Академический Документы
Профессиональный Документы
Культура Документы
SEGURIDAD INFORMATICA
NORMA ISO/IEC 27002 - 2005
INDICE
Contenido
Pg.
Introduccin
03
Definiciones
04
1.1.
Que es ISO
04
1.2.
Que es IEC
04
04
1.3.
2.
05
2.1.
06
2.2.
06
3.
Historia
07
4.
09
4.1.
Poltica de Seguridad
12
4.2.
13
4.3.
Gestin de Activos
14
4.4.
14
4.5.
15
4.6.
16
4.7.
Control de Accesos
17
4.8.
18
4.9.
19
4.10.
19
Cumplimiento
20
4.11.
Conclusiones
22
Recomendaciones
23
Sitios de Consulta
24
INTRODUCCION
La ISO 27002 es una gua para, en distintos mbitos, conocer qu se puede hacer para
mejorar la seguridad de la informacin. Aunque muchas empresas le restan valor o
importancia al aspecto de seguridad, no se puede dudar que las prdidas por la falta de
seguridad informtica pueden ser tremendamente caras, tanto en materia econmica como
en cuanto a prestigio, nivel de ventas, problemas legales, daos a empleados de
la organizacin o a terceros, etc.
En vista de la importancia que tiene la seguridad en las tecnologas de informacin, se
afirma que estudiar no solamente buenas prcticas y consejos sabios de personas que
llevan una gran trayectoria en el rea de la informtica, sino que ms
an, Normas Internacionales certificables, es un beneficio de grandes magnitudes para
cualquier organizacin. Por ello se analizamos que el estudio de la Norma Internacional
ISO/IEC 27002 es totalmente necesario para cualquier organizacin que tenga que ver de
alguna forma con aspectos relacionados a tecnologas de informacin.
He aqu la importancia que sustenta el siguiente trabajo:
1. DEFINICIONES
1.1.
QUE ES ISO
1.2.
QUE ES IEC
1.3.
ISO/IEC JTC1
ISO e IEC han establecido un comit tcnico conjunto denominado ISO/IEC JTC1 (ISO/IEC
Joint Technical Committee). Este comit trata con todos los asuntos de tecnologa de
la informacin. La mayora del trabajo de ISO/IEC JTC1 es hecho por subcomits que
tratan con un campo o rea en particular. Especficamente el subcomit SC 27 es el que se
encarga de las tcnicas de seguridad de las tecnologas de informacin. Dicho subcomit
ha venido desarrollando una familia de Estndares Internacionales para el
Sistema Gestin y Seguridad de la Informacin. La familia incluye Estndares
Internacionales sobre requerimientos, gestin de riesgos, mtrica y medicin, y el
lineamiento de implementacin del sistema de gestin de seguridad de la informacin. Esta
familia adopt el esquema de numeracin utilizando las series del nmero 27000 en
secuencia, por lo que a partir de julio de 2007, las nuevas ediciones del ISO/IEC 17799 se
encuentran bajo el esquema de numeracin con el nombre ISO/IEC 27002.
2.1.
ISO / IEC 27001 define formalmente los requisitos obligatorios para un Sistema de Gestin
de Seguridad de la Informacin (SGSI). Utiliza la norma ISO / IEC 27002 para indicar los
controles de seguridad de informacin adecuados dentro de los SGSI, pero como la norma
ISO / IEC 27002 es ms que un cdigo de conducta / directriz en lugar de una norma de
certificacin, las organizaciones tienen la libertad de seleccionar e implementar otros
controles, o incluso adoptar alternativa suites completas de los controles de seguridad de
la informacin como mejor les parezca. ISO / IEC 27001 incorpora un resumen (un poco
ms que los ttulos de las secciones, de hecho) de los controles de la norma ISO / IEC
27002 en el Anexo A. En la prctica, la mayora de las organizaciones que adoptan la norma
ISO / IEC 27001 tambin adoptan la norma ISO / IEC 27002.
