ESCUELA POLITECNICA NACIONAL

NORMA ISO27001
SEGURIDAD EN REDES
Andrea Muoz

09

NORMA ISO27001:

1.

OBJETIVO:

Conocer a cerca de las normas de seguridad de la informacin y la norma ISO27001

2. RESUMEN DE LA NORMA:

Estndar Internacional ISO/IEC 27001

1. CARACTERSTICAS GENERALES Este es un estndar preparado para proveer un modelo de establecimiento, implementacin, operacin, monitoreo, revisin, mantenimiento y mejora de un Sistema de Gestin de Seguridad de la Informacin documentado; en el contexto de los riesgos especficos de las actividades de la organizacin. 2 El Enfoque a Procesos para la gestin de seguridad de informacin que se presenta en ste Estndar Internacional enfatiza la importancia de: Entender los requerimientos de seguridad de una organizacin y la necesidad de establecer polticas y objetivos para la seguridad de la informacin. Implementar y operar controles para manejar la los riesgos de seguridad de la informaci n. Monitorear y revisar el rendimiento del Sistema de Gestin de seguridad de la Informaci n Mejoramiento continuo. ste estndar adopta un modelo Planear-Hacer-Revisar-Actuar que se aplica para estructurar todos los procesos del SGSI.
1

Partes Interesa das

Plane ar Estable cer SGS I

Partes Interesadas

Hacer

Implement ar y Operar el SGSI

Mantene ry Mejorar SGSI

Actuar

Requerimien tos y Expectativas de la Seguridad de la informacin

Monitorea ry Revisar SGSI Revis ar

Segurida d de Informaci n Gestiona da.

2.

ALCANCE

Los requerimientos de ste estndar son genricos y aplicables a cualquier tipo de organizacin. Sin embargo, la exclusin de cualquiera de los requerimientos especificados en las clausulas 5,6,7, y 8 no es aceptable para la certificacin del estndar. El documento ISO/IEC 17799:2005 es indispensable para la aplicacin de ste estndar. 3. TRMINOS Recurso: Cualquier cosa que tenga un valor para la organizacin Disponibilidad: La propiedad de ser accesible y poder ser usado cuando una entidad autorizada lo solicite. Confidencialidad: La propiedad de que la informacin no est disponible para individuos, entidades o procesos no autorizados. Seguridad de Informacin: Preservacin de la confidencialidad, integridad y disponibilidad de la informacin. Evento de Seguridad de Informacin: Un evento en un sistema, servicio o red que indica la posibilidad de una brecha en las polticas de seguridad de informacin o una falla. Incidente de Seguridad de Informacin: Una serie de eventos de seguridad de informacin indeseados que tienen alta probabilidad de comprometer las operaciones del negocio. Sistema de Gestin de Seguridad de Informacin: La parte del Sistema de Gestin basada en una aproximacin a los riesgos del negocio para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin; que incluye una estructura organizacional, polticas, actividades de planeacin, responsabilidades, prcticas, procedimientos, procesos y recursos. Riegos Residual: El riesgo que queda despus de haber tratado al riesgo inicial. Aceptacin de Riesgo: Decisin de aceptar el riesgo. Anlisis de Riesgo: Uso sistemtico de la informacin para identificar las fuentes y estimar el riesgo. Evaluacin de Riesgo: Proceso de comparar los riesgos estimados con cierto criterio para determinar su importancia. Gestin de Riesgos: Actividades coordinadas para dirigir y controlar una organizacin respecto al riesgo. Tratamiento del Riesgo: Proceso de seleccin e implementacin de medidas para modificar el riesgo. Manifiesto de Aplicabilidad: Manifiesto que describe los objetivos y controles que son relevantes y aplicables al SGSI de la organizacin. SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN Establecer y Monitorear el SGSI Establecer el SGSI La organizacin debe hacer lo siguiente:

4.

a) Definir el alcance y los lmites del SGSI en funcin de las caractersticas del negocio, la organizacin, su ubicacin, bienes y tecnologa.

