Upload
marcosmendozap
View
28
Download
0
Embed Size (px)
Citation preview
REPÚBLICA BOLIVARIANA DE VENEZUELAINSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”EXTENSIÓN PORLAMAR
ELECTIVA VISO/IEC- 27002
INDICE GENERAL
pp.
INTRODUCCIÓN ………………………………………………………………………..1
CONTENIDO……..……………………………………………………………………....2
CONCLUSIÓN……………………………..……....................................………….….9
REFERENCIAS BIBLIOGRÁFICAS.…………………………………………………10
INTRODUCCION
En el mundo de la seguridad informática y en particular para las empresas y
organizaciones relacionadas con las tecnologías de la información, es de gran
importancia contar con procesos y procedimientos establecidos y estudiados, que
garanticen la legalidad de la información, todo ello por la competitividad entre las
organizaciones. Tales procesos deben estar guiados por unos estándares o
normas, bajo los cuales se apoya la gestión de riesgo y el aseguramiento de la
información, que en nuestro caso de estudio y como tema de investigación, se
seleccionó al estándar ISO/ IEC-27002.
Las normas ISO son estándares de seguridad establecidas por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica
Internacional (IEC), que se encargan de establecer estándares y guías
relacionados con sistemas de gestión y aplicables a cualquier tipo de
organizaciones internacionales y mundiales, con el propósito de facilitar el
comercio, facilitar el intercambio de información y contribuir a la transferencia de
tecnologías.
En concreto la familia de normas ISO/IEC-27000 representan un conjunto de
estándares de seguridad (desarrollados o en fase de desarrollo), que proporciona
un marco para la gestión de la seguridad.
El mismo contiene las mejores prácticas recomendadas en Seguridad de la
información para desarrollar, implementar y mantener especificaciones para los
Sistemas de Gestión de la Seguridad de la Información (SGSI), utilizables por
cualquier tipo de organización, pública o privada, grande o pequeña.
Surgen entonces las siguientes interrogantes: ¿cuál es la definición del
estándar ISO/IEC-27002 y cuán es su importancia?
1
Responder a estas preguntas, nos conduce al desarrollo de la investigación,
plasmado en el contenido a continuación.
CONTENIDO
ISO/IEC-27002 establece directrices y principios generales para iniciar,
implementar, mantener y mejorar la gestión de seguridad de la información en una
organización. La seguridad de la información se consigue implementando un
conjunto de controles adecuados, como por ejemplo: políticas, procesos,
procedimientos, estructuras organizativas y funciones de software y hardware.
Estos controles se deben establecer, implementar, supervisar, revisar, mejorar y
notificar para garantizar el cumplimiento de los objetivos empresariales y de
seguridad específicos de la organización.
Este estándar surge como consecuencia de la aprobación de la norma
ISO/IEZAC 27001 en octubre del año 2005 y la reserva de la numeración 27.000
para la Seguridad de la Información; por lo que luego el estándar IGFSO/DIEC
17799:2005 pasó a ser renombrado ISO/IEC 27002 en el año 2007. Es por lo
tanto el estándar que antiguamente se denominaba ISO/IEC-17799.
Se señalan su versión, alcance, estructura, evaluación de riesgos de seguridad,
políticas de seguridad, aspectos organizativos de la seguridad de la información,
implementación y análisis FODA.
Versión:
La versión actualizada es la que se corresponde con la generada en el año
2013, la cual describe los trece dominios principales, que a continuación se
señalan:
2
1. Organización de la Seguridad de la Información.
2. Seguridad de los Recursos Humanos.
3. Gestión de los Activos.
4. Control de Accesos.
5. Criptografía.
6. Seguridad Física y Ambiental.
7. Seguridad de las Operaciones: procedimientos y responsabilidades;
protección contra malware; resguardo; registro de actividad y
monitorización; control del software operativo; gestión de las
vulnerabilidades técnicas; coordinación de la auditoría de sistemas de
información.
8. Seguridad de las Comunicaciones: gestión de la seguridad de la red;
gestión de las transferencias de información.
9. Adquisición de sistemas, desarrollo y mantenimiento: requisitos de
seguridad de los sistemas de información; seguridad en los procesos de
desarrollo y soporte; datos para pruebas.
10.Relaciones con los Proveedores: seguridad de la información en las
relaciones con los proveedores; gestión de la entrega de servicios por
proveedores.
11.Gestión de Incidencias que afectan a la Seguridad de la Información:
gestión de éste tipo de incidencias y mejoras.
12.Aspectos de Seguridad de la Información para la Gestión de la Continuidad
del Negocio: continuidad de la seguridad de la información; redundancias.
13.Conformidad: conformidad con requisitos legales y contractuales; revisiones
de la seguridad de la información.
3
Dentro de cada especificación, se detallan los objetivos de los distintos
controles para la seguridad de la información. Para cada uno de los controles se
indica asimismo una guía para su implantación. El número total de controles suma
114 entre todas las secciones, aunque cada organización debe considerar
previamente cuántos serán realmente los aplicables según sus propias
necesidades.
Alcance:
Su alcance va orientado a la seguridad de la información en las empresas u
organizaciones, de tal manera que las probabilidades de ser afectados por robo,
daño o pérdida de información se minimicen al máximo.
Estructura:
En cuanto a su estructura, posee categorías de seguridad compuesta por las
siguientes 11 (once) cláusulas:
4
1) Política de seguridad.
2) Aspectos organizativos de la seguridad de la información.
3) Gestión de activos.
