justamente protegido como cualquier otro activo corporativo. La información se debe proteger apenas como la infraestructura que apoya esta información, incluyendo todas las redes, sistemas, y funciones que permitan que una organización maneje y controle sus activos de la información. BS7799 explica lo que se puede hacer para proteger los activos de la información de su organización.

La correcta interpretación de las normas puede ayudarle a implementar las políticas adecuadas y obtener la certificación sin dolores de cabeza.

Cada vez hay un mayor interés en las empresas por certificarse ante los estándares de seguridad de la información como el ISO 17799 y el BS 7799.

Es importante destacar que estos dos estándares, en particular, tienen relación entre sí, ya que el ISO 17799 nace a partir del BS 7799-1.

Es evidente que las empresas buscan, por medio de esta certificación, una mejoría efectiva en la seguridad de la información, pero realmente hoy en día muchas de ellas lo hacen por obtener una diferenciación en el mercado.

La norma implementa un método integral para la gestión de la seguridad de la información.Esta norma es el resultado de la alta demanda de la industria, los gobiernos y las empresas por obtener un marco común que permita a las empresas desarrollar, implementar y medir eficazmente las prácticas de gestión de seguridad de la información.

| P á g i n a 9


1.3.- BENEFICIOS DE USAR BS 7799

Usándolo bien resultaría: Riesgo Operacional reducido. Eficiencia del Negocio Incrementada. Seguridad de que la Seguridad de la Información seguirá siendo racionalmente

aplicada.

Esto se logra mediante: Los Controles de Seguridad son justificados. Las Políticas y Procedimientos son los apropiados. Todas las actividades de procesamiento y soporte de la información relevante de

seguridad son auditables. La Auditoria interna, los mecanismos de administración/reporte de incidentes sean

tratados apropiadamente. La administración esta activamente enfocada en seguridad de la información y su

efectividad.Es como que un número de organizaciones, incluido el Gobierno, requerirá de proveedores y otros colaboradores sean certificados acorde a la norma BS 7799 antes de que puedan trabajar. Esto podría hacer la certificación más necesaria que beneficiosa.

La certificación puede también ser usada como una parte de iniciativa de mercadeo, proveyendo la seguridad para colegas de negocios y otros terceros.

1.4.- ENTENDIENDO LA BS 7799 PARTE 1: 10 PASOS

1. Política de Seguridad.- explica lo que una política de seguridad de la información debería cubrir y porque cada empresa debería tener una.

2. Seguridad Organizacional.- explica como la administración de la seguridad de la información está organizada.Establece el marco formal de Seguridad que debe integrar una organización, tales como un foro de administración de la Seguridad de la información, un contacto oficial de Seguridad ISSO (Information System Security Officer), revisiones externas a la infraestructura de Seguridad. Donde se deben tomar en cuenta los siguientes puntos importantes:

• Administrar la Seguridad de la información dentro de la organización. • Mantener la Seguridad de los recursos de tratamiento de la información y de

los activos de la organización que son accedidos por terceros. • Mantener la Seguridad de la información cuando la responsabilidad de su

tratamiento se ha exteriorizado a otra organización.

| P á g i n a 10


3. Clasificación y Control de Valor.- considera la información y el equipamiento del procesamiento de la misma como valores para ser administrados y representados.

4. Seguridad del Personal.- detalla cualquier tema personal tal como capacitación, responsabilidades, procedimientos de investigación, y como el personal respondió a los incidentes de seguridad.

Contrario a lo que uno se puede imaginar, en este contexto no se orienta a la Seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información. El objetivo de esta área de la Norma es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del personal en materia de Seguridad de la información.

Para lo cual, se debe tomar en cuenta lo siguiente: • Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las

instalaciones y los servicios. • Asegurar que los usuarios sean conscientes de las amenazas y riesgos en el

ámbito de la Seguridad de la información, y que deben estar preparados para sostener la política de Seguridad de la organización en el curso normal de su trabajo.

• Minimizar los daños provocados por incidencias de Seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.

5. Seguridad Física y del Ambiente.- aspectos físicos de la seguridad incluyendo la protección de la información y equipos del daño físico, además como controlar físicamente el acceso a la información y los dispositivos.En este aspecto se debe identificar los perímetros de Seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de Seguridad establecida.Lo que se debe evitar:

• Accesos no autorizados, daños e interferencias contra los locales y la información de la organización.

• Pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.

• Riegos o robos de información y de recursos de tratamiento de información. Las áreas de trabajo de la organización y sus activos deben ser clasificadas y

protegidas en función de su importancia jerárquica, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio…).

6. Administración de Operaciones y Comunicaciones.- examina la correcta

| P á g i n a 11


administración y operación segura del procesamiento de la información durante las actividades del día a día.En este punto se debe procurar lo siguiente:

• Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de Seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.

• Asegurar la operación correcta y segura de los recursos de tratamiento de información.

• Minimizar el riesgo de fallos en los sistemas. • Proteger la integridad del software y de la información. • Mantener la integridad y la disponibilidad de los servicios de tratamiento de

información y comunicación. • Asegurar la salvaguarda de la información en las redes y la protección de su

infraestructura de apoyo. • Evitar daños a los activos e interrupciones de actividades de la organización.

7. Control de Acceso.- control del acceso a la información y los sistemas en base a las necesidades del negocio y la seguridad.Para garantizar un acceso seguro se debe:

• Habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de Seguridad y el control de acceso a las aplicaciones.

• Controlar los accesos a la información. • Evitar accesos no autorizados a los sistemas de información. • Evitar el acceso de usuarios no autorizados. • Protección de los servicios en red. • Evitar accesos no autorizados a ordenadores. • Evitar el acceso no autorizado a la información contenida en los sistemas.

8. Desarrollo y Mantenimiento del Sistema.- diseño y mantenimiento de sistemas manteniendo así la integridad de la información. La organización debe disponer de procedimientos que garanticen la calidad y Seguridad de los sistemas desarrollados para tareas específicas de la organización.

• Asegurar que la Seguridad está incluida dentro de los sistemas de información. • Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las

aplicaciones. • Proteger la confidencialidad, autenticidad e integridad de la información.• Asegurar que los proyectos de Tecnología de la Información y las actividades

complementarias sean llevados a cabo de una forma segura.

9. Administración Continua de la Empresa.- concierne al mantenimiento de las

| P á g i n a 12


actividades de negocio esenciales durante condiciones adversas, de la copia para evitar grandes desastres.

10. Conformidad.- concierne a la conformidad del negocio con leyes nacionales e internacionales relevantes, estándares profesionales y cualquier proceso ordenado por el Sistema de Administración de la Seguridad de la Información (ISMS).

1.5.- TÉRMINOS QUE MANEJA LA NORMA PARA LAS EMPRESAS

Esta norma le ayuda a las empresas a proteger sus activos e información en todas sus formas, electrónica y/o impresa, en términos de:

• La confidencialidad: Que asegura que sólo las personas autorizadas tengan acceso a la información.

• La integridad: Que salvaguarda la exactitud e integridad de la información y de los Métodos de procesamiento

• La disponibilidad: Que asegura el acceso de los usuarios autorizados a la información y a los activos relacionados cuando es necesario.

La norma BS7799 es un amplio plan para la implementación efectiva de los niveles y controles para la seguridad de la información. El conjunto de controles requeridos por la norma brinda a los profesionales de tecnología de la información un modelo eficaz para el desarrollo de políticas y procesos de seguridad de la información en todo el ámbito de las organizaciones. Esta presenta los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). De esta forma, ayuda a identificar, administrar y minimizar la variedad de amenazas a las cuales está expuesta regularmente la información en las empresas.

La correcta aplicación de los controles definidos en la norma BS7799 permite a las empresas presentarse a una auditoria de certificación de seguridad de la información. La certificación les asegurará a los clientes y asociados que los niveles de la información en las redes, sistemas empresariales y la gestión de la información es segura y confiable.

La norma ha tenido gran aceptación en muchos países como Holanda, Reino Unido, Australia, Nueva Zelandia y Noruega. En el Reino Unido, por ejemplo, el gobierno recomendó como parte de su Ley de Protección a la Información de 1998, que entró en vigencia el 1 de Marzo de 2000, que las compañías Británicas utilicen BS7799 como método de cumplimiento de la Ley. Actualmente, esta norma está siendo evaluada y analizada por importantes compañías en Latinoamérica.

1.6.- CERTIFICACION BS 7799

La certificación para BS 7799 es un conocimiento formal que su Sistema de Administración de Seguridad de la Información (ISMS) refleja las necesidades de seguridad de información de la

| P á g i n a 13


organización.La certificación BS7799 permite muchas ventajas operativas y estratégicas para las empresas. Una empresa certificada con la norma BS7799 puede marcar un factor diferenciador y estratégico frente a sus competidores no certificados. Si un cliente potencial tiene que escoger entre dos servicios diferentes y la seguridad es un aspecto importante, por lo general optará por la empresa certificada. Entre sus beneficios específicos se encuentran los siguientes:

Mejoramiento de la seguridad empresarial: A través del proceso de certificación BS7799, las empresas harán un manejo efectivo de sus riesgos, lo cual generará una mejora sustancial en los niveles de seguridad y tratamiento de la información.

Planeación más efectiva de la seguridad: esta norma reúne 127 controles de seguridad en diez áreas o secciones. Estos controles permitirán que las iniciativas

en materia de seguridad sean más completas, manejables y prácticas por sus costos. Menor responsabilidad civil. Con la acreditación a la norma, la responsabilidad civil de las empresas en incidentes de seguridad podrá reducirse.

Mayor confianza del cliente: Los clientes con una alta sensibilidad o manejo de información altamente crítica buscan apoyo concreto en organizaciones que mantienen un alto perfil en seguridad, así estableciendo mejores niveles de confianza entre empresas que tienen sus procesos de seguridad debidamente certificados.

Alianzas comerciales: Las compañías pueden utilizar la acreditación como un requisito de seguridad para sus asociados y vendedores.

Auditorias de seguridad más precisas y confiables: La norma contempla un proceso de acreditación con auditores externos que comprobarán y evaluarán las políticas de seguridad instauradas.

E-commerce más seguro: Esta normativa confiere a los vendedores una especie de compromiso con la seguridad hacia los compradores que utilizan este tipo de tecnología para sus transacciones.

El funcionamiento de la seguridad para proteger la información es un aspecto importante para las actuales empresas. Aunque el proceso de implantación de un sistema de gestión de seguridad puede resultar algo complejo, la norma BS7799 puede facilitar y orientar a las empresas en la administración efectiva de sus sistemas.ETEK, proveedor latinoamericano de soluciones de seguridad IT es Consultor Asociado de BSI para Colombia, lo cual le permite promover y asistir a sus clientes en todos los aspectos relacionados con la implantación de Sistemas de Gestión de Seguridad de la Información (SGSI o ISMS por sus siglas en inglés).

1.7.- COMO OBTENER LA CERTIFICACION?

Las organizaciones pueden ser formalmente certificadas para la BS 7799 por un cuerpo acreditado del Servicio de Acreditación del Reino Unido (UKAS).Un auditor profesional completa una revisión formal independiente del Sistema de Administración de Seguridad de la Información (ISMS).Apunta a confirmar que el ISMS es tanto efectivo como apropiado.

| P á g i n a 14


El auditor revisara:1. Exhaustividad. ¿Todas las partes del BS 7799 han sido cubiertas?2. Relevancia. ¿Es la interpretación del BS 7799 relevante para la organización?3. Implementación. Se le está haciendo seguimiento al ISMS?

El auditor requerirá una Declaración de Aplicabilidad (SOA). Esto es un documento que lista todos los requerimientos en BS 7799 Parte 2, con:

Una explicación de cómo la organización cumple con ellas. Una explicación y justificación de cualquier desviación de ellas.

1.8.- CUALES SON LOS REQUERIMIENTOS DE LAS ORGANIZACIONES PARA BS 7799?

1. Auto auditorias.- cada organización debe tener un calendario de auditorías para el completo ISMS sobre un periodo razonable de tiempo. Esto envuelve el personal de verificación que actualmente sigue el ISMS, y puede probarlo con registros. Las auditorias son internas, usualmente envuelven completamente una lista de chequeo estándar, y son conducidos por el propio personal de la organización, quienes no requieren tener una acreditación UKAS. Donde una falla o brecha de seguridad es detectada en el seguimiento del ISMS, un reporte debería ser dado a través de la estructura de administración normal. La importancia del automonitoreo es que la organización puede reaccionar rápidamente a los problemas con sus propios procedimientos - algunas veces los procedimientos deben ser mejorados para ajustarse mejor a la realidad.

2. Auditorias Acreditadas.- Después de la auditoria inicial, el cuerpo de certificación hace una revisión cada seis (6) meses.

3. Declaración de Aplicabilidad (SOA).- Esto es un documento viviente y debe ser actualizado. Debería siempre reflejar el estado del ISMS de la Organización.

1.9.- ¿QUE SE CERTIFICA?