2.2.
3. HISTORIA
En 1995 el British Standard Institute publica la norma BS7799, un cdigo de buenas
prcticas para la gestin de la seguridad de la informacin.
En 1998, tambin el BSI pblica la norma BS7799-2, especificaciones para los sistemas de
gestin de la seguridad de la informacin; se revisa en 2002.
Tras una revisin de ambas partes de BS7799 (1999), la primera es adoptada como norma
ISO en 2000 y denominada ISO/IEC 17799:
seguridad
concreta:
En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y en
2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).
La ISO 27002 es una gua para, en distintos mbitos, conocer qu se puede hacer para
mejorar la seguridad de la informacin. Expone, en distintos campos, una serie de
apartados a tratar en relacin a la seguridad, Los objetivos de seguridad a perseguir, una
serie de consideraciones (controles) a tener en cuenta para cada objetivo y un conjunto de
"sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya indica que
no existe ningn tipo de priorizacin entre controles, y que las "sugerencias" que realiza no
tienen por qu ser ni siquiera convenientes, en funcin del caso en cuestin.
Esta Norma Internacional est diseado para que las organizaciones utilizan como
referencia para la seleccin de los controles en el proceso de implementacin de un Sistema
de Gestin de Seguridad de la Informacin (SGSI) basado en la norma ISO / IEC 27001 o
como un documento de orientacin para las organizaciones que efectan controles de
seguridad de la informacin generalmente aceptadas. Esta norma tambin es para uso en
el desarrollo de directrices de gestin de seguridad de la informacin y la industriaespecficas de la organizacin, teniendo en cuenta su entorno de riesgo seguridad de la
informacin especfica (s).
Los activos estn sujetos a las amenazas deliberadas o accidentales, mientras que los
relacionados con los procesos, los sistemas, las redes y las personas tienen
vulnerabilidades inherentes. Los cambios en los procesos de negocio y sistemas u otros
cambios externos (por ejemplo, nuevas leyes y reglamentos) pueden crear nuevos riesgos
de seguridad de la informacin. Por lo tanto, dada la multiplicidad de formas en que las
amenazas podran aprovecharse de las vulnerabilidades para daar a la organizacin, los
riesgos de seguridad de la informacin estn siempre presentes. Seguridad de la
informacin eficaz reduce estos riesgos mediante la proteccin de la organizacin contra
las amenazas y vulnerabilidades, y luego reduce los impactos de sus activos.
Seguridad de la informacin se logra mediante la implementacin de un conjunto adecuado
de controles, incluidas las polticas, procesos, procedimientos, estructuras organizativas y
de software y funciones de hardware. Estos controles se deben establecer, implementar,
supervisar, revisar y mejorar, cuando sea necesario, para asegurar que se cumplan los
objetivos especficos de seguridad y de negocios de la organizacin. Un SGSI como el que
se especifica en la norma ISO / IEC 27001 tiene una visin holstica, coordinada de los
riesgos de seguridad de la informacin de la organizacin con el fin de poner en prctica
un conjunto completo de controles de seguridad de la informacin en el marco general de
un sistema de gestin coherente.
Muchos sistemas de informacin no han sido diseados para ser seguro en el sentido de la
norma ISO / IEC 27001 y este estndar. La seguridad de que se puede lograr a travs de
medios tcnicos es limitada y debe ser apoyada por la administracin y los procedimientos
apropiados. La identificacin que controla debe estar en su lugar requiere una cuidadosa
planificacin y atencin al detalle. Un xito SGSI requiere el apoyo de todos los empleados
en la organizacin.
La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por
completo la Gestin de la Seguridad de la Informacin:
1) Poltica de seguridad.
2) Aspectos organizativos para la seguridad.
3) Clasificacin y control de activos.
4) Seguridad ligada al personal.
5) Seguridad fsica y del entorno.
6) Gestin de comunicaciones y operaciones.
