• Home

  • Documents

  • La Leyenda Iso 17799 La Seguridad de Los Activos de Informacion Parte 1
prev
next
out of 11

La Leyenda Iso 17799 La Seguridad de Los Activos de Informacion Parte 1

Embed Size (px)

Citation preview

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00

    Todas las actividades de las organizaciones existen por la informacin utilizada. Las buenasprcticas aplicadas a su proteccin, gestin y utilizacin determinan el xito del productodesarrollado.

    Comienza el da. Despertamos escuchando la radio con los datos del tiempo, la situacin delos transportes pblicos y un resumen de las principales noticias. Informacin. Durante el viajeal trabajo, leemos el reporte del proyecto, comparamos el cuadro de situacin, con las fechas ylos desarrollos finalizados. Informacin. Accedemos a las oficinas, nuestra tarjeta de acceso no funciona correctamente, no reconoce elcdigo de barras, volvemos a intentar y entramos. Informacin. Nos dirigimos a nuestroescritorio, ingresamos usuario y contrasea, accedemos a nuestra computadora. Informacin. Abrimos nuestros programas de desarrollo, la ltima versin de los cdigos fuentes, losdocumentos de anlisis y diseo, los informes de requerimientos, accedemos a la base dedatos en cuestin y nos disponemos a trabajar. Informacin. Telfono, el nuevo integrante del equipo nos solicita soporte sobre el componente deencriptacin que estaba publicado en la librera de nuestra la base de conocimiento dedesarrollo. Informacin. El asesor externo en protocolos de comunicacin nos visita a fin de acordar un mejor

    1 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00esquema que brinde mayor eficiencia al programa que estamos desarrollando. Informacin. En las ltimas horas, coordinamos con el resto del equipo la integracin de los diferentesdesarrollos para armar la versin final, a fin de instalarla en el ambiente de prueba, para serprobada con los casos de prueba elaborados por los usuarios calificados. Informacin. El resultado de estas pruebas determinar que entreguemos a nuestros clientes el productofinal en forma anticipada a la de nuestros competidores. Entendemos que nuestroscompetidores se encuentran retrasados en su desarrollo debido al incidente elctrico queafecto a toda la zona. Nosotros pudimos sobrellevar esta eventualidad debido a nuestro sitioalternativo de contingencia en las afueras de la ciudad. Informacin. Informacin. Y ms informacin.Qu es un activo de informacin?

    Si nos tomamos unos minutos para analizar la situacin anterior comprendemos que en cadauna de las actividades que desarrollamos diariamente estamos en contacto con informacinque nos permite mejorar el conocimiento y aprender, reducir nuestra incertidumbrepermitindonos decidir la mejor accin entre varias, o proporcionar una serie de reglas confines de control o evaluacin.

    La informacin se convierte en un activo, tan importante como los activos econmicos yhumanos que posee la organizacin, y por consiguiente deben ser protegidos de un modoadecuado. Ninguna persona estara de acuerdo en perder dinero, debido a un agujero en elbolsillo. Ningn lder de proyecto estara conforme en perder uno de los talentos de su equipo,particularmente en medio de un proyecto. Ningn programador estara motivado en comenzarsu da laboral al enterarse que la ltima versin del cdigo fuente finalizado ayer, se ha perdidodebido a que el servidor que lo almacenaba qued fuera de funcionamiento y la ltima copia deseguridad disponible es de un mes atrs.Los tres pilares del valor de la informacin

    Cul es el valor de los activos de informacin para nuestra organizacin, para nuestro equipode trabajo y para nosotros mismos? A fin de determinar el valor de estos activos, debemosconocer los tres pilares que clasifican la importancia y prioridad de los mismos:

    - Confidencialidad: solo podrn acceder a la informacin (usarla, leerla o escucharla) laspersonas autorizadas.

    2 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00- Integridad: la informacin con la que se trabaja sea completa y precisa, ponindole nfasisen la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento.Este pilar determina la manera en que es controlada la persona antes de acceder a lainformacin.