Hay muchas opciones para la certificación. Un pequeño rango que dirige las funciones de negocio central podrían ser formalmente certificados, pero igualmente, la organización como un todo podría cumplir con las políticas y procedimientos.Solamente el rango certificado formalmente del ISMS seria sujetado a revisiones cada seis (6) meses.

1.10.- CASO DE ESTUDIO CON EL BS 7799-2

HISTORIA DE UNA CERTIFICACIÓN BS 7799-2Un relato personal del Dr. David Brewer, presidente de Gamma Secure Systems Limited.

| P á g i n a 15


Objetivo:El objetivo de este artículo es la narración del proceso de certificación de Gamma en BS 7799-2, con la intención de que otras organizaciones, en particular las pequeñas como Gamma, puedan sacar provecho de nuestras experiencias.

Introducción.El Dr. David Brewer narra cómo Gamma decidió que debía ampliar el alcance de su sistema de control interno (SCI) para adoptar la norma BS 7799-2:2000. El 12 de septiembre de 2002. Presidía una reunión directiva de revisión interna y debatían sobre una revisión recientemente finalizada de los procedimientos de seguridad.Acordaron la necesidad de completar en primer lugar la transición del SCI de ISO 9001:1994 a ISO 9001:2000, lo cual fue logrado posteriormente en Noviembre de 2002. La seguridad de la información no es algo que sea nuevo para Gamma. De hecho, es su sustento, debido a que son una organización de consultores en seguridad de la información; ha sido siempre una parte integral de su SCI desde el inicio de la empresa en 1988 y son algunos de los colaboradores principales en el desarrollo del estándar.Sin embargo, cualquier esperanza de ir por la certificación en otoño de 2003 quedó rota con la llegada de un número de compromisos inesperados que llevaron al Dr. David Brewer a salir del Reino Unido por varios meses. Pero pudieron restablecer sus objetivos nuevamente el 5 de marzo de 2004.

La Decisión.El 5 de Marzo, el codirector de Gamma, Mike Nash, preguntó cuánto tiempo llevaría ampliar sus sistemas de gestión basado en tecnología web para cubrir BS 7799-2. Con lo cual el Dr. David Brewer vería cuánto tiempo llevaría completar la SOA [N. del T.: Statement of Applicability – Declaración de Aplicabilidad].El Dr. David como director y fundador de la empresa, tiene un profundo conocimiento de sus riesgos y del tratamiento del SOA. También dispone de un íntimo conocimiento de su sistema de gestión y de los controles existentes. Por ser uno de los autores de BS 7799-2, también sabía que existen 127 controles catalogados en BS 7799-2. Esta es, posiblemente, una de las actividades que más tiempo requiere durante el establecimiento de un SGSI.Por supuesto, el manual con el esqueleto de un SGSI que Gamma utiliza para crear el SGSI de sus clientes le daría ventaja.

Inició el trabajo el 9 de Marzo, dedicándose a integrar el esqueleto del SGSI en una copia del sistema de gestión actual de Gamma. Al día siguiente, la SOA estaba lista para una revisión formal, con excepción de algunos hipervínculos que tendrían que ser añadidos más tarde. Es importante entender que, como consultora en seguridad que practica lo que predica, todos los controles de seguridad estaban en su sitio y documentados. Al completar la SOA, necesitaba saber qué controles había y dónde estaban documentados. Había necesitado un promedio de unos 6 minutos por control.

El codirector Mike repasó la SOA el 12 de Marzo y tras unas modificaciones menores, la consideró apta para el propósito. El Esqueleto había hecho su trabajo y la parte más difícil del desarrollo de SGSI de Gamma estaba superada. Una vez completada la SOA, se comprometieron formalmente los

| P á g i n a 16


recursos en la reunión de revisión del sistema por parte de la Dirección el 16 de Marzo.

Completando el SGSICon la aprobación de la dirección, podían completar y autorizar los cambios requeridos, meter el proyecto dentro de la lista de tareas e integrar adecuadamente la SOA dentro del sistema de desarrollo. El 22 de Marzo. Todos los cambios estaban completados y aprobados para el 3 de Marzo. El esfuerzo total que supuso, incluyendo el trabajo en la SOA, fue únicamente de seis días- prueba del duro trabajo de la plantilla a lo largo de años en el establecimiento del Sistema de Gestión de la Calidad inicial en 1994, de su reciente trabajo de conversión a un sistema basado en tecnología web y del desarrollo del Manual con el Esqueleto de un SGSI. Se proporciona una descripción completa del SCI.

Proceso de auditoría.El siguiente paso era negociar el contrato para la certificación. Cuyo objetivo era un sistema de gestión, una auditoría, pero dos normas – ISO 9001 y BS 7799-2. Recibimos un presupuesto aceptable el 28 de Mayo, que confirmamos por nuestra parte. Estábamos ya en condiciones de fijar las fechas para la auditoría. Las más cercanas que BSI podía ofrecer eran el 14 y 21 de julio. Accedieron a su propuesta.1ª Visita de certificación.El objetivo de la auditoría de revisión de documentación es el de confirmar que el sistema de gestión, tal y como está documentado, está conforme con el estándar. La labor del Dr. David Brewer era la de guiar al auditor por el sistema de gestión.Al ser un sistema de gestión integrado, pasarían de forma natural de un estándar al otro durante la navegación a través del sistema.Al ser un sistema basado en tecnología web, la navegación por el manual SGSI se realiza pulsando sobre los enlaces de hipertexto.En una secuencia concreta, se mostro cómo las observaciones de las auditorías internas, las acciones de la revisión del sistema por parte de la dirección, las entradas de la “lista de tareas”, los formularios de petición de cambios y los registros de control de documentos encajaban adecuadamente unos con otros.

| P á g i n a 17


En el breve espacio de unos pocos minutos, se había demostrado cómo los sistema de gestión reunía aproximadamente el 50% de los requisitos de BS 7799-2.

Evaluación de riesgos.

Miramos detalladamente la evaluación de riesgos. Como el sistema de gestión cubre todo nuestro sistema de control interno, la evaluación de riesgos sigue la “Guía del Comité de Prácticas de Auditoría del Reino Unido” y comienza con la declaración de la misión de la empresa y objetivos de negocio (véase Figura 2). Se realiza mediante un análisis de eventos e impactos, a partir de los cuales se derivan los activos y las amenazas. Las vulnerabilidades son tratadas sobre la marcha mediante la realización de planes para el tratamiento del riesgo.

Revisando la Política del Sistema de Gestión (que es nuestra implantación del requisito de BS 7799-2 de disponer de una política del SGSI). Donde se establece las reglas sobre lo que debe estar documentado y lo que no necesita estarlo.Una vez hecha la auditoria, el registro tuvo lugar el 23 de Julio. BSI se ocupó de la entrada en el Registro Internacional y le fue entregado el certificado por el buen trabajo realizado por parte de todos.

| P á g i n a 18


CONCLUSIONES FINALES Importancia del control interno Estoy convencido de que la clave de nuestro éxito reside en dar al sistema de control interno un lugar de privilegio.Su objetivo es ayudarnos en la gestión de nuestro negocio, asegurar la calidad de nuestro trabajo y gestionar nuestros riesgos de negocio.Lo usamos a diario.Las auditorías internas y revisiones del sistema de gestión son parte integrante de nuestra convicción y ejercicio de técnicas de gestión prudentes, tales como el ciclo Deming (Plan-Do-Check-Act).No es algo que resucitemos y limpiemos justo antes de una auditoría, para después guardarlo y olvidarlo hasta la próxima ocasión.

El poder de la tecnología web Nuestro sistema de gestión es fácil de usar y mantener, al igual que todos los controles internos. No existe burocracia.Nada interrumpe el curso del negocio.Tanto las auditorías internas como externas son muy rápidas, permaneciendo todo a una distancia de tan solo "un clic".

| P á g i n a 19


2.- ESTANDAR ISO17799

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

La seguridad de la información se define como la preservación de:

Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso.

Integridad. Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento.

Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.

0. HISTORIA

En 1995 el British Standard Institute publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información.

En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en

2002.

Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:

Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información.

Aplicable por toda organización, con independencia de su tamaño.

Flexible e independiente de cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología.

| P á g i n a 20


1. ESTRUCTURA DE ESTE ESTÁNDAR

Este estándar contiene 11 cláusulas de control de seguridad conteniendo colectivamente un total de 39 categorías de seguridad principales y una cláusula introductoria que presenta la evaluación y tratamiento del riesgo.

1.1. Cláusulas

Cada cláusula contiene un número de categorías de seguridad principales. Las once cláusulas (acompañadas por el número de categorías de seguridad principales incluidas dentro de cada cláusula) son:

a) Política de Seguridad

b) Organización de la Seguridad de la Información

c) Gestión de Activos

d) Seguridad de Recursos Humanos

e) Seguridad Física y Ambiental

f) Gestión de Comunicaciones y Operaciones

g) Control de Acceso

h) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

i) Gestión de Incidentes de Seguridad de la Información

j) Gestión de la Continuidad Comercial

k) Cumplimiento

2. Política de seguridad2.1. Política de seguridad de la información

Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes.

La gerencia debiera establecer claramente la dirección de la política en línea con los objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la información, a través de la emisión y mantenimiento de una política de seguridad de la información en toda la organización.

| P á g i n a 21


3. Organización de la seguridad de la información

3.1. Organización interna

Objetivo: Manejar la seguridad de la información dentro de la organización.

Se debiera establecer un marco referencial gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.

La gerencia debiera aprobar la política de seguridad de la información, asignar los roles de seguridad y coordinar y revisar la implementación de la seguridad en toda la organización.

Si fuese necesario, se debiera establecer una fuente de consultoría sobre seguridad de la información y debiera estar disponible dentro de la organización. Se debieran desarrollar contactos con los especialistas o grupos de seguridad externos, incluyendo las autoridades relevantes, para mantenerse actualizado con relación a las tendencias industriales, monitorear los estándares y evaluar los métodos y proporcionar vínculos adecuados para el manejo de los incidentes de seguridad de la información. Se debiera fomentar un enfoque multi-disciplinario para la seguridad de la información.

3.1.1. Compromiso de la gerencia con la seguridad de la información

La gerencia debiera apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, asignación explícita y reconociendo las responsabilidades de la seguridad de la información.

3.1.2.Coordinación de la seguridad de la información

Las actividades de la seguridad de la información debieran ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes.

3.1.3. Asignación de las responsabilidades de la seguridad de la información

Todas las responsabilidades de la seguridad de la información debieran estar claramente definidas.

| P á g i n a 22


3.1.4.Autorización de proceso para facilidades procesadoras de información.

Un proceso de la gerencia para la autorización de facilidades nuevas de procesamiento de información, debiera ser definido e implementado.

3.1.5. Acuerdos de confidencialidad

Se debieran identificar y revisar regularmente que los requerimientos de confidencialidad o acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la información.

3.1.6. Contacto con las autoridades

Se debieran mantener los contactos apropiados con las autoridades relevantes.

3.1.7. Contacto con grupos de interés especial

Se debieran mantener contactos apropiados con grupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales.

3.1.8. Revisión independiente de la seguridad de la información

Se debiera revisar el enfoque de la organización para manejar la seguridad de la información y su implementación (es decir; objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) de manera independiente a intervalos planeados, o cuando ocurran cambios significativos en la implementación de la seguridad.

3.2. Grupos o personas externas

Objetivo: Mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados a, o manejados por, grupos externos.

La seguridad de la información y los medios de procesamiento de la información de la organización no debieran ser reducidos por la introducción de productos y servicios de grupos externos.

Se debiera controlar cualquier acceso a los medios de procesamiento de información de la organización y el procesamiento y comunicación de la información realizado por grupos externos.

Cuando existe la necesidad comercial de trabajar con grupos externos que pueden requerir acceso a la información y a los medios de procesamiento de información de la organización, u obtener o proveer un producto y servicio de o a un grupo externo, se debiera llevar a cabo una evaluación del

| P á g i n a 23


riesgo para determinar las implicancias en la seguridad y los requerimientos de control. Se debieran acordar y definir los controles en un acuerdo con el grupo externo.

3.2.1. Identificación de los riesgos relacionados con los grupos externos

Se debieran identificar los riesgos para la información y los medios de procesamiento de la información de la organización a raíz de procesos comerciales que involucran a grupos externos y se debieran implementar controles apropiados antes de otorgarles acceso.

3.2.2. Tratamiento de la seguridad cuando se lidia con clientes

Se debieran tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización.

3.2.3. Tratamiento de la seguridad en acuerdos con terceros

Los acuerdos o contratos con terceros que involucran el acceso, procesamiento, comunicación o manejo de la información o medios de procesamiento de información de la compañía, o agregan producto o servicios a los medios de procesamiento de información debieran abarcar todos los requerimientos de seguridad relevantes.