7) Control de accesos.
8) Desarrollo y mantenimiento de sistemas.
9) Gestin de continuidad del negocio.
10) Conformidad con la legislacin.
ISO / IEC 27002: 2005 establece los lineamientos y principios generales para iniciar,
implementar, mantener y mejorar la gestin de seguridad de la informacin en una
organizacin. Los objetivos trazados proporcionan una gua general sobre los objetivos
comnmente aceptados de gestin de la seguridad de la informacin. ISO / IEC 27002:
2005 contiene las mejores prcticas de los objetivos de control y controles en las siguientes
reas de gestin de seguridad de la informacin:
1) Poltica de seguridad;
2) Organizacin de la seguridad de la informacin;
3) Gestin de activos;
4) Recursos humanos de seguridad;
5) Seguridad fsica y ambiental;
6) Comunicaciones y gestin de operaciones;
7) Control de acceso;
8) Los sistemas de informacin de adquisicin, desarrollo y mantenimiento;
9) Informacin de gestin de incidentes de seguridad;
10) Gestin de la continuidad del negocio;
11) Cumplimiento.
Los objetivos de control y controles en la norma ISO / IEC 27002: 2005 estn destinados a
ser implementado para satisfacer las necesidades identificadas por la evaluacin del
riesgo. ISO / IEC 27002: 2005 pretende ser una base comn y gua prctica para el
desarrollo de estndares de seguridad de la organizacin y las prcticas eficaces de gestin
de la seguridad, y para ayudar a construir la confianza en las actividades
interinstitucionales.
Esta norma cuenta con 11 dominios, 39 objetivos de control y 133 Controles, dentro
de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de
la informacin. Para cada uno de los controles se indica asimismo una gua para su
implantacin.
10
11
4.1.
POLTICA DE SEGURIDAD
12
4.2.
13
4.3.
GESTION DE ACTIVOS
Se deben asignar responsabilidades por cada uno de los
activos
de
la
organizacin,
as
como
poseer
un inventario actualizado de todos los activos que se tienen,
a quien/quienes les pertenecen, el uso que se les debe dar,
y la clasificacin de todos los activos. Para esto el
departamento de contabilidad tendr que hacer un buen
trabajo en cuanto a esta clasificacin y desglose de activos,
y el departamento de leyes de la empresa tambin tendr
que ser muy metdico en estos procesos, ya que los activos
son todos los bienes y recursos que posee una empresa,
incluyendo bienes muebles e inmuebles, dinero, etc. Por lo
tanto este es un asunto delicado y de gran importancia.
Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel
de proteccin adecuado a los activos de informacin.
Debe definirse una clasificacin de los activos relacionados con los sistemas de
informacin, manteniendo un inventario actualizado que registre estos datos, y
proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en la
organizacin.
4.4.
El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idneos para los roles para los cuales son considerados,
reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir
claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser
simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de
trabajo. Tambin deben existir capacitaciones peridicas para concientizar y proporcionar
formacin y procesos disciplinarios relacionados a la seguridad y responsabilidad de los
recursos humanos en este mbito.
Las implicaciones del factor humano en la seguridad de la informacin son muy elevadas.
Todo el personal, tanto interno como externo a la organizacin, debe conocer tanto las
lneas generales de la poltica de seguridad
corporativa como las implicaciones de su
trabajo en el mantenimiento de la seguridad
global.
Tambin
se
deben
especificar
las
responsabilidades cuando se da el cese
del empleo o cambio de puesto de trabajo, para
que la persona no se vaya simplemente y deje a
la organizacin afectada de alguna manera en
materia de seguridad.
14
4.5.
15
4.6.
16
4.7.
CONTROL DE ACCESOS
Controlar los accesos a la informacin. Evitar
accesos no autorizados a los sistemas de
informacin. Evitar el acceso de usuarios no
autorizados. Proteccin de los servicios en red.
Evitar accesos no autorizados a ordenadores.