4) Seguridad ligada a los recursos humanos.
5) Seguridad física y ambiental.
6) Gestión de comunicaciones y operaciones.
7) Control de acceso.
8) Adquisición, desarrollo y mantenimiento de los sistemas de información.
9) Gestión de incidentes en la seguridad de la información.
10) Gestión de la continuidad del negocio.
11) Cumplimiento.
Evaluación de los riesgos de seguridad:
La evaluación implica el priorizar, cuantificar e identificar los riesgos de
seguridad, para luego aplicar medidas de control que permitan reducir el riesgo de
seguridad de la información y en consecuencia de la organización.
5
Reducir el riesgo de seguridad no depende solamente de quienes tienen esa
tarea como asignación, se deben seguir y aplicar medidas adecuadas y eficientes,
tener en cuenta los requerimientos y restricciones de la legislación y las
regulaciones nacionales e internacionales que conduzcan al logro de los objetivos
organizacionales. De cualquier manera aun cuando se evalúen los riesgos de
seguridad, nunca la seguridad será completa.
Políticas de Seguridad:
Se refiere a un documento manejado por la gerencia de la empresa, donde se
plasmen lineamientos claros de implementación de medidas de seguridad de la
información, compuesto por la definición de seguridad de la información, sus
objetivos y alcances generales, importancia, intención de la gerencia en cuanto al
tema de seguridad de la información, estructuras de evaluación y gestión de
riesgos, explicación de las políticas o principios de la organización, definición de
las responsabilidades individuales en cuanto a la seguridad,. El documento es
estrictamente confidencial, pues si se distribuye fuera de la organización, no
debería divulgar información que afecte de alguna manera a la organización o a
personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar
sus datos personales, etc.).
6
Puede suceder que la empresa posea políticas de seguridad y sin embargo las
mismas no sean aplicadas de manera correcta; por lo que se pondría en riesgo la
seguridad de la información.
Aspectos Organizativos de Seguridad de la Información: Al respecto, existen medidas organizativas internas, que son aquellas que
aplica, distribuye y comparten internamente los miembros de una organización y
las medidas organizativas externas, que son las que se comparten con otras
organizaciones.
Se requiere por lo tanto, un compromiso por parte de la gerencia para apoyar
activamente la seguridad dentro y fuera de la organización. La gerencia debe
invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas
veces la seguridad requiere inversión económica, y parte del compromiso de la
gerencia implica tener un presupuesto especial para seguridad, por supuesto de
una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo,
implementar un método carísimo de seguridad podría ser de gran beneficio, pero
representar un costo demasiado elevado.
7
Organizar foros de gestión adecuados con las gerencias la política de seguridad de la información.
Designar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.
Organización Interna
Implementación:
La implementación del estándar ISO/IEC-27002 se lleva a cabo en sistemas de
gestión y de información básicamente, aplicando los 11 (once) controles o
cláusulas señaladas en la sección Estructura.
Un ejemplo de la implementación de la norma, se puede apreciar en el siguiente
mapa mental.
8
NORMAS TÉCNICAS PARA LA SEGURIDAD DE LA INFORMACIÓN
ISO 27002
REUERIMIENTOSOBJETIVOS
- Evaluación y tratamiento de riesgo.- Establecer políticas de seguridad.- Organización de la seguridad de la
información.- Gestión de activos.- Seguridad de los recursos
humanos.- Seguridad física y del entorno.- Gestión de comunicaciones y
operaciones.- Control de acceso.- Adquisición, desarrollo y
mantenimiento de sistemas de información.
- Gestión de los incidentes.- Gestión de la continuidad del
negocio.- Cumplimiento.
Se establecen directrices y principios para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información.
Análisis FODA:
FORTALEZAS OPORTUNIDADES DEBILIDADES AMENAZAS
Estándar adoptado en Ecuador como NTE ISO/IEC 27002
Por ser internacional se puede aplicar a cualquier institución
En los objetivos de control no se contempla la trazabilidad
Es una norma conceptual, no se tienen las herramientas puntuales para su implementación
Cada control posee su guía de implementación
Para su implementación no se requiere la revisión de los 133 controles, solo los que aplique a la organización
No es una guía madura para el análisis de riesgo
Esta norma no es certificable
Fácil adaptación para cada organización
Guía para mejorar la seguridad de la información
CONCLUSION
La norma o estándar ISO/IEC-27002 proporciona a las empresas,
recomendaciones de las mejores prácticas en la gestión de seguridad de la
información, así como para los interesados y responsables en iniciar, implantar o
mantener sistemas de gestión de la seguridad de la información, siendo para este
estándar la seguridad de la información la preservación de la confidencialidad
(asegurando que sólo quienes estén autorizados pueden acceder a
la información), integridad (asegurando que la información y sus métodos de
procesos sean exactos y completos) y disponibilidad (asegurando que los usuarios
autorizados tienen acceso a la información y a sus activos asociados cuando lo
requieran).
9
Es por ello que el hecho de cumplir a cabalidad con el estándar internacional
ISO/IEC-27002 no garantiza al 100%, el hecho de que no se tendrán problemas
de seguridad, pues la seguridad al 100% no existe. Lo que sí se logra es
minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas
originados por la falta de seguridad, al reducir el riesgo de la seguridad de la
información.
REFERENCIAS BIBLIOGRAFICAS
ISO/IEC 17799:2005 Information technology - Security techniques - Code of
practice for information security management.
Romo D., Valarezco J, Universidad Saleciana de Ecuador, Tesis, Ecuador
2012
10