4. Gestión de activos4.1. Responsabilidad por los activos

Objetivo: Lograr y mantener una apropiada protección de los activos organizacionales. Todos los activos debieran ser inventariados y contar con un propietario nombrado.

Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementación de controles específicos puede ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la protección apropiada de los activos.

4.1.1. Inventario de los activos

Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de todos los activos importantes.

4.1.2. Propiedad de los activos

Toda la información y los activos asociados con los medios de procesamiento de información debieran ser propiedad2 de una parte designada de la organización.

| P á g i n a 24


4.1.3. Uso aceptable de los activos

Se debieran identificar, documentar e implementar reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la información.

4.2. Clasificación de la información

Objetivo: Asegurar que la información reciba un nivel de protección apropiado.

La información debiera ser clasificada para indicar la necesidad, prioridades y grado de protección esperado cuando se maneja la información.

La información tiene diversos grados de confidencialidad e importancia. Algunos ítems pueden requerir un nivel de protección adicional o manejo especial. Se debiera utilizar un esquema de clasificación de información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas de uso especiales.

4.2.1. Lineamientos de clasificación

Se debiera clasificar la información en términos de su valor, requerimientos legales, sensibilidad y grado crítico para la organización.

4.2.2. Etiquetado y manejo de la información

Se debiera desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la información en concordancia con el esquema de clasificación adoptado por la organización.

5. Seguridad de recursos humanos5.1. Antes del empleo

Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.

Las responsabilidades de seguridad debieran ser tratadas antes del empleo en descripciones de trabajo adecuadas y en los términos y condiciones del empleo.

Los antecedentes de todos los candidatos al empleo, contratistas y terceros debieran ser adecuadamente investigados, especialmente para los trabajos confidenciales.

Los empleados, contratistas y terceros usuarios de los medios de procesamiento de la información debieran firmar un acuerdo sobre sus roles y responsabilidades con relación a la seguridad.

| P á g i n a 25


5.1.1. Roles y responsabilidades

Se debieran definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de seguridad de la información de la organización.

5.1.2. Investigación de antecedentes

Los chequeos de verificación de antecedentes de todos los candidatos para empleo, contratistas y terceros debieran llevarse a cabo en concordancia con las leyes, regulaciones y ética relevantes; y debieran ser proporcionales a los requerimientos comerciales, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.

5.1.3. Términos y condiciones del empleo

Como parte de su obligación contractual; los usuarios empleados, contratistas y terceros debieran aceptar y firmar un contrato con los términos y condiciones de su empleo, el cual debiera establecer sus responsabilidades y las de la organización para la seguridad de la información.

5.2. Durante el empleo

Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano.

Se debieran definir las responsabilidades de la gerencia para asegurar que se aplique la seguridad a lo largo de todo el tiempo del empleo de la persona dentro de la organización.

Se debiera proporcionar a todos los usuarios empleados, contratistas y terceras personas un nivel adecuado de conocimiento, educación y capacitación en procedimientos de seguridad y uso correcto de los medios de procesamiento de información para minimizar los posibles riesgos de seguridad. Se debiera establecer un proceso disciplinario normal para manejar las fallas en la seguridad.

5.2.1. Responsabilidades de la gerencia

La gerencia debiera requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la organización.

| P á g i n a 26


5.2.2.Conocimiento, educación y capacitación en seguridad de la información

Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceras personas debieran recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos organizacionales conforme sea relevante para su función laboral.

5.2.3.Proceso disciplinario

Debiera existir un proceso disciplinario para los empleados que han cometido un incumplimiento de la seguridad.

5.3. Terminación o cambio de empleo

Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organización o cambien de empleo de una manera ordenada.

Se debieran establecer las responsabilidades para asegurar que la salida de la organización del usuario empleado, contratista o tercera persona sea manejada y se complete la devolución de todo el equipo y se eliminen todos los derechos de acceso.

Los cambios en las responsabilidades y empleos dentro de la organización se pueden manejar como la terminación de la responsabilidad o empleo respectivo en concordancia con esta sección.

5.3.1.Responsabilidades de terminación

Se debieran definir y asignar claramente las responsabilidades de realizar la terminación del empleo o el cambio de empleo.

5.3.2. Devolución de los activos

Todos los usuarios empleados, contratistas y terceras personas debieran devolver todos los activos de la organización que tengan en su posesión a la terminación de su empleo, contrato o acuerdo.

5.3.3. Retiro de los derechos de acceso

Los derechos de acceso de todos los usuarios empleados, contratistas y terceras personas a la información y los medios de procesamiento de información debieran ser retirados a la terminación de su empleo, contrato o acuerdo, o debieran ser reajustados de acuerdo al cambio.

| P á g i n a 27


6. Seguridad física y ambiental6.1. Áreas seguras

Objetivo: Evitar el acceso físico no autorizado, daño e interferencia con la información y los locales de la organización.

Los medios de procesamiento de información crítica o confidencial debieran ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debieran estar físicamente protegidos del acceso no autorizado, daño e interferencia.

6.1.1. Perímetro de seguridad física

Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.

6.1.2. Controles de ingreso físico

Las áreas seguras debieran protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado.

6.1.3. Asegurar las oficinas, habitaciones y medios

Se debiera diseñar y aplicar la seguridad física para las oficinas, habitaciones y medios.

6.1.4. Protección contra amenazas externas e internas

Se debiera asignar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre.

6.1.5. Trabajo en áreas aseguradas

Se debiera diseñar y aplicar la protección física y los lineamientos para trabajar en áreas aseguradas.

6.1.6. Áreas de acceso público, entrega y carga

Se debieran controlar los puntos de acceso como las áreas de entrega y carga y otros puntos por donde personas no-autorizadas puedan ingresar al local y, si fuese posible, debieran aislarse de los medios de procesamiento de información para evitar el acceso no autorizado.

| P á g i n a 28


6.2. Equipo de seguridad

Objetivo: Evitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la organización.

Se debiera proteger el equipo de amenazas físicas y ambientales.

La protección del equipo (incluyendo aquel utilizado fuera del local y la eliminación de propiedad) es necesaria para reducir el riesgo de acceso no-autorizado a la información y proteger contra pérdida o daño. Esto también debiera considerar la ubicación y eliminación del equipo. Se pueden requerir controles especiales para proteger el equipo contra amenazas físicas, y salvaguardar los medios de soporte como el suministro eléctrico y la infraestructura del cableado.

6.2.1. Ubicación y protección del equipo

Se debiera ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades para acceso no-autorizado.

6.2.2. Servicios públicos de soporte

Se debiera proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte.

6.2.3. Seguridad del cableado

El cableado de la energía y las telecomunicaciones que llevan la data o dan soporte a los servicios de información debieran protegerse contra la intercepción o daño.

6.2.4. Mantenimiento de equipo

Se debiera mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.

6.2.5. Seguridad del equipo fuera del local

Se debiera aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organización.

6.2.6. Seguridad de la eliminación o re-uso del equipo

Se debieran chequear los ítems del equipo que contiene medios de almacenaje para asegurar que se haya retirado o sobre-escrito cualquier data confidencial o licencia de software antes de su eliminación.

| P á g i n a 29


6.2.7. Retiro de propiedad

El equipo, información o software no debiera retirarse sin autorización previa.

7. Gestión de las comunicaciones y operaciones7.1. Procedimientos y responsabilidades operacionales

Objetivo: Asegurar la operación correcta y segura de los medios de procesamiento de la información.

Se debieran establecer las responsabilidades y procedimientos para la gestión y operación de todos los medios de procesamiento de la información. Esto incluye el desarrollo de los procedimientos de operación apropiados.

Cuando sea apropiado, se debiera implementar la segregación de debierares para reducir el riesgo de negligencia o mal uso deliberado del sistema.

7.1.1. Procedimientos de operación documentados

Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten.

7.1.2. Gestión del cambio

Se debieran controlar los cambios en los medios y sistemas de procesamiento de la información.

7.1.3. Segregación de los deberes

Los debierares y áreas de responsabilidad debieran estar segregados para reducir las oportunidades de una modificación no-autorizada o mal uso no-intencional o mal uso de los activos de la organización.

7.1.4. Separación de los medios de desarrollo, prueba y operación

Los medios de desarrollo, prueba y operación debieran estar separados para reducir los riesgos de acceso no-autorizado o cambios en el sistema operacional.

7.2. Gestión de la entrega del servicio de terceros

Objetivo: Implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros.

| P á g i n a 30


La organización debiera chequear la implementación de los acuerdos, monitorear su cumplimiento con los estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer todos los requerimientos acordados por la tercera persona.

7.2.1. Entrega del servicio

Se debiera asegurar que los controles de seguridad, definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y mantengan.

7.2.2. Monitoreo y revisión de los servicios de terceros

Los servicios, reportes y registros provistos por terceros debieran ser monitoreados y revisados regularmente, y se debieran llevar a cabo auditorías regularmente.

7.2.3. Manejo de cambios en los servicios de terceros

Se debieran manejar los cambios en la provisión de servicios, incluyendo el mantenimiento y mejoramiento de las políticas, procedimientos y controles de seguridad de la información existentes teniendo en cuenta el grado crítico de los sistemas y procesos del negocio involucrados y la re-evaluación de los riesgos.

7.3. Planeación y aceptación del sistema

Objetivo: Minimizar el riesgo de fallas en el sistema.

Se requiere de planeación y preparación anticipadas para asegurar la disponibilidad de la capacidad y los recursos adecuados para entregar el desempeño del sistema requerido.

Se debieran realizar proyecciones de los requerimientos de la capacidad futura para reducir el riesgo de sobrecarga en el sistema.

Se debieran establecer, documentar y probar los requerimientos operacionales de los sistemas nuevos antes de su aceptación y uso.

7.3.1. Gestión de la capacidad

Se debiera monitorear, afinar el uso de los recursos y se debieran realizar proyecciones de los requerimientos de capacidad futura para asegurar el desempeño requerido del sistema.

| P á g i n a 31


7.3.2. Aceptación del sistema

Se debiera establecer el criterio de aceptación de los sistemas de información nuevos, actualizaciones o versiones nuevas y se debieran realizar pruebas adecuadas del sistema(s) durante el desarrollo y antes de su aceptación.

7.4. Protección contra el código malicioso y móvil

Objetivo: Proteger la integridad del software y la integración.

Se requiere tomar precauciones para evitar y detectar la introducción de códigos maliciosos y códigos móviles no-autorizados.

El software y los medios de procesamiento de la información son vulnerables a la introducción de códigos maliciosos; como virus cómputo, virus de red, caballos Troyanos y bombas lógicas. Los usuarios debieran estar al tanto de los peligros de los códigos maliciosos. Cuando sea apropiado, los gerentes debieran introducir controles para evitar, detectar y eliminar los códigos maliciosos y controlar los códigos móviles.

7.4.1. Controles contra códigos maliciosos

Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debieran implementar procedimientos para el apropiado conocimiento del usuario.

7.4.2. Controles contra códigos móviles

Donde se autorice el uso del código móvil, la configuración debiera asegurar que el código móvil autorizado opera de acuerdo con una política de seguridad claramente definida, y se debiera evitar la ejecución del código móvil no-autorizado.

7.5. Respaldo o Back-Up

Objetivo: Mantener la integridad y disponibilidad de la información y los medios de procesamiento de información.

Se debieran establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia (ver también 14.1) para tomar copias de respaldo de la data y practicar su restauración oportuna.

Se debieran hacer copias de respaldo de la información y software y se debieran probar regularmente en concordancia con la política de copias de respaldo acordada.

| P á g i n a 32


7.6. Gestión de seguridad de la red

Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.

La gestión segura de las redes, la cual puede abarcar los límites organizacionales, requiere de la cuidadosa consideración del flujo de data, implicancias legales, monitoreo y protección.

También se pueden requerir controles adicionales para proteger la información confidencial que pasa a través de redes públicas.

7.6.1.Controles de redes

Las redes debieran ser adecuadamente manejadas y controladas para poder proteger la información en las redes, y mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la información en tránsito.

7.6.2. Seguridad de los servicios de la red

En todo contrato de redes se debieran identificar e incluir las características de seguridad, niveles de servicio y requerimientos de gestión de todos los servicios de red, ya sea que estos servicios sean provistos interna o externamente.

7.7. Gestión de medios

Objetivo: Evitar la divulgación no-autorizada; modificación, eliminación o destrucción de activos; y la interrupción de las actividades comerciales.

Los medios se debieran controlar y proteger físicamente.

Se debieran establecer los procedimientos de operación apropiados para proteger los documentos, medios de cómputo (por ejemplo, cintas y discos), input/output de data y documentación del sistema de una divulgación no-autorizada, modificación, eliminación y destrucción.

7.7.1. Gestión de medios removibles

Debieran existir procedimientos para la gestión de los medios removibles.

7.7.2. Procedimientos para el manejo de información

Se debieran establecer los procedimientos para el manejo y almacenaje de información para proteger esta información de una divulgación no-autorizada o mal uso.

| P á g i n a 33


7.7.3. Seguridad de la documentación del sistema

Se debiera proteger la documentación del sistema con accesos no-autorizados.