b) Definir una poltica de SGSI que incluya: - Una plataforma para establecer objetivos, una direccin general y principios de accin respecto a la seguridad de informacin. Los requerimientos legales o regulatorios del negocio - Que se alinee con el contexto de la gestin estratgica del riesgo de la informacin, en la que tendr lugar el establecimiento y mantenimiento del SGSI - Establezca criterios para la evaluacin del riesgo Sea aprobada por la Gerencia. c) Definir el enfoque de evaluacin de riesgos de la organizacin. Identificar una metodologa de evaluacin de riesgos acorde al SGSI. - Desarrollar criterios de riesgos aceptables e identificar niveles de riesgo. d) Identificar los riesgos. Identificar los recursos y sus propietarios - Identificar las amenazas de estos recursos - Identificar las vulnerabilidades que pueden ser explotadas por estas amenazas. Identificar el impacto que perdidas de confidencialidad, integridad y disponibilidad pueden tener en los recursos. e) Analizar y evaluar los riesgos. Determinar el impacto de fallas de seguridad en el negocio, consecuencia de prdidas de confidencialidad, integridad o disponibilidad de los recursos. Determinar la probabilidad de que ocurran fallas en la seguridad tomando en cuenta las amenazas y controles presentes. Estimar el nivel de los riesgos. Determinar si los riesgos son aceptables f) Identificar y evaluar opciones para el manejo de los riesgos g) Elegir objetivos de control y controles para el tratamiento de riesgos Los objetivos y controles del Anexo A deben ser elegidos como parte de ste proceso para cubrir los requisitos identificados, se puede incluir objetivos y controles adicionales a los incluidos en el Anexo A. h) Obtener aprobacin para la gestin de los riesgos residuales propuestos. i) Obtener aprobacin para la implementacin y operacin del SGSI. j) Preparar un Manifiesto de Aplicabilidad.

Este manifiesto debe incluir los objetivos de control, controles elegidos y su justificacin. Los objetivos y controles implementados actualmente y la exclusin de cualquier objetivo o control del Anexo A y la justificacin de la misma. Implementar y Operar el SGSI La Organizacin debe hacer lo siguiente: a) Formular un plan de tratamiento de riesgos que identifique las acciones de gestin apropiadas.

Implementar el plan de tratamiento de riesgos, lo que incluye la consideracin de ubicar y crear roles y responsabilidades. c) Implementar controles elegidos que se apliquen a los objetos de control d) Definir una manera de medir la efectividad de los controles elegidos y especificar la forma en que se usarn para producir resultados comparables y medibles. e) Implementar programas de entrenamiento y concientizacin. f) Administrar la operacin del SGSI g) Administrar los recursos para el SGSI h) Implementar procedimientos y otros controles capaces de habilitar deteccin temprana de eventos de seguridad y respuesta a incidentes de seguridad. Monitorear y revisar el SGSI La organizacin har lo siguiente: a) Ejecutar monitoreo y revisin de procedimientos y otros controles para detectar a tiempo errores en los resultados, brechas e incidentes de seguridad o si las actividades de seguridad se estn llevando a cabo como se esperaba. b) Llevar a cabo revisiones regulares de la efectividad del SGSI. c) Medir la efectividad de los controles para verificar si se han cumplido los requerimientos de seguridad. d) Revisar los riesgos a intervalos planeados y los niveles de riesgo aceptado, tomando en cuenta los cambios en la organizacin, la tecnologa, los objetivos del negocio y sus procesos, las amenazas identificadas, la efectividad de los controles implementados y eventos externos. 5. REQUERIMIENTOS DE LA DOCUMENTACIN:

b)

La documentacin debe incluir los registros de las decisiones de la gestin de la red, es importante que tenga la evaluacin de riesgos y la poltica y los objetivos de SGSI, mas una serie de tems especificados en la norma. Los documentos que son requeridos por el SGSI se encuentran protegidos y controlados para lo cual se emite un documento donde se especifican los datos concernientes al SGSI y su control. 6. RESPONSABILDAD DE MANDO:

La direccin debe proveer evidencia de su compromiso con el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI. Entre los ms relevantes estn las polticas de gestin de riesgos y velar por que se proteja la informaci n. Se debe gestionar todo lo pertinente con el personal para que este bien calificado y cumpla con las habilidades necesarias para mantener el SGSI, as como la capacitacin necesaria.

7.

AUDITORIAS SGSI INTERNAS:

Se beben realizar auditoras internas en intervalos planificados de tiempo para garantizar que se cumplan el control, objetivos, controles, procesos y procedimientos de su SGSI. Para ello debe seguir una serie de pasos determinados por la norma que se esta analizando. 8. EXAMEN DE LA GESTION DEL SGSI:

De deber revisar la organizacin de la SGSI en intervalos planificados de tiempo, de por lo menos una vez al ao, para garantizar su adecuacin y eficacia. Este estudio debe incluir la poltica de seguridad de la informacin y los objetivos de dicha seguridad. Los resultados de este anlisis debern estar adecuadamente documentados. 9. MEJORA CONTINUA:

La organizacin deber mejorar continuamente la SGSI a travs del uso de las polticas de seguridad de la informacin, los objetivos de seguridad de la informacin, resultados de auditoras, anlisis de los eventos de seguimiento, correctivas y de acciones preventivas y revisin de la gestin. 10. LA POLTICA DE SEGURIDAD DE LA INFORMACIN: Su objetivo es proporcionar orientacin y apoyo a la gestin de seguridad de la informacin de acuerdo con las empresas requisitos y las leyes y reglamentos pertinentes. La documentacin concerniente con la poltica de seguridad de la informacin deber ser publicada y comunicado a todos los empleados y las partes externas interesadas. 10.1. LAS PARTES EXTERNAS Su objetivo es mantener la seguridad de la informacin de la organizacin y las instalaciones de procesamiento de la informacin, tratamiento, comunicada a, o gestionados por terceros. 11. Seguridad de los recursos humanos Previo a la contratacin.- Para garantizar que los empleados, contratistas y terceros usuarios entiendan sus responsabilidades y funciones que se consideran para ellos, y para reducir el riesgo de robo, fraude o uso indebido de las instalaciones, se define Roles, Responsabilidades, Proyeccin, Trminos y condiciones de Trabajo. Durante el Trabajo.- Para garantizar que todos los empleados, contratistas y terceros usuarios son conscientes de las amenazas de seguridad de la informacin y preocupaciones, sus responsabilidades y obligaciones, y que estn equipados para apoyar la poltica de seguridad de la organizacin en el curso de su trabajo normal, y para reducir el riesgo de error humano, utilizando una gestin de responsabilidades, informacin de seguridad y entrenamiento y realizando un proceso disciplinario.

Terminacin o cambio de trabajo.- Para garantizar que los empleados, contratistas y terceros usuarios que salen de una organizacin o cambien de empleo de una manera ordenada.

12. La seguridad fsica y ambiental reas seguras.- Proceso para prevenir el acceso fsico no autorizado, dao e interferencia a las premisas e informacin de la organizacin. Definiendo un permetro fsico de seguridad, controles de entrada, seguridad de oficinas, proteccin externa, control de acceso pblico. Seguridad del Equipamiento.- Para evitar la prdida, dao, robo o compromiso de los activos y la interrupcin de las actividades de la organizacin. 13. Gestin de operaciones y comunicaciones

Procedimientos operacionales y responsabilidades.garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Gestin tripartida del servicio de entrega.- implementar y mantener el nivel adecuado de seguridad de la informacin y la prestacin de servicios en lnea con los acuerdos de tercera parte de entrega de servicios. la planificacin del sistema y la aceptacin.- minimizar el riesgo de fallos en los sistemas. Proteccin contra cdigo malicioso y mvil.- proteger la integridad del software y la informaci n. Respaldos.- para mantener la integridad y disponibilidad de la informacin y del acceso a ella. Monitoreo.- para detectar el acceso a informacin no autorizada o a procesos no autorizados. 14. Control de Acceso Requisito de Negocios para control de acceso.- Para controlar el acceso a la informacin. Gestin de acceso de usuario.- Garantizar el acceso de usuarios autorizados y para evitar el acceso no autorizado a los sistemas de informacin. Responsabilidades de los usuarios.- Impedir el acceso de usuarios no autorizados, y el compromiso o robo de informacin y de las instalaciones de procesamiento de la informacin. A.11.4 Control de Acceso de Red Objetivo: Prevenir el acceso no autorizado a los servicios de red. A.11.4.1 Poltica de uso de los servicios de red

A.11.4.2 Autenticacin de usuario para conexiones externas A.11.4.3 Identificacin de equipos en las redes A.11.4.4 Diagnstico remoto y configuracin de proteccin de puerto A.11.4.5 Segregacin en las redes A.11.4.6 Control de conexiones de red A.11.4.7 Control de encaminamiento de red

A.11.5 Control de Acceso al Sistema Operativo Objetivo: Prevenir el acceso no autorizado a los sistemas operativos. A.11.5.1 Procedimientos de

registro seguros A.11.5.2 Identificacin de usuario y autenticacin A.11.5.3 Sistema de administracin de contraseas A.11.5.4 Uso de utilidades del sistema A.11.5.5 Tiempo de espera de la sesin A.11.5.6 Limitacin del tiempo de conexin A.11.6 Control de Acceso de Informacin y Aplicaciones Objetivo: Prevenir el acceso no autorizado a la informacin sostenida en sistemas de aplicacin. A.11.6.1 A.11.6.2 Restriccin de acceso de informacin Aislamiento del sistema sensible

A.11.7 La informtica mvil y el teletrabajo Objetivo: Garantizar la seguridad de la informacin cuando se utiliza la informtica mvil y las facilidades del teletrabajo. A.11.7.1 A.11.7.2 Informtica mvil y comunicaciones Teletrabajo

A.12 ADQUISICIN DE LOS SISTEMAS DE INFORMACIN, DESARROLLO Y MANTENIMIENTO A.12.1 Requerimientos de seguridad de los sistemas de informacin Objetivo: Garantizar que la seguridad es una parte integral de los sistemas de informacin. A.12.1.1 Anlisis y especificacin de los requerimientos de seguridad