    - Disponibilidad: la informacin estar disponible siempre que cualquier persona autorizadanecesite hacer uso de ella. Clasificando este pilar de acuerdo a la velocidad de recuperonecesaria para que la informacin est disponible.Qu es la seguridad de la informacin?

    La seguridad de la informacin protege a los activos de informacin respecto a una grancantidad de amenazas, asegurando a la organizacin que la frecuencia y el impacto de losriesgos sean mnimos, considerando que la rentabilidad y la relacin costo/beneficio sean losms eficientes. Las organizaciones dependen para funcionar de sus sistemas aplicativos,bases de datos, redes de comunicaciones, procesos internos y las personas. Muchos de estosaplicativos no fueron diseados y desarrollados para que sean seguros, debido a que elesquema de seguridad aplicado a los mismos era obsoleto o desconocido. La planificacin deldesarrollo de un aplicativo nos permite reducir lo desconocido. En el marco de la seguridaddebemos realizar la planificacin paralela que considere los diferentes controles de laproteccin de los activos de informacin.

    La seguridad de la informacin es un proceso que evoluciona con toda la organizacin, sibien esta coordinada y centralizada por el personal especializado (IRM Information RiskManagement), involucra el compromiso de todas las personas de la empresa, incluso enmuchos casos es extensivo a los clientes y proveedores de la misma, es decir, es un proyectomultidisciplinario aplicado a la cadena de valor completa. Si bien existen medios tecnolgicos otcnicos que permiten mejorar la seguridad, actualmente no son suficientes por si solos.Debemos complementarlos con un detallado anlisis e identificacin de los puntos de riesgo,una cuidadosa planificacin de los controles a realizar, una gestin de seguridad que involucrea todos y una adecuada implementacin de procedimientos de acuerdo a lo relevado.Para qu utilizar un estndar o buena prctica internacional?

    A esta altura del artculo nos debiramos preguntar Somos concientes del esquema deseguridad que estamos aplicando a nuestros activos de informacin? Somos competentes alrealizarlo? Estas preguntas tienen como objetivo cuestionarnos que posicin tenemos frente ala seguridad de la informacin. Seremos ciegos

    3 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00al respecto?, es decir que no slo no sabemos, sino que ni siquiera sabemos que no sabemos.Seremos ignorantes?, esto es que sabemos que no sabemos. En este caso somos concientes que no sabemos ydebemos aprender, pasando de ser incompetentes a competentes, permitindonos ser aprendices de los conceptos de la seguridad de la informacin. Puede ser que algunos no quieran seraprendices, y tomen la posicin de la persona cretina, quien sabe que no sabe, pero finge saber, esta posicin no se las recomiendo debido a queno nos permite crecer como profesionales que somos.

    Es inevitable que para ser aprendices de estos conceptos, y tener el grado de competencia querequiere la organizacin debamos compararnos. Podemos compararnos con otrosprofesionales, otros equipos de trabajo u otras organizaciones, pero siempre existir una dudasustancial si la otra parte est realizando en forma correcta y efectiva la aplicacin de laseguridad. Por ello existen estndares o buenas prcticas internacionales que sonutilizadas como recomendaciones dentro de un esquema referencial a seguir, que nos permitenclarificar nuestro estado de conciencia y nos provee el conocimiento para aprender a ser mscompetentes al respecto. Las buenas prcticas se relacionan simplemente con la mejor manera de realizar las cosas.

    En los ltimos aos el uso de la TIC, ha determinado un valor diferencial en las organizaciones.El conjunto de aplicaciones, bases de datos, redes de comunicaciones y equipamientoutilizado, determinan un aspecto crtico en el xito de las actividades comerciales. La TICdetermina una ventaja competitiva que permite mejorar la productividad y la calidad de lainformacin circulantes en la organizacin. Pero tambin su aplicacin implica riesgos. Estosriesgos debieran ser conocidos y controlados dentro de un esquema que conviva con lasactividades normales de la organizacin. Las buenas prcticas determinan el esquemaconceptual sobre las cuales debemos desarrollar las actividades relacionadas con la TIC.

