ISO SERIE 27000, ISO 17799

OSCAR ANDRES RIOS GUTIERREZ

TRABAJO DE INVESTIGACION ASOCIADO A LA ASIGNATURA: AUDITORIA II

PRESENTADO A: Carlos Hernn Gmez Gmez

UNIVERSIDAD NACIONAL SEDE MIZALES DEPARTAMENTO DE INFORMATICA Y COMPUTACION ADMINISTRACIN DE SISTEMAS INFORMTICOS MANIZALES 2010

ndice

Introduccin

1. Marco terico de ISO serie 27000, ISO 17799

2. Introduccin a ISO serie 27000, ISO 17799

3. Historia y evolucin de la ISO serie 27000, ISO 17799

4. Descripcin general de ISO serie 27000, ISO 17799

5. Comparativo entre ISO serie 27000, ISO 17799 y COBIT.

Resumen del trabajo.

Conclusiones y observaciones.

Bibliografa.

Introduccin

Con este trabajo de compilacin voy a tratar de explicar de una forma muy integral y completa las normas establecidas en los estndares ISO serie 27000 e ISO 17799, explicando cmo son sus marcos de trabajo, sus puntos a evaluar y como estos van ligados estos a unos buenos procesos dentro de la organizacin en trminos de tecnologa, informacin y sistemas, ofreciendo y garantizando un buen marco de referencia para ordenar y asegurar que nuestra empresa est trabajando bajo unas buenas prcticas que otras empresas ya han utilizado y les han funcionado de una excelente forma, adicional a la explicacin y argumentacin que cada una de estas normas, incluye realizaremos al final un paralelo entre las buenas prcticas determinadas en los estndares ISO serie 27000 e ISO 17799 y los establecidos por COBIT en su ltima edicin no con el fin de indicar cul de las opciones es la mejor sino con el fin de establecer que en temas de buenas prcticas a nivel informtico y tecnolgico hay muchas opciones y que muchas de esas opciones se estn convirtiendo en un requerimiento a la hora de tratar de salir a otros mercados y que por este motivo debemos estar preparados para establecer estos buenos lineamientos en nuestra empresa para garantizar que el manejo de la informacin est siendo eficaz y eficiente.

Marco Terico

Realizar una argumentacin lo ms completa posible de todas las normas establecidas dentro de la serie ISO 27000 pasando por obviamente una explicacin de esta serie 27000 hasta la norma 27799, donde argumentaremos que trata de controlar cada una de ellas con el fin de describir por que estos modelos y estos estndares establecen un marco de buenas prcticas a seguir y a trabajar en nuestra organizacin para garantizar que la informacin si sea manejada de la forma correcta y as atacar los baches que se detecten en el proceso de mejora, adicional integraremos a esta explicacin a la norma 17799 que tambin ha sido conocida como una ms de la seria 27000, mas puntualmente como la norma 27002 ya que estara involucrada con todo lo relacionado con la seguridad de la informacin. Al tener conocimiento de cmo estos estndares ayudan a dar solucin a los baches en la administracin, gestin y control de la informacin brindando puntos de control que debemos establecer en nuestra empresa para poder certificar el proceso que queramos certificar, vamos a realizar un paralelo con las buenas prcticas de control para temas de tecnologa, informacin y otros puntos relacionados con TI, dadas por COBIT con el fin de demostrar los diferentes caminos y cules de ellos se pueden ajustar segn nuestros objetivos en el momento de tomar en cuenta un proceso de mejora o de certificacin en buenas prcticas para el tema integral de TI en nuestra organizacin .

Introduccin a ISO serie 27000 e ISO 17799 ISO 27000: Garantizar la Seguridad de la Informacin
ISO 27000 es un conjunto de estndares desarrollados o en fase de desarrollo por ISO International Organization for Standardization) e IEC (International ElectrotechnicalCommission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la informacin (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al igual que otras normas de sistemas de gestin (ISO 9001para calidad, ISO 14001 para medio ambiente, etc.). Es un estndar certificable, es decir, cualquier organizacin que tenga implantado un SGSI segn este modelo puede solicitar una auditora externa por parte de una entidad acreditada y tras superar con xito la misma, recibir la certificacin en ISO 27001
Historia ISO 27000.

Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como: 1979 Publicacin BS 5750 - ahora ISO 9001 1992 Publicacin BS 7750 - ahora ISO 14001 1996 Publicacin BS 8800 - ahora OHSAS 18001

La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin.W27000.ES En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.