7.8. Intercambio de información

Objetivo: Mantener la seguridad en el intercambio de información y software dentro de la organización y con cualquier otra entidad externa.

Los intercambios de información y software dentro de las organizaciones se debieran basar en una política formal de intercambio, seguida en línea con los acuerdos de intercambio, y debiera cumplir con cualquier legislación relevante.

Se debieran establecer los procedimientos y estándares para proteger la información y los medios físicos que contiene la información en-tránsito.

7.8.1. Políticas y procedimientos de intercambio de información

Se debieran establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación.

7.8.2. Acuerdos de intercambio

El acuerdo de intercambio debiera considerar las siguientes condiciones de seguridad:

a) manejo de las responsabilidades para el control y notificación de la transmisión, despacho y recepción

b) procedimientos para notificar al remitente de la transmisión, despacho y recepción

c) procedimientos para asegurar el rastreo y no-repudio

d) estándares técnicos mínimos para el empaque y la transmisión

e) acuerdos de depósitos

f) estándares de identificación del mensajero

g) responsabilidades y obligaciones en el evento de incidentes de seguridad de la información, como la pérdida de data

| P á g i n a 34


h) uso de un sistema de etiquetado acordado para la información confidencial o crítica, asegurando que el significado de las etiquetas sea entendido inmediatamente y que la información sea adecuadamente protegida;

i) propiedad y responsabilidades de la protección de data, derechos de autor, licencias de software y consideraciones similares

j) estándares técnicos para grabar y leer la información y software

k) cualquier control especial que se pueda requerir para proteger los ítems confidenciales, como claves criptográficas.

Se debieran establecer y mantener las políticas, procedimientos y estándares para proteger la información y medios físicos en tránsito (ver también 10.8.3), y se debiera hacer referencia en los acuerdos de intercambio.

El contenido de seguridad de cualquier acuerdo debiera reflejar la sensibilidad de la información comercial involucrada.

7.8.3. Medios físicos en tránsito

Los medios que contienen información debieran ser protegidos contra accesos no-autorizados, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización.

7.8.4. Mensajes electrónicos

Se debiera proteger adecuadamente la información involucrada en mensajes electrónicos.

7.8.5. Sistemas de información comercial

Se debieran desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información comercial.

7.9. Servicios de comercio electrónico

Objetivo: Asegurar la seguridad de los servicios de comercio electrónico y su uso seguro.

Se debieran considerar las implicancias de seguridad asociadas con el uso de servicios de comercio electrónico, incluyendo las transacciones en-línea, y los requerimientos de controles. También se debieran considerar la integridad y la disponibilidad de la información publicada electrónicamente a través de los sistemas públicamente disponibles.

| P á g i n a 35


7.9.1. Comercio electrónico

La información involucrada en el comercio electrónico que pasa a través de redes públicas debiera protegerse de la actividad fraudulenta, disputas de contratos, divulgación no- autorizada y modificación.

7.9.2. Transacciones en-línea

Se debiera proteger la información involucrada en las transacciones en-línea para evitar una transmisión incompleta, routing equivocado, alteración no-autorizada del mensaje, divulgación no-autorizada, duplicación o repetición no-autorizada del mensaje.

7.9.3. Información públicamente disponible

Se debiera proteger la integridad de la información puesta a disposición en un sistema públicamente disponible para evitar una modificación no-autorizada.

7.10. Monitoreo

Objetivo: Detectar las actividades de procesamiento de información no autorizadas.

Se debieran monitorear los sistemas y se debieran reportar los eventos de seguridad de la información. Se debieran utilizar bitácoras de operador y se debieran registrar las fallas para asegurar que se identifiquen los problemas en los sistemas de información.

Una organización debiera cumplir con todos los requerimientos legales relevantes aplicables a sus actividades de monitoreo y registro.

Se debiera utilizar el monitoreo del sistema para chequear la efectividad de los controles adoptados y para verificar la conformidad con un modelo de política de acceso.

7.10.1. Registro de auditoría

Se debieran producir y mantener registros de auditoría de las actividades, excepciones y eventos de seguridad de la información durante un período acordado para ayudar en investigaciones futuras y monitorear el control de acceso.

7.10.2. Uso del sistema de monitoreo

Se debieran establecer procedimientos para el monitoreo del uso de los medios de procesamiento de la información y se debieran revisar regularmente los resultados de las actividades de monitoreo.

| P á g i n a 36


7.10.3. Protección del registro de información

Se debieran proteger los medios de registro y la información del registro para evitar la alteración y el acceso no autorizado.

7.10.4. Registros del administrador y operador

Se debieran registrar las actividades del administrador del sistema y el operador del sistema.

7.10.5. Registro de fallas

Se debieran registrar y analizar las fallas, y se debieran tomar las acciones necesarias.

7.10.6. Sincronización de relojes

Los relojes de todos los sistemas de procesamiento de información relevantes dentro de una organización o dominio de seguridad se debieran sincronizar con una fuente que proporcione la hora exacta acordada.

8. Control del acceso8.1. Requerimiento del negocio para el control del acceso

Objetivo: Controlar el acceso a la información.

Se debiera controlar el acceso a la información, medios de procesamiento de la información y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad.

Las reglas de control del acceso debieran tomar en cuenta las políticas para la divulgación y autorización de la información.

8.1.1. Política de control del acceso

Se debiera establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.

8.2. Gestión de acceso del usuario

Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de información

Se debieran establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios de información.

| P á g i n a 37


Los procedimientos debieran abarcar todas las etapas en el ciclo de vida del acceso del usuario, desde el registro inicial de usuarios nuevos hasta el des-registro final de los usuarios que ya no requieren acceso a los sistemas y servicios de información. Cuando sea apropiado, se debiera prestar atención especial a la necesidad de controlar la asignación de derechos de acceso privilegiados, lo que permite a los usuarios superar los controles del sistema.

8.2.1. Registro del usuario

Debiera existir un procedimiento formal para el registro y des-registro del usuario para otorgar y revocar el acceso a todos los sistemas y servicios de información.

8.2.2. Gestión de privilegios

Se debiera restringir y controlar la asignación y uso de privilegios.

8.2.3. Gestión de las claves secretas de los usuarios

La asignación de claves secretas se debiera controlar a través de un proceso de gestión formal.

8.2.4. Revisión de los derechos de acceso del usuario

La gerencia debiera revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formal.

8.3. Responsabilidades del usuario

Objetivo: Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la información y evitar el robo de información y los medios de procesamiento de la información.

La cooperación de los usuarios autorizados es esencial para una seguridad efectiva.

Los usuarios debieran estar al tanto de sus responsabilidades para mantener controles de acceso efectivos, particularmente con relación al uso de claves secretas y la seguridad del equipo del usuario.

Se debiera implementar una política de escritorio y pantalla limpios para reducir el riesgo de acceso no autorizado o daño a los papeles, medios y medios de procesamiento de la información.

8.3.1. Uso de claves secretas

Se debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas.

| P á g i n a 38


8.3.2. Equipo del usuario desatendido

Los usuarios debieran asegurar que el equipo desatendido tenga la protección apropiada.

8.3.3. Política de escritorio y pantalla limpios

Se debiera adoptar una política de escritorio limpio para papeles y medios de almacenaje removibles y una política de pantalla limpia para los medios de procesamiento de la información.

8.4. Control de acceso a la red

Objetivo: Evitar el acceso no autorizado a los servicios de la red.

Se debiera controlar el acceso a los servicios de redes internas y externas.

El acceso del usuario a las redes y servicios de las redes no debieran comprometer la seguridad de los servicios de la red asegurando:

a) que existan las interfases apropiadas entre la red de la organización y las redes de otras organizaciones, y redes públicas;

b) se apliquen los mecanismos de autenticación apropiados para los usuarios y el equipo;

c) el control del acceso del usuario a la información sea obligatorio.

8.4.1.Política sobre el uso de los servicios de la red

Los usuarios sólo debieran tener acceso a los servicios para los cuales hayan sido específicamente autorizados.

8.4.2. Autenticación del usuario para las conexiones externas

Se debieran utilizar métodos de autenticación apropiados para controlar el acceso de usuarios remotos.

8.4.3. Identificación del equipo en las redes

La identificación automática del equipo se debiera considerar como un medio para autenticar las conexiones de ubicaciones y equipos específicos.

| P á g i n a 39


8.4.4.Segregación en redes

Los grupos de servicios de información, usuarios y sistemas de información debieran ser segregados en redes.

8.4.5. Control de conexión a la red

Para las redes compartidas, especialmente aquellas que se extienden a través de las fronteras de la organización, se debiera restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales.

8.4.6. Control de routing de la red

Se debieran implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de las aplicaciones comerciales.

Si se emplean tecnologías “proxy” (en inglés, representante o apoderado) y/o de traducción de direcciones de la red, se pueden utilizar los gateways de seguridad para validar las direcciones de la fuente y el destino en los puntos de control de las redes internas y externas. Los encargados de la implementación debieran estar al tanto de las fuerzas y debilidades de cualquier mecanismo empleado. Los requerimientos para el control del routing de la red se debieran basar en la política de control de acceso.

8.5. Control del acceso al sistema operativo

Objetivo: Evitar el acceso no autorizado a los sistemas operativos.

Se debieran utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los usuarios autorizados. Los medios debieran tener la capacidad para:

a) autenticar a los usuarios autorizados, en concordancia con una política de control de acceso definida.

b) registrar los intentos exitosos y fallidos de autenticación del sistema

c) registrar el uso de los privilegios especiales del sistema

d) emitir alarmas cuando se violan las políticas de seguridad del sistema

e) proporcionar los medios de autenticación apropiados

f) cuando sea apropiado, restringir el tiempo de conexión de los usuarios.

| P á g i n a 40


8.5.1. Procedimientos para un registro seguro

El acceso a los sistemas operativos debiera ser controlado mediante un procedimiento de registro seguro.

8.5.2. Identificación y autenticación del usuario

Todos los usuarios tienen un identificador único (ID de usuario) para su uso personal, y se debiera escoger una técnica de autenticación adecuada para sustanciar la identidad de un usuario.

8.5.3. Sistema de gestión de claves secretas

Los sistemas para el manejo de claves secretas debieran ser interactivos y debieran asegurar claves secretas adecuadas.

8.5.4. Uso de las utilidades del sistema

Se debiera restringir y controlar estrechamente el uso de los programas de utilidad que podrían ser capaces de superar los controles del sistema y la aplicación.

8.5.5. Cierre de una sesión por inactividad

Las sesiones inactivas debieran ser cerradas después de un período de inactividad definido.

8.5.6. Limitación del tiempo de conexión

Se debieran utilizar restricciones sobre los tiempos de conexión para proporcionar seguridad adicional para las aplicaciones de alto riesgo.

8.6. Control de acceso a la aplicación y la información

Objetivo: Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.

Se debieran utilizar medios de seguridad para restringir el acceso a y dentro de los sistemas de aplicación.

El acceso lógico al software de la aplicación y la información se debiera limitar a los usuarios autorizados. Los sistemas de aplicación debieran:

a) controlar el acceso del usuario a la información y las funciones del sistema de aplicación, en concordancia con una política de control de acceso definida;

| P á g i n a 41


b) proporcionar protección contra un acceso no autorizado de cualquier utilidad, software del sistema de operación y software malicioso que sea capaz de superar o pasar los controles del sistema o la aplicación;

c) no comprometer a otros sistemas con los cuales se comparten recursos de información.

8.6.1.Restricción del acceso a la información

El acceso de los usuarios y el personal de soporte a la información y las funciones del sistema de la aplicación debiera limitarse en concordancia con la política de control de acceso definida.

8.6.2. Aislar el sistema confidencial

Los sistemas confidenciales debieran tener un ambiente de cómputo dedicado (aislado).

8.7. Computación y tele-trabajo móvil

Objetivo: Asegurar la seguridad de la información cuando se utiliza medios de computación y tele-trabajo móviles.

La protección requerida se debiera conmensurar con los riesgos que causan estas maneras de trabajo específicas. Cuando se utiliza computación móvil, se debieran considerar los riesgos de trabajar en un ambiente desprotegido y se debiera aplicar la protección apropiada. En el caso del tele-trabajo, la organización debiera aplicar protección al lugar del tele-trabajo y asegurar que se establezcan los arreglos adecuados para esta manera de trabajar.

8.7.1. Computación y comunicaciones móviles

Se debiera establecer una política y adoptar las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar medios de computación y comunicación móvil.

8.7.2. Tele-trabajo

Se debiera desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de tele-trabajo.

9. Adquisición, desarrollo y mantenimiento de los sistemas de información9.1. Requerimientos de seguridad de los sistemas de información

Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de información.