    Los estndares o buenas prcticas internacionales, determinan el camino que debemosseguir para alcanzar un objetivo puntual. No nos aseguran el xito. Las buenas prcticaspueden ser comparadas con un mapa u hoja de ruta. Este mapa nos presenta un esquema conbase conceptual y terica que nos sirve de gua en las actividades que desarrollamos paraalcanzar el objetivo propuesto. El mapa no nos anticipa lo que realmente puede presentarse enel territorio a recorrer. El mapa no es elterritorio . Con elfin de acortar la brecha entre el mapa y el territorio (entre lo terico y la realidad), es

    4 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00fundamental obtener de los recursos involucrados: compromiso, responsabilidad y aplicacindel sentido comn. Adicionalmente a estos factores, la persona que lidere este proceso, deberapoyarse principalmente en su experiencia prctica dentro del esquema que presente lanormativa en cuestin.

    La efectividad y la excelencia se encontrarn condicionadas en como personalicemos lasbuenas prcticas a la organizacin, como las implementemos y posteriormente lasmantengamos actualizadas. La efectividad y excelencia ser resultado de la capacidad queposean el lder de este proceso en combinar los recursos humanos de la organizacin, elpresupuesto econmico, y la secuencia de objetivos intermedios y finales, frente a lasrecomendaciones que imparta las buenas prcticas de cmo hacer bien las cosas.Beneficios de la aplicacin de buenas prcticas

    - Anula de los efectos negativos de reinventar la rueda.

    - Reduce la dependencia con los expertos tecnolgicos internos o externos.

    - Mejora el potencial del personal con menos experiencia del equipo de trabajo.

    - Mejora y es mucho ms fcil la colaboracin con otros equipos de trabajo externos a laorganizacin.

    - Reduce los riesgos en trminos de su frecuencia e impacto.

    - Reduce la cantidad de errores.

    - Mejora la calidad de la informacin utilizada.

    5 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00- Mejora la calidad de los procesos de trabajo.

    - Mejora las habilidades para gestionar y monitorear las actividades del equipo de trabajo.

    - Reducen los costos operativos basndose en la estandarizacin incremental de los procesos.

    - Mejora la confianza y confidencia, entre los integrantes del equipo la organizacin, socios,clientes y proveedores.

    - Crea respeto ante las entidades reguladoras u controladoras externas.

    - Protege y provee un valor diferencial para la organizacin.Estndares aplicados a la seguridad de la informacin

    En el ao 1995, el Instituto Britnico de Normas Tcnicas (BSI) public las primeras normativasrelacionadas con varios aspectos de la gestin de la seguridad informtica. Connotaciones degran importancia se sucedieron en los aos subsiguientes, tales como la problemtica del ao2000 (Y2K) y la unificacin de la moneda europea o impacto econmico en Europa frente a laconsolidacin en la moneda Euro. La primera edicin del estndar BS 7799, no brind losresultados esperados, transformndose en una normativa poco flexible y difcil de aplicar aconceptos bsicos de la seguridad informtica, que por aquel entonces no resultaba unanecesidad importante y prioritaria. En este perodo los problemas de las funcionalidades deInternet, uso de correo electrnico, delitos informticos, entre otros, no resultaban o no eranconsiderados graves, recin estaban conformando la base para lo que representaran aosdespus en el concepto de riesgo e impacto.

    En el ao 1999, se desarrolla la segunda versin de la BS7799, dividindose en dos partes,totalmente mejoradas. La BS 7799-1:1999 (Parte 1) asociada a la tecnologa de la informaciny cdigos de prcticas para la gestin de la seguridad de la informacin, conteniendo elestndar con sus recomendaciones. La BS 7799-2:1999 (Parte 2) asociada a los sistemas degestin de la seguridad de la informacin y especificaciones sobre guas de uso de la primeraparte, puntualizando en la implementacin de las recomendaciones y su certificacin.