Familias ISO 27000

A semejanza de otras familias de normas ISO, la 27000 est formada por: ISO 27000: Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido. ISO 27001. Es la norma principal de la serie y contiene los requisitos del Sistema de Gestin de Seguridad de la Informacin. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. ISO 27002: Desde el 1 de Julio de 2007. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Informacin. No es certificable. ISO 27003: Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. ISO 27004: Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. ISO 27005: Consistir en una gua de tcnicas para la gestin del riesgo de la Seguridad de la Informacin y servir, por tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI. ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de Sistemas de Gestin de Seguridad de la Informacin. ISO 27007: Consistir en una gua de auditora de un SGSI. ISO 27011: Consistir en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones. ISO 27031: Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: Consistir en una gua relativa a la ciberseguridad. ISO 27033: Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. ISO 27034: Consistir en una gua de seguridad en aplicaciones. ISO 27799: Es un estndar de gestin de seguridad de la informacin en el sector.

Procesos de la ISO 27000 e ISO 17799

ISO/IEC 17799
Denominada tambin como ISO 27002; es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisin Electrotcnica Internacional en el ao 2000, ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como la preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran)
Historia de ISO 17799

En 1995 el British Standard Institute publica la norma BS 7799, un cdigo de buenas prcticas para la gestin de la seguridad de la informacin. En 1998, tambin el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestin de la seguridad de la informacin; se revisa en 2002. Tras una revisin de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:

Conjunto completo de controles que conforman las buenas prcticas de seguridad de la informacin. Aplicable por toda organizacin, con independencia de su tamao. Flexible e independiente de cualquier solucin de seguridad concreta: recomendaciones neutrales con respecto a la tecnologa.

En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

Normas anteriores a la ISO 17799

Multitud de estndares aplicables a diferentes niveles: 1. TCSEC (Trusted Computer Security, militar, US, 1985). 2. ITSEC (Information Technology Security, europeo, 1991). 3. Common Criteria (internacional, 1986-1988). 4. *7799 (britnico + internacional, 2000)
CARACTERISTICAS DE ISO 17799

Las principales secciones de esta norma son: 1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin.

3. Gestin de Activos de Informacin. 4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental. 6. Gestin de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento.

De estos quince dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementacin de controles) y 127 controles (prcticas, procedimientos o mecanismos que reducen el nivel de riesgo). La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) s es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin. ISO 17799 define la informacin como un activo que posee valor para la Organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.

COMPARATIVO GRAFICO ENTRE ISO 27000 E ISO 17799

Comparativo de estas normas ISO con COBIT.

Para realizar un comparativo entre ambos estndares de buenas prcticas para TI podemos citar la siguiente imagen donde est basada la diferencia por lo diferentes puntos que tienen sus marcos de trabajo:

Realizando una diferencia entre ambos estndares debemos aclarar los objetivos de ambos estndares para all fundamentar la diferencia entre los estndares; de la siguiente forma el objetivo de ISO es proporcionar informacin a las partes responsables para implementar la seguridad de la informacin dentro de una organizacin, puede verse como una mejor practica para desarrollar y mantener estndares de seguridad y prcticas de gestin de una organizacin para mejorar la confianza sobre la seguridad de la informacin en las relaciones inter organizacionales, ISO define 133 estrategias de controles de seguridad bajo 11 ttulos haciendo hincapi en la gestin de riesgos y deja claro que no tiene que implementar toda la gua solo lo importante. Y el objetivo es investigar, desarrollar, publicitar y promocionar un marco de trabajo de control de gobierno de TI autoritario, actualizado y aceptado internacionalmente que se adopte por las empresas y se emplee en el da a da por los gerentes de negocio, profesionales de TI y profesionales de aseguramiento. COBIT est de pie para el Control del objetivo sobre la informacin y la tecnologa relacionada. COBIT expedido por ISACA (Sistema de Informacin de la norma de control), una organizacin sin fines de lucro para el Gobierno de TI. La principal funcin de COBIT es ayudar a la empresa, mapeo de sus procesos de TI a las prcticas de mejor estndar de ISACA. COBIT general elegido por la empresa que la informacin de auditora del sistema de realizar, ya sea relacionado con la auditora financiera o generales de auditora de TI.

ISO 27000 es mucho ms diferente entre COBIT e ITIL, ISO27001, porque es un estndar de seguridad, por lo que tiene, pero ms profundo dominio ms pequeo en comparacin con COBIT e ITIL.

ITIL Asignacin de TI Mapeo de procesos Gestin de Nivel de Funcin de TI Servicio 4 Proceso y de 9 Proceso Espacio dominio 34 ISACA OGC Emisor La informacin de Gestionar de nivel Aplicacin auditora del sistema de servicio Firma de Contabilidad, Consultora empresa Consultor Consultora Empresa

REA

COBIT

ISO27001 Informacin Marco de Seguridad 10 de dominio ISO Junta Cumplimiento con el estndar de seguridad Consultora empresa, empresa de seguridad, Consultor de la Red

Resumen del trabajo.

