Академический Документы
Профессиональный Документы
Культура Документы
Guayaquil
Facultad de
Ingeniera
Industrial
Carrera Licenciatura en Sistemas de la Informacin
Auditoria de Sistemas
TEMA:
ISO 27000
Integrantes:
Ricardo Astudillo.
Oscar Castillo.
Anthony Heredero.
Catherine Pezo.
Andrea Velsquez.
Nivel 3
Grupo 1
ISO 27002
Es el nuevo nombre de ISO17799:2005, manteniendo 2005como ao de edicin.
Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable.
Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. ISO
27002
ISO 27003
Consiste en una gua de implementacin de SGSI e informacin acerca del uso
del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen
en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por
BSI a lo largo de los aos con recomendaciones y guas de implantacin.
ISO 27004
Especificar las mtricas y las tcnicas de medida aplicables para determinar la
eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan
fundamentalmente para la medicin de los componentes de la fase Do
(Implementar y Utilizar) del ciclo PDCA.
ISO 27005
Establece las directrices para la gestin del riesgo en la seguridad de la
informacin. Apoya los conceptos generales especificados en la norma ISO/IEC
27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de
la informacin basada en un enfoque de gestin de riesgos.
ISO 27006
Especifica los requisitos para la acreditacin de entidades de auditora y
certificacin de sistemas de gestin de seguridad de la informacin.
ISO 27007
Es un estndar Internacional el cual ha sido creado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema
de Gestin de Seguridad de la Informacin (SGSI).
El diseo e implementacin del SGSI de una organizacin es influenciado por las
necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el
tamao y estructura de la organizacin. Como resultado Se espera que estos y sus
sistemas de apoyo cambien con el transcurso del tiempo. Se espera que la
implementacin de un SGSI se extienda en concordancia con las necesidades de la
organizacin; por ejemplo, una situacin simple requiere una solucin SGSI simple.
ISO 27011
Esta gua de implementacin de SGSI para la industria de Telecomunicaciones fue
desarrollado conjuntamente por la UIT-T e ISO / IEC JTC 1 / SC 27, con el texto
idntico siendo publicado tanto como la UIT-T X.1051 e ISO / IEC 27011.
Esta Recomendacin especifica los requisitos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un sistema documentado de gestin de
seguridad de la informacin (SGSI) en el contexto de los riesgos de negocio globales
de la telecomunicacin. Especifica los requisitos para la aplicacin de controles de
seguridad a medida de las necesidades de telecomunicaciones individuales o partes
de los mismos ".
ISO 27031
ISO / IEC 27031 proporciona orientacin sobre los conceptos y principios que
sustentan el papel de la tecnologa de la informacin y las comunicaciones para
asegurar la continuidad del negocio.
El estndar:
Sugiere una estructura o marco (en realidad un conjunto de mtodos y procesos)
para cualquier organizacin - privado, gubernamental y no gubernamental;
ISO 27032
Oficialmente, la norma ISO / IEC 27032 direcciones "ciber seguridad" o "seguridad
ciberespacio", definida como la "preservacin de la confidencialidad, integridad y
disponibilidad de la informacin en el ciberespacio". A su vez "el ciberespacio"
(completo con artculo definido) se define como "el entorno complejo que resulta
de la interaccin de las personas, software y servicios en Internet a travs de
redes y dispositivos conectados a la misma tecnologa, que no existe en ningn
fsico forma.
ISO 27033
El propsito de la norma ISO / IEC 27033 es proporcionar una gua detallada
sobre los aspectos de seguridad de la gestin, el funcionamiento y el uso de redes
de sistemas de informacin, y sus interconexiones. Aquellos individuos dentro de
una organizacin que son responsables de seguridad de la informacin en
general, y seguridad de la red, en particular, deben ser capaces de adaptar el
material en este estndar para satisfacer sus necesidades especficas. "[Citado de
la FCD de 27033-1].
ISOI / IEC 27033 proporciona orientacin detallada sobre la aplicacin de los
controles de seguridad de red que se introducen en la norma ISO / IEC 27002 . Se
aplica a la seguridad de los dispositivos conectados en red y la gestin de su
seguridad, aplicaciones de redes / servicios y los usuarios de la red, adems de
seguridad de la informacin que se transfiere a travs de enlaces de
comunicaciones.