Los sistemas de información incluyen sistemas de operación, infraestructura, aplicaciones comerciales, productos de venta masiva, servicios y aplicaciones desarrolladas por el usuario. El

| P á g i n a 42


diseño e implementación del sistema de información que soporta el proceso comercial puede ser crucial para la seguridad. Se debieran identificar y acordar los requerimientos de seguridad antes del desarrollo y/o implementación de los sistemas de información.

Se debieran identificar todos los requerimientos de seguridad en la fase de requerimientos de un proyecto; y debieran ser justificados, acordados y documentados como parte del caso comercial general para un sistema de información.

9.1.1. Análisis y especificación de los requerimientos de seguridad

Los enunciados de los requerimientos comerciales para los sistemas de información nuevos, o las mejoras a los sistemas de información existentes, debieran especificar los requerimientos de los controles de seguridad.

Los requerimientos y los controles de seguridad debieran reflejar el valor comercial de los activos de información involucrados, y el daño comercial potencia que podría resultar de una falla o ausencia de seguridad.

Los requerimientos de seguridad para a seguridad de la información y los procesos para implementar la seguridad debieran ser integrados en las primeras etapas de los proyectos de sistemas de información. Los controles introducidos en la etapa de diseño son significativamente más baratos de implementar y mantener que aquellos incluidos durante o después de la implementación.

Si los productos son comprados, se debiera realizar un proceso de prueba y adquisición formal. Los contratos con el proveedor debieran tratar los requerimientos de seguridad identificados. Cuando la funcionalidad de seguridad de un producto propuesto no satisface el requerimiento especificado entonces se debieran reconsiderar el riesgo introducido y los controles asociados antes de comprar el producto. Donde se suministra funcionalidad adicional y causa un riesgo de seguridad, este debiera ser desactivado o se debiera revisar la estructura de control propuesta para determinar si se puede obtener alguna ventaja de la funcionalidad mejorada disponible.

9.2. Procesamiento correcto en las aplicaciones

Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones.

Se debieran diseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones desarrolladas por el usuario para asegurar un procesamiento correcto. Estos controles debieran incluir la validación de la input data, procesamiento interno y output data.

| P á g i n a 43


Se pueden requerir controles adicionales para los sistemas que procesan, o tienen impacto sobre, la información confidencial, valiosa o crítica. Estos controles se debieran determinar sobre la base de los requerimientos de seguridad y la evaluación del riesgo.

9.2.1. Validación de la input data

Se debiera validar la input data para las aplicaciones para asegurar que esta data sea correcta y apropiada.

9.2.2. Control del procesamiento interno

Los chequeos de validación se debieran incorporar en las aplicaciones para detectar cualquier corrupción de la información a través de errores de procesamiento o actos deliberados.

9.2.3. Integridad del mensaje

Se debiera identificar los requerimientos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones, y se debieran identificar e implementar los controles apropiados.

9.2.4. Validación de la output data

Se debiera validar la output data de una aplicación para asegurar que el procesamiento de la información almacenada sea el correcto y el apropiado para las circunstancias.

9.3. Controles criptográficos

Objetivo: Proteger la confidencialidad, autenticidad o integridad a través de medios criptográficos.

Se debiera desarrollar una política sobre el uso de controles criptográficos. Se debiera establecer una gestión clave para sostener el uso de técnicas criptográficas.

9.3.1. Política sobre el uso de controles criptográficos

Se debiera desarrollar e implementar una política sobre el uso de controles criptográficos para proteger la información.

9.3.2. Gestión de claves

Se debiera establecer la gestión de claves para dar soporte al uso de técnicas criptográficas en la organización.

| P á g i n a 44


9.4. Seguridad de los archivos del sistema

Objetivo: Garantizar la seguridad de los archivos del sistema.

Se debiera controlar el acceso a los archivos del sistema y el código fuente del programa, y los proyectos TI y las actividades de soporte se debieran realizar de una manera segura.

9.4.1. Control del software operacional

Se debieran establecer procedimientos para el control de la instalación del software en los sistemas operacionales.

9.4.2. Protección de la data del sistema

La data de prueba se debiera seleccionar cuidadosamente, y se debiera proteger y controlar.

9.4.3. Control de acceso al código fuente del programa

Se debiera restringir el acceso al código fuente del programa.

9.5. Seguridad en los procesos de desarrollo y soporte

Objetivo: Mantener la seguridad del software y la información del sistema de aplicación.

Se debiera controlar estrictamente los ambientes del proyecto y soporte.

Los gerentes responsables por los sistemas de aplicación también debieran ser responsables por la seguridad del ambiente del proyecto o el soporte. Ellos debieran asegurar que todos los cambios propuestos para el sistema sean revisados para chequear que no comprometan la seguridad del sistema o el ambiente de operación.

9.5.1. Procedimientos del control del cambio

Se debiera controlar la implementación de los cambios mediante el uso de procedimientos formales para el control del cambio.

9.5.2. Revisión técnica de la aplicación después de cambios en el sistema

Cuando se cambian los sistemas de operación, se debieran revisar y probar las aplicaciones comerciales críticas para asegurar que no exista un impacto adverso sobre las operaciones organizacionales o en la seguridad.

| P á g i n a 45


9.5.3. Restricciones sobre los cambios en los paquetes de software

No se debieran fomentar modificaciones a los paquetes de software, se debieran limitar a los cambios necesarios y todos los cambios debieran ser estrictamente controlados.

9.5.4. Filtración de información

Se debieran evitar las oportunidades para la filtración de información.

9.5.5. Desarrollo de software abastecido externamente

El desarrollo del software abastecido externamente debiera ser supervisado y monitoreado por la organización.

9.6. Gestión de la Vulnerabilidad Técnica

Objetivo: Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas.

Se debiera implementar una gestión de la vulnerabilidad técnica de una manera efectiva, sistemática y respetable, tomando mediciones para confirmar su efectividad. Estas consideraciones debieran incluir a los sistemas de operación, y cualquier otra aplicación en uso.

9.6.1. Control de las vulnerabilidades técnicas

Se debiera obtener oportunamente la información sobre las vulnerabilidades técnicas de los sistemas de información que se están utilizando, la exposición de la organización a dichas vulnerabilidades evaluadas, y las medidas apropiadas tomadas para tratar los riesgos asociados.

10. Gestión de un incidente en la seguridad de la información10.1. Reporte de los eventos y debilidades de la seguridad de la

información

Objetivo: Asegurar que los eventos y debilidades de la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva oportuna.

Se debieran establecer procedimientos formales de reporte y de la intensificación de un evento. Todos los usuarios empleados contratistas y terceros debieran estar al tanto de los procedimientos para el reporte de los diferentes tipos de eventos y debilidades que podrían tener un impacto en la seguridad de los activos organizacionales. Se les debiera requerir que reporten cualquier evento y

| P á g i n a 46


debilidad de la seguridad de la información lo más rápidamente posible en el punto de contacto designado.

10.1.1. Reporte de eventos en la seguridad de la información

Los eventos de seguridad de la información debieran ser reportados a través de los canales gerenciales apropiados lo más rápidamente posible.

10.1.2. Reporte de las debilidades en la seguridad

Se debiera requerir que todos los usuarios empleados, contratistas y terceros de los sistemas y servicios de información tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios.

10.2. Gestión de los incidentes y mejoras en la seguridad de la información

Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información.

Se debieran establecer las responsabilidades y procedimientos para manejar de manera efectivo los eventos y debilidades en la seguridad de la información una vez que han sido reportados. Se debiera aplicar un proceso de mejoramiento continuo para la respuesta a, monitoreo, evaluación y la gestión general de los incidentes en la seguridad de la información.

Cuando se requiera evidencia, esta se debiera recolectar cumpliendo con los requerimientos legales.

10.2.1. Responsabilidades y procedimientos

Se debieran establecer las responsabilidades y los procedimientos de la gerencia para asegurar una respuesta rápida, efectiva y metódica ante los incidentes de la seguridad de la información.

10.2.2. Aprender de los incidentes en la seguridad de la información

Se debieran establecer mecanismos para permitir cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información.

10.2.3. Recolección de evidencia

Cuando una acción de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra una acción legal (ya sea civil o criminal); se debiera recolectar, mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdicción(es) relevante(s).

| P á g i n a 47


11. Gestión de la continuidad del negocio11.1. Aspectos de la seguridad de la información de la gestión de la

continuidad del negocio

Objetivo: Contraatacar las interrupciones a las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna.

Se debiera implementar el proceso de gestión de la continuidad del negocio para minimizar el impacto sobre la organización y recuperarse de la pérdidas de activos de información (lo cual puede ser resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable a través de una combinación de controles preventivos y de recuperación. Este proceso debiera identificar los procesos comerciales críticos e integrar los requerimientos de gestión de la seguridad de la información de la continuidad del negocio con otros requerimientos de continuidad relacionados con aspectos como operaciones, personal, materiales, transporte y medios.

Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se debieran desarrollar e implementar planes para la continuidad del negocio para asegurar la reinundación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización.

La gestión de la continuidad del negocio debiera incluir controles para identificar y reducir los riesgos, además del proceso general de evaluación de riesgos, debiera limitar las consecuencias de incidentes dañinos y asegurar que esté disponible la información requerida para los procesos comerciales.

11.1.1. Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio

Se debiera desarrollar y mantener un proceso gerencial para la continuidad del negocio en toda la organización para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización.

11.1.2. Continuidad del negocio y evaluación del riesgo

Se debieran identificar los eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información.

| P á g i n a 48


11.1.3. Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la información

Se debieran desarrollar e implementar planes para mantener restaurar las operaciones y asegurar la disponibilidad de la información en el nivel requerido y en las escalas de tiempo requeridas después de la interrupción, o falla, de los procesos comerciales críticos.

11.1.4. Marco Referencial de la planeación de la continuidad del negocio

Se debiera mantener un solo marco referencial de los planes de continuidad del negocio para asegurar que todos los planes sean consistentes, tratar consistentemente los requerimientos de seguridad de la información e identificar las prioridades para la prueba y el mantenimiento.

11.1.5. Prueba, mantenimiento y re-evaluación de los planes de continuidad del negocio

Los planes de continuidad del negocio debieran ser probados y actualizados regularmente para asegurar que sean actuales y efectivos.

12. Cumplimiento12.1. Cumplimiento de los requerimientos legales

Objetivo: Evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad.

El diseño, operación, uso y gestión de los sistemas de información pueden estar sujetos a requerimientos de seguridad estatutarios, reguladores y contractuales.

Se debiera buscar la asesoría sobre los requerimientos legales específicos de los asesores legales de la organización o profesionales legales calificados adecuados. Los requerimientos legislativos varían de un país a otro y pueden variar para la información creada en un país que es transmitida a otro país (es decir, flujo de data inter-fronteras).

12.1.1. Identificación de la legislación aplicable

Se debiera definir explícitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes, y el enfoque de la organización para satisfacer esos requerimientos, para cada sistema de información y la organización.

| P á g i n a 49


12.1.2. Derechos de propiedad intelectual (IPR)

Se debieran implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.

12.1.3. Protección de registros organizacionales

Se debieran proteger los registros importantes de pérdida, destrucción, falsificación; en concordancia con los requerimientos estatutarios, reguladores, contractuales y comerciales.

12.1.4. Protección de la data y privacidad de la información personal

Se debiera asegurar la protección y privacidad de la data conforme lo requiera la legislación, regulaciones y, si fuesen aplicables, las cláusulas contractuales relevantes.

12.1.5. Prevención del mal uso de los medios de procesamiento de la información

Se debiera disuadir a los usuarios de utilizar los medios de procesamiento de la información para propósitos no autorizados.

12.1.6. Regulación de controles criptográficos

Los controles criptográficos se debieran utilizar en cumplimiento con todos los acuerdos, leyes y regulaciones relevantes.

12.2. Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico

Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.

La seguridad de los sistemas de información se debiera revisar regularmente.

Estas revisiones debieran realizarse en base a las políticas de seguridad apropiadas y las plataformas técnicas, y los sistemas de información debieran ser auditados en cumplimiento con los estándares de implementación de seguridad aplicables y los controles de seguridad documentados.

| P á g i n a 50


12.2.1. Cumplimiento con las políticas y estándares de seguridad

Los gerentes debieran asegurar que se lleven a cabo correctamente todos los procedimientos de seguridad dentro de su área de responsabilidad para asegurar el cumplimiento de las políticas y estándares de seguridad.

12.2.2. Chequeo del cumplimiento técnico

Los sistemas de información debieran chequearse regularmente para ver el cumplimiento de los estándares de implementación de la seguridad.

12.3. Consideraciones de auditoria de los sistemas de información

Objetivo: Maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoría del sistema de información.

Durante las auditorías de los sistemas de información debieran existir controles para salvaguardar los sistemas operacionales y herramientas de auditoría.

También se requiere protección para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoría.

12.3.1. Controles de auditoría de los sistemas de información

Las actividades y requerimientos de auditoría que involucran chequeos de los sistemas operacionales debieran ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.