    6 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00

    Estndares de la seguridad de la informacin: BS 7799, ISO 17799 y ISO 27001

    Durante esta transicin, la Organizacin Internacional de Estndares (ISO) y la ComisinElectrnica Internacional (IEC) conforman un comit tcnico con el fin de analizar en formaparalela la normativa tcnica BS 7799. En el ao 2000, la ISO/IEC adopta y publica la primeraparte bajo el nombre de ISO/IEC 17799:2000. El desarrollo efectuado por la ISO/IEC en estanormativa, recibi la aceptacin que no tuvo sus predecesores, siendo reconocida y adoptada anivel internacional. En Junio de 2005, la ISO/IEC 17799:2005, fue actualizada, particularmenteen aspectos de anlisis de riesgos, alineacin de las polticas de seguridad con losrequerimientos del negocio, monitoreos y control de accesos, administracin de incidentes yfinalmente sobre el entrenamiento y toma de conciencia de los usuarios finales sobre losaspectos de seguridad.

    La segunda parte de la BS 7799, fue revisada en el 2002, y fue adoptada por la ISO en el ao2005, originando el estndar ISO/IEC 27001:2005 que referencia a la certificacin de losSistemas de Gestin de la Seguridad de la Informacin (SGSI).

    La ISO/IEC 17799 provee recomendaciones para la gestin de la seguridad de lainformacinISO/IEC 17799

    7 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00ISO/IEC 17799 es un estndar internacional publicado por la Organizacin Internacional deEstndares y la Comisin Internacional Electrotcnica, con el fin de proveer un esquemaestndar y un conjunto de recomendaciones que sirvan de gua a los responsables de lainiciacin, implementacin, mantenimiento y mejora de la gestin de la seguridad de lainformacin. Es la normativa tcnica de seguridad de la informacin ms reconocida a nivelinternacional. Su objetivo principal es proteger adecuadamente los activos de informacin deuna organizacin. Esta normativa fue desarrollada en forma flexible, siendo neutrales a latecnologa (programas o equipamiento) a utilizar, de esta manera los conceptos en ellaexplicitados son fcilmente adaptables a los cambios tecnolgicos que se producen en elmercado informtico y a las diferentes plataformas que actualmente existen dentro de unamisma organizacin.

    Supongamos que debemos transportar algunos activos valiosos de informacin de nuestrointers. Estos son valorizados, como anteriormente indicamos, sobre los pilares de laintegridad, confidencialidad y disponibilidad. Por ejemplo: el paquete de programasdesarrollado finalmente para entregar a nuestro cliente, el conjunto de documentacin deanlisis y diseo de la propuesta de desarrollo que se realizar si este es aprobado, el conjuntode mis componentes y servicios de seguridad que son utilizados como base en cualquierdesarrollo de aplicativos, o las lista de mis contactos de futuros clientes y los precios acordadosa los cuales les vender el software desarrollado. Todos estos son activos de informacinvaliosos que significarn un paso clave en las tareas que estamos vinculados. En nuestroejemplo los activos de informacin sern trasportados en un camin adecuado a nuestrasnecesidades costo/beneficio en materia de la seguridad.

    8 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00Proteccin de los activos de informacin

    Siguiendo con nuestro ejemplo, un camin puede estar conformado bajo las caractersticas queuno considere necesario, por lo tanto, las especificaciones del tipo de ruedas, motor, vidrios,como ser la carrocera, equipos electrnicos y elctricos, cabina, comodidades del conductory acompaantes, entre otros. Cada uno de estos componentes es definido por una personaque toma bajo su responsabilidad la conduccin de estos activos de informacin que sonvaliosos para nosotros. Asimismo debemos aclarar que el camin solo podr funcionar si todaslas partes que lo conforman se encuentran en completa armona e integracin. La rueda por sisola no es el camin, pero el camin necesita de la rueda para cumplir la funcin de camin. Sialguna de las partes no est presente, o bien alguna de ellas no funciona correctamente, elcamin no podr cumplir con la funcin para la cual es necesitado.