Evitar el acceso no autorizado a la informacin
contenida en los sistemas. Detectar actividades no
autorizadas. Garantizar la seguridad de la
informacin cuando se usan dispositivos de
informtica mvil y teletrabajo.
17
4.8.
18
4.9.
19
Junto a la gestin de riesgos, debe aparecer la identificacin de eventos que pueden causar
interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas
interrupciones y sus consecuencias para la seguridad de la informacin. Por supuesto se
requieren planes alternativos y de accin ante tales eventos, asegurando siempre la
proteccin e integridad de la informacin y tratando de poner el negocio en su estado de
operacin normal a la mayor brevedad posible.
Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos
frente grandes fallos o desastres.
Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio
deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados.
Los planes de contingencia deben ser probados y revisados peridicamente.
Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen
claramente las funciones y responsabilidades de cada miembro en caso de desastre.
4.11. CUMPLIMIENTO
Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones
a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento
de seguridad. La identificacin de la legislacin aplicable debe estar bien definida.
Se deben definir explcitamente, documentar y actualizar
todos los requerimientos legales para cada sistema de
informacin y para la organizacin en general.
Es necesario implementar los procedimientos apropiados
para asegurar el cumplimiento de los requerimientos
legislativos, reguladores y contractuales sobre el uso del
material
con
respecto
a
los
cuales
puedan
existir derechos de propiedad intelectual y sobre el uso
de productos de software patentado.
El cumplimiento de los requisitos legales se aplica tambin
a la proteccin de los documentos de la organizacin, proteccin de datos y privacidad de
la informacin personal, prevencin del uso indebido de los recursos de tratamiento de la
informacin, y a regulaciones de los controles criptogrficos.
Los sistemas de informacin deben estar bajo monitoreo y deben chequearse regularmente
para ver y garantizar el cumplimiento de los estndares de implementacin de la seguridad.
En cuanto a las auditoras de los sistemas de informacin, se tiene que maximizar la
efectividad de y minimizar la interferencia desde/hacia el proceso de auditora del sistema
de informacin. Durante las auditoras de los sistemas de informacin deben existir
controles para salvaguardar los sistemas operacionales y herramientas de auditora.
Tambin se requiere proteccin para salvaguardar la integridad y evitar el mal uso de las
herramientas de auditora.
20
21
CONCLUSIONES
La norma que es una gua de buenas prcticas, recoge los objetivos de control y los
controles recomendables y no es certificable. La certificacin se realiza con la
norma ISO/IEC 27001, que recoge un resumen de estos controles en su Anexo A,
como base para desarrollar los Sistemas de Gestin de la Seguridad de la
Informacin, SGSI, de las organizaciones.
El trabajo proporciona una idea bastante clara de cmo se debe trabajar en materia
de seguridad de tecnologas de informacin al apegarse a un Estndar Internacional
(y por lo tanto mundialmente aceptado y conocido) como lo es el ISO/IEC 27002.
22
RECOMENDACIONES
23
SITIOS DE CONSULTA
http://www.monografias.com/trabajos67/estandar-internacional/estandarinternacional2.shtml#estandaria
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
https://www.google.com.gt/search?hl=es419&site=imghp&tbm=isch&source=hp&
biw=1280&bih=923&q=ISO+27002-2005&oq=ISO+27002-2005&gs_
http://seguridadinformacioncolombia.blogspot.com/2010/04/iso-27001-e-iso27002-dominio-11.html
http://www.isaca.org/chapters7/Madrid/Events/Documents/Principales%20Nov
edades%20de%20la%20ISO27001ISO%2027002%20-%20Paloma%20Garcia.pdf
http://nimbosystems.com/wp/?p=52
http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso27002-politica-de_02.html
http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-iso-27001y-la-iso-27002
http://pdf.usaid.gov/pdf_docs/PA00JRCT.pdf
http://www.iso27001security.com/html/27002.html#Section5
24