12.3.2. Protección de las herramientas de auditoría de los sistemas de información

Se debiera proteger el acceso a las herramientas de auditoría de los sistemas de información para evitar cualquier mal uso o trasgresión posible.

13. VENTAJAS DE LA NORMA ISO 17799

Protección de los bienes de la empresa (información y actividades) Protección de la información en las comunicaciones y software Protección ante accesos malintencionados Prevenir alteraciones en las comunicaciones entre organizaciones Procesamiento seguro de la información Aumento de la seguridad efectiva de los sistemas de información. Correcta planificación y gestión de la seguridad. Garantías de continuidad del negocio.

| P á g i n a 51


Alianzas comerciales mas seguras. Mejora continua a través del proceso de auditoría interna. Incremento de los niveles de confianza de nuestros clientes. Aumento del valor comercial y mejora de la imagen de la organización. Auditorías de seguridad mas precisas y fiables.

14. DESVENTAJAS DE LA NORMA ISO 17799

La norma 17799 no tiene forma de valoración de las soluciones técnicas. Si bien rescata la política e la toma de conciencia, revisión y testeo, no posee una forma de la valoración absoluta respecto de lo efectivo que es la seguridad (como podría ser usar productos certificados por algún organismo).

Respecto de cuestiones de valoración de riesgo y perfiles e usuarios la norma ISO 15404 es mucho mas completa y permite aplicarse a productos concretos y no solo a organizaciones.

La evaluación de seguridad de sistemas integrados y los problemas que surgen de seguridad de manejo de sistemas integrados/interoperables, asi como los problemas derivados de utilizar un identidad de red genérica no tienen un marco preciso de evaluación por esta norma.

15. CASO DE ESTUDIO

Introducción

Este caso de estudio se refiere a una empresa de servicios informáticos que decidió implantar la ISO17799 -Código de buenas prácticas para la Gestión de la Seguridad de la Información-, obteniendo como resultado importantes ventajas de negocio.El caso revela algunas conexiones sorprendentes entre la gestión de la seguridad de la información y la gestión empresarial en general, además de numerosas ventajas indirectas que no suelen mencionarse.

Situación de partida

"Servicios, S.A." -el nombre no es real- es un proveedor de servicios informáticos, hardware y software para clientes empresariales. Con su certificación ISO 9002 obtenida hacía casi diez años, la plantilla estaba acostumbrada a trabajar de forma consecuente con directrices y procedimientos documentados. Sin embargo, el ambiente en la empresa había empeorado de un par de años hacia acá. Las decisiones de la dirección se tomaban más bien de forma instintiva, con poco análisis real. Con una rotación de personal en aumento, la dirección se dio cuenta de la necesidad de cambiar y analizó en profundidad las fortalezas y debilidades dela organización.La alta dirección de "Servicios, S.A." decidió implantar la ISO17799. Según uno de los directivos, "implantar la ISO17799 tenía sentido empresarial. Asegurar la información interna de "Servicios, S.A." reduciría el riesgo, y por tanto el coste, de brechas de seguridad importantes. ISO17799 es un marco de seguridad conocido, utilizado por algunas de las

| P á g i n a 52


empresas líderes a nivel mundial (BT, HSBC, Shell International y Unilever, entre otras), lo que nos proporcionaba los medios para implementar controles de seguridad basados en las mejores prácticas."

Beneficios de implantar ISO17799Este directivo nos dijo que "la ISO17799 no trata sólo de seguridad de la información o de tecnologías de la información; realmente ayuda a la organización a ganar dinero." Enumeró las siguientes ventajas de la ISO17799: Ventajas directas

Incremento de la fiabilidad y seguridad de los sistemas: "Como cualquier empresa, "Servicios, S.A." depende de los sistemas de información. La ISO17799 garantiza que ahora tengamos controles que mantengan la disponibilidad de los sistemas y reduzcan el riesgo de que las vulnerabilidades sean explotadas. Las auditorías internas de seguimiento y las externas de recertificación aseguran que la empresa se mantiene al día en el conocimiento de las vulnerabilidades y buenas prácticas más recientes."Incremento de beneficios: "Las ventas y los márgenes se han incrementado y la percepción de nuestra empresa por parte de los clientes ha mejorado. Nuestra certificación BS7799-2 demuestra que se puede confiar en nosotros para asegurar los datos de nuestros clientes, así como los nuestros propios. Nuestros clientes no sólo entienden que nuestra inversión en la ISO17799 les ha proporcionado beneficios a ellos, sino que están dispuestos a pagar un poco más por una infraestructura de IT segura. Desde que obtuvimos la ISO17799, hemos constatado un incremento notable de nuestro beneficio final y algunos clientes nuevos nos han dicho que prefieren tratar con empresas que tienen una certificación de seguridad reconocida. Adicionalmente, recibimos más solicitudes de oferta de empresas que exigen como requisito previo la conformidad con ISO17799. Y, de paso, nuestros empleados pierden menos tiempo navegando en Internet por páginas no relacionadas con el trabajo."Seguridad de la información rentable y coherente: "Hemos implementado una seguridad eficiente en costes y adecuada a nuestras necesidades de negocio. "Servicios, S.A." tenía muchas protecciones técnicas por toda la empresa, pero la evaluación de riesgos puso de manifiesto que algunas de nuestras protecciones o salvaguardas proporcionaban poco o ningún beneficio empresarial y que proporcionarían un mejor retorno de la inversión siendo reconfiguradas para proteger activos necesitados de un nivel de protección mayor. Todas las divisiones y departamentos de "Servicios, S.A." habían desarrollado hasta el momento sus propias directrices de seguridad. La ISO17799 nos ayudó a desarrollar un enfoque coherente de la seguridad por medio de unas políticas uniformes basadas en lasmejores prácticas de la industria. Allí donde es necesario, el cumplimiento de las políticas por parte de los empleados está apoyado por procedimientos disciplinarios."Racionalización de sistemas: "Analizar adecuadamente nuestros requerimientos de información y de seguridad de la misma significa que invertimos nuestro dinero inteligentemente. Fuimos capaces de recortar en cerca de un 50% nuestros sistemas y datos al darnos cuenta de que no merecía la pena mantenerlos, e incluso relajamos controles en algunos sistemas de bajo riesgo". Conformidad con la legislación: "Implantar la ISO17799 nos obligó a cumplir con la legislación del Reino Unido en áreas como la protección de datos y el copyright de software."

| P á g i n a 53


W.ISO27000.ES ©4Ventajas indirectas

Mejora del control por parte de la dirección: "La dirección tiene más control Sobre la organización y mejor información de calidad para gestionar la misma; se reduce, por tanto, el esfuerzo de la dirección."Mejores relaciones interpersonales: "Políticas claras, procedimientos y directrices le facilitan las cosas a nuestra plantilla. El ambiente de trabajo ha mejorado y la rotación de personal se ha reducido. La ISO17799 diferencia a "Servicios, S.A." de su competencia y le ha proporcionado un argumento de ventas único, procurando un mejor entorno laboral a nuestra plantilla. Los empleados comprenden ahora que su potencial salarial depende de cómo perciban los clientes la marca de la empresa y que cualquier publicidad negativa les puede afectar. La profesionalidad ha aumentado en toda la compañía. Dado que la seguridad depende en tan alto grado de los controles internos, necesitamos mirar con más cuidado a quién estamos contratando. Por medio de ISO17799, introdujimos más procesos de contratación que reducen el riesgo de emplear personas inadecuadas para el puesto o que pudieran suponer un riesgo potencial para nuestra empresa. Ahora sabemosquién trabaja para nosotros.Mejor gestión del riesgo y planificación de contingencias: "A través del proceso de certificación de ISO17799, "Servicios, S.A." identificó sus vulnerabilidades, amenazas e impactos potenciales en el negocio. Como resultado de esto e implementando controles de ISO17799, "Servicios, S.A." tiene un enfoque más estructurado de la gestión del riesgo. Por ejemplo, ahora tenemos un proceso racional para decidir qué riesgos transferimos a nuestras aseguradoras. Ahora también tenemos un plan de continuidad de negocio que se ajusta a la empresa, no sólo al departamento de IT. En la evaluación de riesgos se identificaron los activos de información que son críticos para el éxito de la empresa. Esto nos permitió elaborar un plan de continuidad de negocio que priorizara dichos activos y redujera nuestra exposición potencial a pérdidas financieras o publicidad negativa."Aumento de la confianza de clientes y socios comerciales: "La mayor sensibilización hacia las brechas de seguridad hacía buscar a socios comerciales y clientes evidencias de seguridad. La certificación ISO17799 ha aportado esa garantía. En cualquier negocio tienes que destacar sobre tu competencia. El haber sido el primer VAR -distribuidor de valor añadido- del mundo en obtener la ISO17799 es algo que siempre va a distinguir a "Servicios, S.A.". La inclusión de los logotipos de ISO17799 en todos nuestros impresos es un recordatorio constante a nuestros clientes actuales y potenciales de que somos una empresa gestionada profesionalmente, que toma muy en serio la confidencialidad, integridad y disponibilidad tanto de su información como de la nuestra."

Costes"A pesar de lo que se dice, los costes de implantar la ISO17799 son muy moderados. El principal coste fue el esfuerzo del cambio cultural -tuvimos que "dejar irse" a alguna de nuestra gente por no cumplir con nuestras políticas y procedimientos-. Las revisiones regulares de conformidad para mantener nuestra certificación sólo nos cuestan unas 3.000 £ (4.500 €) al año, por lo que ISO17799 es muy efectiva en costes. Estamos en conversaciones con nuestros asesores para combinar las revisiones de ISO17799 e ISO 9002 para ahorrar tiempo y dinero."

| P á g i n a 54


3.- ISO 27000

RESUMEN

La Serie ISO 27000 de normas se ha reservado expresamente por la norma ISO en materia

de seguridad de la información. Se hablara también del concepto de estándares de

seguridad, además de los estándares que conforman el estándar 27000 como un pantallazo

general. Además de las ventajas y otros factores que engloban cumplir con el estándar ISO

27000.

1. INTRODUCCION

La información es un activo que, como otros activos importantes del negocio, es esencial al

negocio de una organización y requiere en consecuencia una protección adecuada. Esto es

especialmente importante en ambientes de negocio cada vez más interconectados. Como

consecuencia de esta creciente interconectividad, la información está ahora expuesta a un

número mayor y a una variedad más amplia de amenazas y vulnerabilidades.

La gestión eficaz de la seguridad de los sistemas de información es un aspecto primordial

para salvaguardar a las organizaciones de los riesgos e inseguridades que pueden dañar de

forma importante sus sistemas de información.

La ISO y la Comisión Electrotécnica Internacional (IEC) han desarrollado una serie de

normas internacionales de amplísima difusión a nivel mundial al respecto de esta

problemática. Quizás la de mayor trascendencia sea la ISO/IEC 27002 (ex ISO/IEC 17799) -

en nuestro país adoptada como UNIT-ISO/IEC 27002-, Código de buenas prácticas para un

Sistema de Gestión de la Seguridad de la Información(SGSI), la cual como lo indica en su

título ofrece recomendaciones para la gestión de un SGSI. La primera versión de esta norma

data del año 2000 y está basada en la norma británica BS 7799-1. La norma está organizada

en 11 dominios, los cuales contiene un total de 134 controles que abarcan desde los

aspectos estratégicos de un SGSI hasta los más operativos.

Esta norma es en definitiva una herramienta muy útil para quienes sean los responsables de

iniciar, implantar o mantener la seguridad de una organización. En junio de 2005 se publicó

una nueva versión de la ISO/IEC 27002, en la misma se aumentó en un uno el número de

dominios y se eliminaron, modificaron y agregaron controles. Esta nueva versión integra los

últimos desarrollos en el campo, para mantenerse como la norma internacional reconocida

en materia de buenas prácticas para la gestión de la seguridad de la información.

| P á g i n a 55


La ISO/IEC 27002 no es una norma de certificación, ni fue diseñada para ese propósito. La

misma es seguida por la norma ISO/IEC 27001 (en nuestro país adoptada como UNIT-ISO

27001), Sistema de Gestión de la Seguridad de la Información-Requisitos publicada el 14 de

octubre de 2005, la cual puede utilizarse para la certificación. Esta última implica

declaraciones de conformidad con procesos y controles de seguridad. Está basada en la

norma BS 7799-2, la cual viene siendo utilizada para certificar en los últimos siete años. La

ISO/IEC 27001 utiliza el modelo de proceso PDCA (Plan-Do-Check-Act) al igual que las

normas ISO 9001 e ISO 14001.