    Aplicando los conceptos bsicos de la ISO/IEC 17799, el camin de nuestro ejemplo estransformado en un Sistema de Gestin de la Seguridad de la Informacin (SGSI), conformadopor cada una de las partes que en este caso tiene el nombre de dominio de control. Estosestn unidos integralmente y deben ser analizados en forma conjunta, consolidando los puntosde estudios de tecnologa, procesos y personas.

    9 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:00

    Proteccin de los activos de informacin basados en ISO/IEC 17799Estructuralmente la ISO/IEC 17799 se encuentra dividida en 10 dominios de control quecubren todas las necesidades de seguridad de la informacin en los diferentes niveles:estratgico, tctico y operativo. Dentro de estos dominios se establecen 36 objetivos de controly 127 controles propiamente dichos, establecidos mediante procedimientos, monitoreos,controles y rutinas prcticas que conllevan la mitigacin o la reduccin del nivel de riesgo queafronta las organizaciones.Dominios de control

    1.- Polticas de Seguridad.

    2.- Normas Organizativas de la Seguridad.

    3.- Clasificacin y Control de Activos.

    4.- Cumplimiento Legal.

    5.- Control de Accesos.

    6.- Seguridad del Personal.

    7.- Seguridad Fsica y Ambiental.

    10 / 11

  • La leyenda ISO 17799: La seguridad de los activos de informacin (Parte 1)Escrito por Oscar Andres SchmitzViernes, 06 de Abril de 2012 06:008.- Desarrollo y Mantenimiento de Sistemas.

    9.- Continuidad del Negocio.

    10.- Gestin de Comunicaciones y Operaciones.

    En la prxima entrega centralizaremos el anlisis del estndar ISO/IEC 17799 en relacin a lasorganizaciones dedicadas al desarrollo de software, explorando cada uno de los dominios decontrol que las buenas prcticas establecen.

    Las 4 partes de este artculo podrn consultarse en los siguientes enlaces luego de supublicacin: Parte 1 , Parte 2 , Parte 3 y Parte 4 .

    Autor: Oscar Andrs Schmitz

    11 / 11


ISO IEC 17799, Tecnología de La Información

ISO IEC 17799, Tecnología de La Información

Documents
PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ · 7 Identificar los activos de información involucrados en cada control de la norma NTP 17799. Elaborar el mapeo del marco COBIT 5.0 frente

PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ · 7 Identificar los activos de información involucrados en cada control de la norma NTP 17799. Elaborar el mapeo del marco COBIT 5.0 frente

Documents
ESQUEMA 1 DE NORMA IRAM-ISO IEC 17799

ESQUEMA 1 DE NORMA IRAM-ISO IEC 17799

Documents
ISO 27001 y 17799

ISO 27001 y 17799

Documents
Confer en CIA Ntp Iso Iec 17799

Confer en CIA Ntp Iso Iec 17799

Documents
Los Dominios de La NTP ISO 17799-2007

Los Dominios de La NTP ISO 17799-2007

Documents
Norma iso 17799-2005-castellano

Norma iso 17799-2005-castellano

Documents
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799

Documents
Iso 17799 (2)

Iso 17799 (2)