A.12.2 Correcto procesamiento en las aplicaciones Objetivo: Prevenir errores, prdidas, modificaciones no autorizadas o mal uso de la informacin en las aplicaciones. A.12.2.1 Validacin de datos de entrada A.12.2.2 Control del procesamiento interno A.12.2.3 Integridad de los mensajes A.12.2.4 Validacin de datos de salida A.12.3 Controles criptogrficos

Objetivo: Proteger la confidencialidad, autenticidad e integridad de la informacin por medio de la criptografa. A.12.3.1 A.12.3.2 Polticas en el uso de controles criptogrficos Administracin de llaves

A.12.4 Seguridad del sistema de archivos Objetivo: Garantizar la seguridad del sistema de archivos. A.12.4.1 Control del Software

operacional A.12.4.2 Proteccin del sistema de prueba de datos A.12.4.3 Control de acceso al cdigo fuente del programa A.12.5 Seguridad en el desarrollo y soporte de procesos Objetivo: Mantener la seguridad del sistema de software de la aplicacin y la informacin. A.12.5.1 Cambiar los procedimientos de control A.12.5.2 Revisin tcnica de las aplicaciones luego de cambios de operacin del sistema A.12.5.3 Restricciones en los cambios de los paquetes de software A.12.5.4 Fuga de informacin A.12.5.5 Desarrollo de software externo A.12.6 Administracin de vulnerabilidades tcnicas Objetivo: Reducir los riesgos resultantes de la explotacin de la publicacin de las vulnerabilidades tcnicas. A.12.6.1 Control de vulnerabilidades tcnicas

A.13 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN A.13.1 Informes de los eventos y las debilidades de la seguridad de la informacin Objetivo: Garantizar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin estn comunicados de una forma que permita tomar acciones correctivas precisas. A.13.1.1 A.13.1.2 Informes de eventos de seguridad de informacin Informes de las debilidades de la seguridad

A.13.2 Administracin de las mejores y los incidentes de la seguridad de la informacin Objetivo: Garantizar que un enfoque consistente y efectivo es aplicado en la administracin de los incidentes de seguridad de informacin.

A.13.2.1

Responsabilidades y procedimientos

A.13.2.2 Aprendizaje desde los incidentes de seguridad de la informacin A.13.2.3 Recoleccin de la evidencia

A.14

ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO

A.14.1 Aspectos de la seguridad de informacin de la administracin de la continuidad de negocios. Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos crticos de negocio de los efectos de los fallos principales de los sistemas de informacin o de los desastres y de garantizar su oportuna reanudacin. A.14.1.1 Incluir la seguridad de la informacin en la administracin del proceso de la continuidad del negocio A.14.1.2 Continuidad del negocio y evaluacin de riesgo. A.14.1.3 Desarrollo e implementacin de planes de continuidad incluyendo seguridad de informacin A.14.1.4 Planificacin del sistema de continuidad de negocio A.14.1.5 Pruebas, mantenimiento y re-evaluacin de los planes de continuidad de negocio

A.15

CONFORMIDAD

A.15.1 Conformidad con los requerimientos legales Objetivo: Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual, y de cualquier requisito legal. A.15.1.1 Identificacin de la legislacin aplicable A.15.1.2 Derechos de propiedad intelectual A.15.1.3 Proteccin de los registros organizacionales A.15.1.4 Proteccin de datos y privacidad de la informacin personal A.15.1.5 Prevencin del mal uso de las facilidades de procesamiento de la informacin A.15.1.6 Regulacin de los controles criptogrficos A.15.2 Conformidad con las polticas y los estndares de seguridad, y conformidad tcnica Objetivo: Garantizar la obediencia de los sistemas de acuerdo a las polticas y estndares de seguridad organizacional. A.15.2.1 seguridad A.15.2.2 Conformidad de acuerdo a las polticas y estndares de Chequeo de obediencia tcnica

A.15.3 Consideraciones de auditora de los sistemas de informacin

Objetivo: Maximizar la eficacia y minimizar la interferencia desde/hasta los procesos de auditora de los sistemas de informacin. A.15.3.1 Controles de auditora de los sistemas de informacin A.15.3.2 Proteccin de las herramientas de auditora de los sistemas de informacin

3.

CONCLUSIONES: Las polticas de informacin son muy importantes en una empresa ya que definen lo que se puede hacer y lo que est prohibido dentro de un sistema de informacin. Estas reglas establecen responsables en una compaa lo cual es de mucha importancia. La norma ISO27001 establece los parmetros a considerar y la estructura de la documentacin para las normas de seguridad de la informacin en una organizacin.