Alrededor de 2000 organizaciones ya tienen su certificación para sus SGSI (Sistema de

Gestión de la Seguridad dela Información), y se espera que este número crezca en gran

medida dada la publicación de esta norma internacional. La ISO/IEC 27002 así como la

ISO/IEC 27001 son parte de la familia de normas ISO/IEC 27000 que están siendo

desarrolladas por un comité técnico especializado a nivel de ISO (el subcomité 27

perteneciente al JTC 1). El comité antes mencionado también está en proceso de

elaboración de otras normas de soporte y apoyo a las ya mencionadas. La creación de la

familia de normas relacionadas a un SGSI intenta imitar la serie de normas ISO 9000 que

abarcan un sistema de gestión de la calidad(SGC) y la ISO/IEC 27001 serviría a un SGSI así

como la ISO 9001 lo hace para un SGC. UNIT, como representante exclusivo de ISO en

Uruguay es el responsable de la Normalización Técnica en esta materia y también quién está

promocionando en nuestro país la Capacitación en Gestión de Seguridad de la Información y

la Certificación de los correspondientes Sistemas (UNIT-ISO/IEC 27001).

2. JUSTIFICACION

Hoy en día vemos que se ha aumentado la necesidad de implementar la seguridad en todos

los aspectos, ya sea seguridad física, seguridad para las personas y sus bienes, seguridad

empresarial y seguridad lógica. Debido a que la información hoy en día es un elemento

primordial que debe ser protegido y cuidado minuciosamente, el presente informe ha sido

desarrollado con el fin de dar a conocer el estándar ISO 27000 y sus respectivas familias,

detallar sus características y lo que nos ofrece este estándar para proteger los sistemas de

información, bases de datos y todo lo que se relacione con la seguridad de la información.

3. OBJETIVOS

3.1 Objetivo General

Dar a conocer el estándar ISO 27000.

| P á g i n a 56

http://www.unit.org.uy/iso27000/certificacion.php

http://www.unit.org.uy/capacitacion/programa.php?idC=81


3.2 Objetivo Especifico

Mencionar los alcances del estándar ISO 27000 y sus familias. Informar sobre los beneficios y riesgos al implementar este estándar.

4. MARCO TEÓRICO Y ESTADO DEL ARTE

4.1 Concepto de ISO

Se denomina ISO a la Organización Internacional para la Estandarización, la cual es una

federación de alcance mundial integrada por cuerpos de estandarización nacionales de 162

países, uno por cada país. Esta organización es de naturaleza no gubernamental establecida

en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las

actividades relacionadas con ella en todo el mundo.

ISO fue creada con el fin de facilitar el intercambio de servicios y bienes, y para promover la

cooperación en la esfera de lo intelectual, científico, tecnológico y económico. Por lo que

todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son

publicados como Estándares Internacionales.

ISO quiere decir en ingles The International Organization for Standardization, lo cual

traducido a nuestro idioma quiere decir Organización Internacional de Normalización,

analizando el origen del término, “ISO” es una palabra, que deriva del Griego “isos”, que

significa “igual”, el cual es la raíz del prefijo “iso” el cual aparece en infinidad de términos. Es

así que desde “igual” a “estándar” es fácil seguir por esta línea de pensamiento que fue

finalmente lo que condujo a elegir “ISO” como nombre de la Organización.

Como ya se mencionó la ISO es una red de los institutos de normas nacionales de 162

países, sobre la base de un miembro por país, con una Secretaría Central en Ginebra

(Suiza) que coordina el sistema. Esta organización tiene su sede en Ginebra, está

compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una

serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento

ambiental en todo el mundo.

| P á g i n a 57


La Organización Internacional para la Estandarización señala que sus estándares son

producidos de acuerdo a los siguientes principios:

Consenso: Se respeta las opiniones de todos, por lo que son tomados en cuenta los puntos de vistas de todos los interesados: fabricantes, vendedores, usuarios, grupos de consumidores, laboratorios de análisis, gobiernos, especialistas y organizaciones de investigación.

Aplicación Industrial Global: Se brinda soluciones globales para satisfacer a las industrias y a los clientes en todo el mundo.

Voluntario: La estandarización internacional es conducida por el mercado y por consiguiente es de carácter voluntario por parte de todos los interesados del mercado.

4.2 ISO 27000

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier

organización. El aseguramiento de dicha información y de los sistemas que la procesan es,

por tanto, un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un

sistema que aborde esta tarea de una forma metódica, documentada y basada en unos

objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la

información de la organización.

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO

(International Organization for Standardization) e IEC (International Electrotechnical

Commission), que proporcionan un marco de gestión de la seguridad de la información

utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

.

4.3 Origen

Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British

Standards Institution, la organización británica equivalente a AENOR en España) es

responsable de la publicación de importantes normas como:

- BS 5750. Publicada en 1979. Origen de ISO 9001

- BS 7750. Publicada en 1992. Origen de ISO 14001

| P á g i n a 58


- BS 8800. Publicada en 1996. Origen de OHSAS 18001

La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a

cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la

seguridad de su información.

La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no

se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por

primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la

información (SGSI) para ser certificable por una entidad independiente.

Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por

ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de

gestión.

En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por

ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO

17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007,

manteniendo el contenido así como el año de publicación formal de la revisión.

En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS

7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

| P á g i n a 59


Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie

27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de

ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie.

4.4 La serie 27000

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.

Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044

con 27799 finalizando la serie formalmente en estos momentos.

La serie de normas de referencia y su estado de aprobación de Ediciones (entre paréntesis)

a lo largo del tiempo se indican a continuación:

| P á g i n a 60


| P á g i n a 61


4.5 Contenido

En esta sección se hace un breve resumen del contenido de las principales normas de la

serie 27000 ya publicadas.

Partiendo del fundamento de que el estándar ISO/IEC 27001 indica qué requisitos deben

conformar un SGSI pero no cómo cumplirlos, algunas de las normas que conforman la serie

27000 van orientadas precisamente a documentar mejores prácticas en aspectos o incluso

cláusulas concretas de la norma ISO/IEC 27001 de modo que se evite reinventar la rueda

con el sustancial ahorro de tiempo en la implantación. Las relaciones básicas de referencia

se verán en la siguiente imagen:

| P á g i n a 62


• ISO/IEC 27000:

Publicada el 1 de Mayo de 2009 y revisada con una segunda edición de 01 de Diciembre de

2012. Esta norma proporciona una visión general de las normas que componen la serie

27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una

breve descripción del ciclo Plan-Do-Check-Act y términos y definiciones que se emplean en

toda la serie 27000.

• ISO/IEC 27001:

Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los

requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS

7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por

auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de

resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que

sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser

obligatoria la implementación de todos los controles enumerados en dicho anexo, la

organización deberá argumentar sólidamente la no aplicabilidad de los controles no

implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España

como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.

• ISO/IEC 27002:

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005

como año de edición. Es una guía de buenas prácticas que describe los objetivos de control

y controles recomendables en cuanto a seguridad de la información. No es certificable.

Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha

mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que

resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC

27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros países donde

también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC

27002), Venezuela (Fondonorma ISO/IEC 27002),Argentina (IRAM-ISO-IEC

27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Perú (como ISO 17799;

descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse

en iso.org. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité

ISO SC27, con fecha prevista de publicación de la segunda edición en Mayo de 2014.

| P á g i n a 63

http://www.iso.org/

http://www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001-V2.pdf

http://www.unit.org.uy/

http://www.inn.cl/

http://www.iram.com.ar/

http://www.fondonorma.org.ve/

http://www.icontec.org/

http://www.aenor.es/



• ISO/IEC 27003:

Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los

aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de

acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la

concepción hasta la puesta en marcha de planes de implementación, así como el proceso de

obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el

anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo

de los años con recomendaciones y guías de implantación. En España, esta norma aún no

está traducida, pero sí en Uruguay(UNIT-ISO/IEC 27003).

• ISO/IEC 27004:

Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y

utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un

SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. En

España, esta norma aún no está traducida, sin embargo sí lo está en Argentina (IRAM-ISO-

IEC 27004) o Uruguay (UNIT-ISO/IEC 27004). El original en inglés puede adquirirse

en iso.org

• ISO/IEC 27005:

Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de

2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la

información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y

está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información

basada en un enfoque de gestión de riesgos. Su primera publicación revisó y retiró las

normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en inglés puede

adquirirse en iso.org. En España, esta norma no está traducida, sin embargo, sí lo está, para

la versión de 2008, en países como México (NMX-I-041/05-NYCE), Chile (NCh-

ISO27005), Uruguay (UNIT-ISO/IEC 27005) o Colombia (NTC-ISO-IEC 27005).

• ISO/IEC 27006:

Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de

2007). Especifica los requisitos para la acreditación de entidades de auditoría y certificación

de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03

(Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que

añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de

sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es

| P á g i n a 64

http://www.icontec.org/


http://www.inn.cl/

http://www.normalizacion-nyce.org.mx/

http://www.iso.org/

http://www.iso.org/


http://www.iram.com.ar/



decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a

entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

El original en inglés puede adquirirse en iso.org. En España, esta norma no está traducida,

sin embargo, sí lo está, para la versión de 2007, en México (NMX-I-041/06-NYCE)

o Chile (NCh-ISO27001). Actualmente ha iniciado un nuevo periodo de revisión para una

nueva versión 3.

• ISO/IEC 27007:

Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI,

como complemento a lo especificado en ISO 19011. En España, esta norma no está

traducida.

• ISO/IEC TR 27008:

Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los

controles seleccionados en el marco de implantación de un SGSI. En España, esta norma no

está traducida.

• ISO/IEC 27010:

Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de

la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es

aplicable a todas las formas de intercambio y difusión de información sensible, tanto pública

como privada, a nivel nacional e internacional, dentro de la misma industria o sector de

mercado o entre sectores. En particular, puede ser aplicable a los intercambios de

información y participación en relación con el suministro, mantenimiento y protección de una

organización o de la infraestructura crítica de los estados y naciones.

• ISO/IEC 27011:

Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y

gestión de la seguridad de la información en organizaciones del sector de

telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T

X.1051. En España, no está traducida.

• ISO/IEC 27013:

Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC

27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios

TI).

| P á g i n a 65

http://www.inn.cl/

http://www.normalizacion-nyce.org.mx/

http://www.iso.org/


• ISO/IEC 27014:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de gobierno

corporativo de la seguridad de la información.


Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del

sector financiero y de seguros y como complemento a ISO/IEC 27002.


En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de valoración

de los aspectos financieros de la seguridad de la información.

• ISO/IEC TS 27017:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad

para Cloud Computing.

• ISO/IEC 27018:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en un código de buenas

prácticas en controles de protección de datos para servicios de computación en cloud

computing.


En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía con

referencia a ISO/IEC 27002 para el proceso de control de sistemas específicos al sector de

la industria de la energía.

• ISO/IEC 27031:

Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación

de las tecnologías de información y comunicación (TIC) de una organización para la

continuidad del negocio. El documento toma como referencia el estándar BS 25777. En

España, esta norma no está traducida.

| P á g i n a 66


• ISO/IEC 27032:

Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de

seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus

dependencias en otros dominios de seguridad, concretamente: Información de seguridad,

seguridad de las redes, seguridad en Internet e información de protección de infraestructuras

críticas (CIIP). Cubre las prácticas de seguridad a nivel básico para los interesados en el

ciberespacio. Esta norma establece una descripción general de Seguridad Cibernética, una

explicación de la relación entre la ciberseguridad y otros tipos de garantías, una definición de

las partes interesadas y una descripción de su papel en la seguridad cibernética, una

orientación para abordar problemas comunes de Seguridad Cibernética y un marco que

permite a las partes interesadas a que colaboren en la solución de problemas en la

ciberseguridad.

• ISO/IEC 27033:

Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes:

27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 y disponible

en iso.org); 27033-2, directrices de diseño e implementación de seguridad en redes

(publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (publicada el

3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las

comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de

comunicaciones mediante VPNs (prevista para 2013); 27033-6, convergencia IP (prevista

para 2013); 27033-7, redes inalámbricas (prevista para 2013).

• ISO/IEC 27034:

Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas,

consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de

2011 y disponible en iso.org); 27034-2, marco normativo de la organización (sin previsión de

publicación); 27034-3, proceso de gestión de seguridad en aplicaciones (sin previsión de

publicación); 27034-4, validación de la seguridad en aplicaciones (sin previsión de

publicación); 27034-5, estructura de datos de protocolos y controles de seguridad de

aplicaciones (sin previsión de publicación).

• ISO/IEC 27035:

Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de

seguridad en la información. En España, no está traducida.

| P á g i n a 67

http://www.iso.org/

http://www.iso.org/

http://www.iso.org/


• ISO/IEC 27036:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en cuatro

partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos;

27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4,

seguridad en outsourcing (externalización de servicios).

• ISO/IEC 27037:

Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las

actividades relacionadas con la identificación, recopilación, consolidación y preservación de

evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria,

dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de

video, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor

probatorio y en el intercambio entre las diferentes jurisdicciones.

• ISO/IEC 27038:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de

especificación para seguridad en la redacción digital.

• ISO/IEC 27039:

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía para la

selección, despliegue y operativa de sistemas de detección y prevención de intrusión

(IDS/IPS).

• ISO/IEC 27040:

En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía

para la seguridad en medios de almacenamiento.