ISO 27034
ISO / IEC 27034 ofrece una gua sobre seguridad de la informacin a las que
especifican, el diseo y la programacin o la adquisicin, implementacin y uso de
sistemas de aplicacin, es decir, gerentes de negocios y de TI, desarrolladores y
Certificaciones ISO
La seguridad de la informacin tiene asignada la serie 27000 dentro de los
estndares ISO/IEC:
los daos intrnsecos al factor de riesgo, o bien aprovechar las ventajas que pueda
reportarnos.
Estos como mnimo deben tener.
Un funcionamiento efectivo y eficiente de la organizacin.
Controles internos efectivos.
Conformidad con las leyes y reglamentos vigentes.
1. Polticas de Seguridad
La poltica de seguridad es un documento de alto nivel que denota el compromiso
de la gerencia con la seguridad de la informacin. Contiene la definicin de la
seguridad de la informacin bajo el punto de vista de cierta entidad.
2. Aspectos Organizativos
Este grupo est constituido por dos controles y es justamente el primer caso que
se puede poner de manifiesto sobre el mencionado Des concepto sobre lo que
uno piensa que es un control, pues aqu se puede apreciar claramente la
complejidad que se presenta el diseo, planificacin, preparacin, implementacin
y revisiones de una Poltica de Seguridad (la revisin es justamente el segundo
control que propone).como se mencion un Control es mucho (pero
mucho), mas que eso
Todo aquel que haya sido responsable alguna vez de esta tarea, sabr de lo que
se est hablando.
La Poltica de Seguridad, para ser riguroso, en realidad debera dividirse en dos
documentos:
Poltica de seguridad (Nivel poltico o estratgico de la organizacin):
Es la mayor lnea rectora, la alta direccin. Define las grandes lneas
a seguir y el nivel de compromiso de la direccin con ellas.
Plan de Seguridad (Nivel de planeamiento o tctico): Define el
Cmo. Es decir, baja a un nivel ms de detalle, para dar inicio al
conjunto de acciones o lneas rectoras que se debern cumplir.
3. Gestin de Activos
Se define el grado de responsabilidad que hay hacia los activos y las personas
encargadas, al hablar de responsabilidad de los activos o recursos se hace
hincapi al:
Inventario de activos.
Responsable de los activos.
Acuerdos sobre el uso aceptable de los activos.
Introduccin
Este caso se deriva de la presentacin que el Director General de la empresa
ficticia ServiceCo, una compaa de servicios TIC, realiz a una audiencia
compuesta por especialistas en seguridad de la informacin y de auditoras TI.
El DG explic su satisfaccin de poder hablar sobre esta materia dada la ilusin
por los resultados de negocio generados en la compaa aportados por la
seguridad de la informacin.
Situacin de negocio de serviceco
ServiceCo proporciona servicios TIC, hardware y software a sus clientes. Una vez
ganada la certificacin en ISO 9001 hace ya 10 aos aproximadamente, los
empleados se acostumbraron a trabajar de un modo adecuado y en relacin a los
procedimientos de calidad documentados y a las guas establecidas. Hace un par
de aos, sin embargo, el ambiente laboral empez a cambiar de forma negativa.
Las decisiones de la Gerencia fueron acometidas de manera instintiva y con poca
base de anlisis en datos reales mayoritariamente. Con una rotacin de la plantilla
en aumento, la Gerencia reconoci la necesidad de aplicar cambios y acometer un
anlisis serio de las debilidades y fortalezas de la organizacin.
La Gerencia de ServiceCo decidi implantar un ISO27k (que implica tanto ISO/IEC
27001 como 27002). Segn las palabras del Gerente de ServiceCo, la
implantacin de ISO27k tena sentido en el negocio. La seguridad en la
informacin interna de ServiceCo reducira el riesgo y, en consecuencia, el coste
relacionado con infracciones serias.
ISO27k es un conocido marco de seguridad desarrollado originalmente por
algunas de las compaas lderes a nivel internacional (BT, HSBC, Shell
international y Unilever, entre otras), por tanto nos proporcionara los medios para
implantar los controles de seguridad segn las mejores prcticas..
Beneficios de negocio de iso27k