ISO serie 27000 e ISO 17799 ISO 27000: Garantizar la Seguridad de la Informacin
ISO 27000 es un conjunto de estndares desarrollados o en fase de desarrollo por ISO International Organization for Standardization) e IEC (International ElectrotechnicalCommission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la informacin (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al igual que otras normas de sistemas de gestin (ISO 9001para calidad, ISO 14001 para medio ambiente, etc.).

Familias ISO 27000

A semejanza de otras familias de normas ISO, la 27000 est formada por: ISO 27000: Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido. ISO 27001. Es la norma principal de la serie y contiene los requisitos del Sistema de Gestin de Seguridad de la Informacin. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. ISO 27002: Desde el 1 de Julio de 2007. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Informacin. No es certificable.

ISO 27003: Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. ISO 27004: Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. ISO 27005: Consistir en una gua de tcnicas para la gestin del riesgo de la Seguridad de la Informacin y servir, por tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI. ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de Sistemas de Gestin de Seguridad de la Informacin. ISO 27007: Consistir en una gua de auditora de un SGSI. ISO 27011: Consistir en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones. ISO 27031: Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. ISO 27032: Consistir en una gua relativa a la ciberseguridad. ISO 27033: Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. ISO 27034: Consistir en una gua de seguridad en aplicaciones. ISO 27799: Es un estndar de gestin de seguridad de la informacin en el sector.

Tras una revisin de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: Conjunto completo de controles que conforman las buenas prcticas de seguridad de la informacin. Aplicable por toda organizacin, con independencia de su tamao. Flexible e independiente de cualquier solucin de seguridad concreta: recomendaciones neutrales con respecto a la tecnologa.

En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).
CARACTERISTICAS DE ISO 17799

Las principales secciones de esta norma son: 1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin. 3. Gestin de Activos de Informacin.

4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental. 6. Gestin de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento.

Comparativo de estas normas ISO con COBIT.

Y el objetivo es investigar, desarrollar, publicitar y promocionar un marco de trabajo de control de gobierno de TI autoritario, actualizado y aceptado internacionalmente que se adopte por las empresas y se emplee en el da a da por los gerentes de negocio, profesionales de TI y profesionales de aseguramiento. COBIT est de pie para el Control del objetivo sobre la informacin y la tecnologa relacionada. COBIT expedido por ISACA (Sistema de Informacin de la norma de control), una organizacin sin fines de lucro para el Gobierno de TI. La principal funcin de COBIT es ayudar a la empresa, mapeo de sus procesos de TI a las prcticas de mejor estndar de ISACA. COBIT general elegido por la empresa que la informacin de auditora del sistema de realizar, ya sea relacionado con la auditora financiera o generales de auditora de TI. ISO 27000 es mucho ms diferente entre COBIT e ITIL, ISO27001, porque es un estndar de seguridad, por lo que tiene, pero ms profundo dominio ms pequeo en comparacin con COBIT e ITIL.

ITIL Asignacin de TI Mapeo de procesos Gestin de Nivel de Funcin de TI Servicio 4 Proceso y de 9 Proceso Espacio dominio 34 ISACA OGC Emisor La informacin de Gestionar de nivel Aplicacin auditora del sistema de servicio Firma de Contabilidad, Consultora empresa Consultor Consultora Empresa

REA

COBIT

ISO27000 Informacin Marco de Seguridad 10 de dominio ISO Junta Cumplimiento con el estndar de seguridad Consultora empresa, empresa de seguridad, Consultor de la Red

Conclusiones y observaciones.

Se describi en tres estndares internacionales como las buenas prcticas en administracin, gestin y procesamiento de TI hacen que la informacin sea relevante para la informacin y all se le da el verdadero valor que tiene, donde el procesamiento efectivo de esta hace que la empresa tenga un valor agregado a los procesos de empresa, todos los estndares explicados en este documento muestran que en verdad es necesario manipular la informacin en la empresa de una forma que sea eficaz y eficiente y que para eso estos estndares ya tiene controles y lineamientos que han sido utilizados exitosamente en otras organizacin y que por este motivo no es necesario crearlos sino aplicarlos de una forma correcta.

Bibliografa.

http://www.noweco.com/risk/riske13.htm

http://es.wikipedia.org/wiki/ISO/IEC_17799

http://cibsi05.inf.utfsm.cl/presentaciones/empresas/Neosecure.pdf

http://www.shutdown.es/ISO17799.pdf

http://www.iso27000.es/herramientas.html

http://www.scribd.com/doc/6285687/ISO-90012000-ISO-27000

http://www.derkeiler.com/Mailing-Lists/securityfocus/security-basics/200802/msg00487.html

http://www.slideshare.net/rsoriano/cobit-itil-iso-27000-marcos-de-gobierno

http://www.securityprocedure.com/comparison-between-cobit-itil-and-iso-27001