• ISO/IEC 27041:

En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía

para la garantizar la idoneidad y adecuación de los métodos de investigación.

• ISO/IEC 27042:

En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía con

directrices para el análisis e interpretación de las evidencias digitales.

| P á g i n a 68


• ISO/IEC 27043:

En fase de desarrollo, con publicación prevista no antes de 2014. Desarrollará principios y

procesos de investigación.

• ISO/IEC 27044:

En fase de desarrollo, con publicación prevista no antes de 2014. Gestión de eventos y de la

seguridad de la información - Security Information and Event Management (SIEM).

• ISO 27799:

Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la

interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad

de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las

anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. El

original en inglés o francés puede adquirirse eniso.org. Desde el 20 de Enero de 2010, esta

norma está publicada en España como UNE-ISO/IEC 27799:2010 y puede adquirirse online

en AENOR

4.6 Beneficios

• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

• Reducción del riesgo de pérdida, robo o corrupción de información.

• Los clientes tienen acceso a la información a través medidas de seguridad.

• Los riesgos y sus controles son continuamente revisados.

• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad

comercial.

• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las

áreas a mejorar.

• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS

18001…).

• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

| P á g i n a 69


http://www.iso.org/


• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y

otras.

• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

• Confianza y reglas claras para las personas de la organización.

• Reducción de costes y mejora de los procesos y servicio.

• Aumento de la motivación y satisfacción del personal.

• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra

sistemática de productos y tecnologías.

4.7 Enfoque del Proceso

Las organizaciones necesitan identificar y manejar muchas actividades para poder funcionar

de manera eficiente. Las actividades que necesitan recurso y es manejada para la

transformación de insumos outputs es considerado como un proceso.

El enfoque del proceso para la gestión de la seguridad de la información presentado en este

estándar internacional fomenta que sus usuarios enfaticen la importancia de:

Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información.

Implementar y operar controles para manejar los riesgos de la seguridad de la información.

Monitorear y revisar el desempeño del SGSI Mejoramiento continuo en base a la medición del objetivo

Este Estándar Internacional adopta el modelo del proceso (PDCA):

Planear Hacer Chequear Actuar

| P á g i n a 70


• Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un

proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo

por ser un punto contemplado de forma especial por la norma sino porque el cambio de

cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante

de la Dirección.

| P á g i n a 71


• Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el

esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

4.7.1 Planificación (Plan)

• Definir alcance del SGSI: en función de características del negocio, organización,

localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene

por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance

limitado). Es importante disponer de un mapa de procesos de negocio, definir claramente los

interfaces con el exterior del alcance, determinar las terceras partes (proveedores, clientes...)

que tienen influencia sobre la seguridad de la información del alcance, crear mapas de alto

nivel de redes y sistemas, definir las ubicaciones físicas, disponer de organigramas

organizativos, definir claramente los requisitos legales y contractuales relacionados con

seguridad de la información, etc.

• Definir política del SGSI: que incluya el marco general y los objetivos de seguridad de la

información de la organización, tenga en cuenta los requisitos de negocio, legales y

contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general,

establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política del

| P á g i n a 72


SGSI es normalmente un documento muy general, una especie de "declaración de

intenciones" de la Dirección.

• Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de

riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de

aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas

metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de

Herramientas); la organización puede optar por una de ellas, hacer una combinación de

varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones de detalle,

aunque ISO 27005 sí profundiza en directrices sobre la materia. El riesgo nunca es

totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una

estrategia de aceptación de riesgo.

• Inventario de activos: todos aquellos activos de información que tienen algún valor para la

organización y que quedan dentro del alcance del SGSI.

• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.

• Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la

integridad o la disponibilidad de cada uno de los activos de información.

• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es

decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo;

estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los

niveles definidos previamente) o requiere tratamiento.

• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido

(mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma

consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing).

• Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la

evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en

cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si se

consideran necesarios.

• Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el

SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de

negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. El

riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero" no

existe prácticamente en ningún caso).

| P á g i n a 73


• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability)

es una lista de todos los controles seleccionados y la razón de su selección, los controles

actualmente implementados y la justificación de cualquier control del Anexo A excluido. Es,

en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

4.7.2 Implementación (Do)

Definir plan de tratamiento de riesgos: que identifique las acciones, recursos,

responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.

• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control

identificados.

• Implementar los controles: todos los que se seleccionaron en la fase anterior.

• Formación y concienciación: de todo el personal en lo relativo a la seguridad de la

información.

• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e

instrucciones.

• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.

• Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.

| P á g i n a 74


4.7.3 Seguimiento (Check)

Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en

resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las

actividades de seguridad de la información están desarrollándose como estaba planificado,

detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si

las acciones tomadas para resolver incidentes de seguridad han sido eficaces.

• Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de

seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los

interesados.

• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de

seguridad.

• Revisar regularmente la evaluación de riesgos: los cambios en la organización, tecnología,

procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una

influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.

| P á g i n a 75


• Realizar regularmente auditorías internas: para determinar si los controles, procesos y

procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el

entorno legal y los requisitos y objetivos de seguridad de la organización, están

implementados y mantenidos con eficacia y tienen el rendimiento esperado.

• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance

definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de

seguridad o a los objetivos de seguridad de la información.

• Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las

revisiones.

• Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del

SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del

SGSI.

4.7.4 Mejora continua (Act)

Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase

anterior.

• Acciones correctivas: para solucionar no conformidades detectadas.

| P á g i n a 76


• Acciones preventivas: para prevenir potenciales no conformidades.

• Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de

detalle.

• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier

acción, medida o cambio debe comprobarse siempre.

4.8 Aspectos clave

4.8.1 Fundamentales

Compromiso y apoyo de la Dirección de la organización.

Definición clara de un alcance apropiado.

Concienciación y formación del personal.

Evaluación de riesgos adecuada a la organización.

Compromiso de mejora continua.

Establecimiento de políticas y normas.

Organización y comunicación.

Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del

cumplimiento legal y de la externalización.

Integración del SGSI en la organización.

4.8.2 Factores de éxito

La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión

continua de no conformidades, incidentes de seguridad, acciones de mejora,

tratamiento de riesgos...

Creación de un sistema de gestión de incidencias que recoja notificaciones

continuas por parte de los usuarios (los incidentes de seguridad deben ser

reportados y analizados).

La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

La seguridad no es un producto, es un proceso.

La seguridad no es un proyecto, es una actividad continua y el programa de

protección requiere el soporte de la organización para tener éxito.

La seguridad debe ser inherente a los procesos de información y del negocio.

| P á g i n a 77


4.8.3 Riesgos

Exceso de tiempos de implantación: con los consecuentes costes descontrolados,

desmotivación, alejamiento de los objetivos iniciales, etc.

Temor ante el cambio: resistencia de las personas.

Discrepancias en los comités de dirección.

Delegación de todas las responsabilidades en departamentos técnicos.

No asumir que la seguridad de la información es inherente a los procesos de

negocio.

Planes de formación y concienciación inadecuados.

Calendario de revisiones que no se puedan cumplir.

Definición poco clara del alcance.

Exceso de medidas técnicas en detrimento de la formación, concienciación y

medidas de tipo organizativo.

Falta de comunicación de los progresos al personal de la organización.

4.8.4 Consejos básicos

Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de

trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área

sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar

gradualmente el alcance en sucesivas fases.

Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones

exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de

problemas la implantación; adquirir experiencia de otras implantaciones, asistir a

cursos de formación o contar con asesoramiento de consultores externos

especializados.

Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al

inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas

para desarrollar las buenas prácticas, además de ser uno de los puntos

fundamentales de la norma.

La certificación como objetivo: aunque se puede alcanzar la conformidad con la

norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un

objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito.

Eso sí, la certificación es la "guinda del pastel", no es bueno que sea la meta en sí

misma. El objetivo principal es la gestión de la seguridad de la información alineada

con el negocio.

| P á g i n a 78


No reinventar la rueda: apoyarse lo más posible en estándares, métodos y guías ya

establecidos, así como en la experiencia de otras organizaciones.

Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001 para la

calidad o ISO 14001 para medio ambiente) ya implantados en la organización son

útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias;

es conveniente pedir ayuda e implicar a responsables y auditores internos de otros

sistemas de gestión.

Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el

proyecto debe ser capaz de trabajar con continuidad en el proyecto.

Registrar evidencias: deben recogerse evidencias al menos tres meses antes del

intento de certificación para demostrar que el SGSI funciona adecuadamente. No

precipitarse en conseguir la certificación.

Mantenimiento y mejora continua: tener en consideración que el mantenimiento y la

mejora del SGSI a lo largo de los años posteriores requerirán también esfuerzo y

recursos.

5. Caso de estudio

Nuestro caso de estudio es la vulnerabilidad que tienen los sistemas bancarios ante los hackers.

Un claro ejemplo es el siguiente:

Hackers roban $us 1.000 millones en 100 bancos en todo el mundo

Una banda de piratas informáticos ha robado unos 1.000 millones de

dólares a un centenar de bancos por todo el mundo, denunció la compañía

rusa de seguridad en internet Kaspersky, en un comunicado publicado en su

página web.

Según la empresa, que junto con la Interpol y la Europol se encargó de

investigar lo que llamó "operación sin precedentes”, los ciberdelincuentes

procedentes de Rusia, Ucrania, China y varios países europeos habían

operado ya desde hace dos años sin causar sospechas.

A diferencia de otros hackers, la banda denominada Carbanak no robaba

las cuentas de los clientes de bancos, sino directamente a las de las

instituciones financieras simulando que se trataba de actividades de sus

empleados.

| P á g i n a 79


De acuerdo con los expertos de Kaspersky, los delincuentes tardaban de

dos a cuatro meses en recabar todos los datos del banco necesarios para

realizar transacciones fraudulentas con las que se llevaban hasta 10

millones de dólares de una entidad.

Precisamente ése es el período de tiempo que se requería desde que se

infectaba el primer ordenador de la red interna del banco a través de la

técnica phishing, que emula un software legal de una entidad para pedir

claves y contraseñas al usuario, hasta la recogida del dinero de los cajeros

automáticos.

Tras acceder a la red, Carbanak localizaba los ordenadores que

administraban los sistemas de videovigilancia a través de los cuales, a su

vez, aprendió a imitar las actividades virtuales de los empleados del banco.

"Los hackers ni siquiera tuvieron que entrar en los servidores bancarios.

Sólo se infiltraban en la red y se dedicaban a aprender a hacer pasar sus

actividades por ordinarias. Se trata de un robo verdaderamente profesional”,

afirmó Serguéi Golovanov, experto de Kaspersky

BBC Mundo complementó que los atracos tuvieron lugar en firmas

financieras de 30 países, entre éstos, Rusia, Estados Unidos, Alemania,

China, Ucrania y Canadá, según la información hecha pública ayer por la

compañía rusa.

BIBLIOGRAFÍA

NORMATIVIDAD—BS 7799, Jueves, 29 de Enero de 2009http://bahamutrunas.blogspot.com/2009/01/normatividad.html

Estándares de Seguridad en la Información, Viernes, 3 de Septiembre de 2010http://electivo2.blogspot.com/2010/09/bs-7799.html

| P á g i n a 80

http://electivo2.blogspot.com/2010/09/bs-7799.html

http://bahamutrunas.blogspot.com/2009/01/normatividad.html


Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799, Lic. Javier F. - CC. Viviana Harari - Lic. Paula Venosa, LINTI -Laboratorio de Investigación de Nuevas Tecnologías Informáticas -Facultad de Informática - Universidad Nacional de La Plata.

http://sedici.unlp.edu.ar/bitstream/handle/10915/21394/Documento_completo.pdf?sequence=1

Metodología para implantar BS-7799 en una empresa http://www.scprogress.com/NOTICIAS/implantandoISO17799.pdf

Caso de estudio: “EL valor de negocio de ISO17799”, abril 2006, Dr. Gary Hinson

http://www.iso27000.es/download/ValorDeNegocioDeISO17799.pdf

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799, 30/09/2004, Antonio Villalón Huerta

http://www.shutdown.es/ISO17799.pdf

Estandar internacional ISO/IEC 17799, segunda edición 15/06/2005

https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

http://sgsi.utp.edu.co/

http://www.iso27000.es/iso27000.html

http://www.27000.org/

| P á g i n a 81

http://www.27000.org/

http://www.iso27000.es/iso27000.html

http://sgsi.utp.edu.co/

https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

http://www.shutdown.es/ISO17799.pdf

http://www.iso27000.es/download/ValorDeNegocioDeISO17799.pdf

http://www.scprogress.com/NOTICIAS/implantandoISO17799.pdf

http://sedici.unlp.edu.ar/bitstream/handle/10915/21394/Documento_completo.pdf?sequence=1

estandares bs-7799, iso 17799, 27000

Documents

gestin de seguridad

isoiec tr

contenido62 isoiec

isoiec ts

requerimientos de seguridad

gestin de acceso

seguridad fsica

gestin de activos244