Documents
Introduccion de ISO 17799

Introduccion de ISO 17799

Technology
Leyenda actividad Leyenda autorización

Leyenda actividad Leyenda autorización

Documents
NTP ISO/IEC 17799 - 2007

NTP ISO/IEC 17799 - 2007

Documents
Presentación ISO 17799 BS 7799 / UNE 71502 y Callio Secura

Presentación ISO 17799 BS 7799 / UNE 71502 y Callio Secura

Documents
BSI 17799 Traduccion Al Español de Argentina

BSI 17799 Traduccion Al Español de Argentina

Documents
Trabajo iso-17799

Trabajo iso-17799

Technology
Ministerio del Interior - Presentación norma iso 17799

Ministerio del Interior - Presentación norma iso 17799

Business
Iso Iec 17799 Portugues

Iso Iec 17799 Portugues

Documents
LEYENDA ECUATORIANA LA LEYENDA DE CANTUÑA

LEYENDA ECUATORIANA LA LEYENDA DE CANTUÑA

Documents
NORMA TÉCNICA NTP-ISO/IEC 17799 PERUANA 2007 · La presente Norma Técnica Peruana presenta cambios editoriales referidos ... NORMA TECNICA NTP-ISO/IEC 17799 . NORMA TECNICA NTP-ISO/IEC

NORMA TÉCNICA NTP-ISO/IEC 17799 PERUANA 2007 · La presente Norma Técnica Peruana presenta cambios editoriales referidos ... NORMA TECNICA NTP-ISO/IEC 17799 . NORMA TECNICA NTP-ISO/IEC

Documents
Introduccion iso 17799

Introduccion iso 17799

Documents
NORMA TÉCNICA NTP-ISO/IEC 17799 PERUANA 2007 - UM

NORMA TÉCNICA NTP-ISO/IEC 17799 PERUANA 2007 - UM

Documents
NORMA TECNICA NTP-ISO/IEC 17799 PERUANA 2004“N...NORMA TECNICA NTP-ISO/IEC 17799 PERUANA 2004 Comisión de Reglamentos Técnicos y Comerciales - INDECOPI Calle de La Prosa 138, San

NORMA TECNICA NTP-ISO/IEC 17799 PERUANA 2004“N...NORMA TECNICA NTP-ISO/IEC 17799 PERUANA 2004 Comisión de Reglamentos Técnicos y Comerciales - INDECOPI Calle de La Prosa 138, San

Documents
17799 Iram Iso Iec Pr1

17799 Iram Iso Iec Pr1

Documents
UNE 71502, ISO 17799

UNE 71502, ISO 17799

Documents
Norma iso 17799

Norma iso 17799

Documents
Iso 17799 2005 Castellano

Iso 17799 2005 Castellano

Documents
Presentación de PowerPoint - unam.edu.pe · Normativas de Seguridad Informática ISO 17799 ... Normas ISO 27000. ISO 17799 Esta organizada en capítulos de 11 secciones y 39 Objetivos

Presentación de PowerPoint - unam.edu.pe · Normativas de Seguridad Informática ISO 17799 ... Normas ISO 27000. ISO 17799 Esta organizada en capítulos de 11 secciones y 39 Objetivos

Documents
Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799

Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799

Documents
LEYENDA DE LA YERBA MATE: UNA LEYENDA GUARANÍ · LEYENDA DE LA YERBA MATE: UNA LEYENDA GUARANÍ (Versión breve del original de Eduardo Galeano) Cuenta una antigua leyenda guaraní,

LEYENDA DE LA YERBA MATE: UNA LEYENDA GUARANÍ · LEYENDA DE LA YERBA MATE: UNA LEYENDA GUARANÍ (Versión breve del original de Eduardo Galeano) Cuenta una antigua leyenda guaraní,

Documents
Estándar Internacional ISO/IEC 17799 - Soluciones ... · PDF fileESTÁNDAR ISO/IEC INTERNACIONAL 17799 Segunda Edición 2005-06-15 Tecnología de la Información – Técnicas de

Estándar Internacional ISO/IEC 17799 - Soluciones ... · PDF fileESTÁNDAR ISO/IEC INTERNACIONAL 17799 Segunda Edición 2005-06-15 Tecnología de la Información – Técnicas de

Documents