Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

Lectura Nro 02 SEGURIDAD INFORMATICA ISO 27000

Mag. Ing. Milner David Liendo Arevalo

Consultor en TIC La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es por tanto un o!"etivo de primer nivel para la organizacin. #ara la adecuada gestin de la seguridad de la informacin es necesario implantar un sistema que a!orde esta tarea de una forma metdica documentada y !asada en unos o!"etivos claros de seguridad y una evaluacin de los riesgos a los que est$ sometida la informacin de la organizacin. %&'(%E) 2*000 es un con"unto de est$ndares desarrollados +o en fase de desarrollo por %&' ,%nternational 'rganization for &tandardization- e %E) ,%nternational Electrotechnical )ommission- que proporcionan un marco de gestin de la seguridad de la informacin utiliza!le por cualquier tipo de organizacin p.!lica o privada grande o peque/a. En este apartado se resumen las distintas normas que componen la serie %&' 2*000 y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin ,&0&%- !asado en %&' 2*001. Origen 2esde 1301 y como primera entidad de normalizacin a nivel mundial 4&% ,4ritish &tandards %nstitution la organizacin !rit$nica equivalente a 5EN'6 en Espa/aes responsa!le de la pu!licacin de importantes normas como7 13*3 #u!licacin 4& 8*80 + ahora %&' 3001 1332 #u!licacin 4& **80 + ahora %&' 19001 133: #u!licacin 4& ;;00 + ahora '<&5& 1;001 La norma 4& **33 de 4&% aparece por primera vez en 1338 con o!"eto de proporcionar a cualquier empresa +!rit$nica o no+ un con"unto de !uenas pr$cticas para la gestin de la seguridad de su informacin. La primera parte de la norma ,4& **33+1- es una gu=a de !uenas pr$cticas para la que no se esta!lece un esquema de certificacin. Es la segunda parte ,4& **33+2- pu!licada por primera vez en 133; la que esta!lece los requisitos de un

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

sistema de seguridad de la informacin ,&0&%- para ser certifica!le por una entidad independiente. Las dos partes de la norma 4& **33 se revisaron en 1333 y la primera parte se adopt por %&' sin cam!ios sustanciales como %&' 1**33 en el a/o 2000. En 2002 se revis 4& **33+2 para adecuarse a la filosof=a de normas %&' de sistemas de gestin. En 2008 con m$s de 1*00 empresas certificadas en 4&**33+2 este esquema se pu!lic por %&' como est$ndar %&' 2*001 al tiempo que se revis y actualiz %&'1**33. Esta .ltima norma se renom!ra como %&' 2*00272008 el 1 de >ulio de 200* manteniendo el contenido as= como el a/o de pu!licacin formal de la revisin.

En ?arzo de 200: posteriormente a la pu!licacin de la %&'2*00172008 4&% pu!lic la 4&**33+@7200: centrada en la gestin del riesgo de los sistemas de informacin. La serie 27000 5 seme"anza de otras normas %&' la 2*000 es realmente una serie de est$ndares. Los rangos de numeracin reservados por %&' van de 2*000 a 2*013 y de 2*0@0 a 2*099. A ISO 27000: En fase de desarrolloB su fecha prevista de pu!licacin es Noviem!re de 200;. )ontendr$ trminos y definiciones que se emplean en toda la serie

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

2*000. La aplicacin de cualquier est$ndar necesita de un voca!ulario claramente definido que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est$ previsto que sea gratuita a diferencia de las dem$s de la serie que tendr$n un coste. A ISO 27001: #u!licada el 18 de 'ctu!re de 2008. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Ciene su origen en la 4& **33+272002 y es la norma con arreglo a la cual se certifican por auditores externos los &0&% de las organizaciones. &ustituye a la 4& **33+2 ha!indose esta!lecido unas condiciones de transicin para aquellas empresas certificadas en esta .ltima. En su 5nexo 5 enumera en forma de resumen los o!"etivos de control y controles que desarrolla la %&' 2*00272008 ,nueva numeracin de %&' 1**3372008 desde el 1 de >ulio de 200*- para que sean seleccionados por las organizaciones en el desarrollo de sus &0&%B a pesar de no ser o!ligatoria la implementacin de todos los controles enumerados en dicho anexo la organizacin de!er$ argumentar slidamente la no aplica!ilidad de los controles no implementados. 2esde el 2; de Noviem!re de 200* esta norma est$ pu!licada en Espa/a como DNE+%&'(%E) 2*0017200* y puede adquirirse online en 5EN'6. A ISO 27002: 2esde el 1 de >ulio de 200* es el nuevo nom!re de %&' 1**3372008 manteniendo 2008 como a/o de edicin. Es una gu=a de !uenas pr$cticas que descri!e los o!"etivos de control y controles recomenda!les en cuanto a seguridad de la informacin. No es certifica!le. )ontiene @3 o!"etivos de control y 1@@ controles agrupados en 11 dominios. )omo se ha mencionado en su apartado correspondiente la norma %&'2*001 contiene un anexo que resume los controles de %&' 2*00272008. En Espa/a a.n no est$ traducida ,previsi!lemente a lo largo de 200;-. 2esde 200: s= est$ traducida en )olom!ia ,como %&' 1**33- y desde 200* en #er. ,como %&' 1**33B descarga gratuita-. El original en ingls y su traduccin al francs pueden adquirirse en %&'.org. A ISO 27003: En fase de desarrolloB su fecha prevista de pu!licacin es ?ayo de 2003. )onsistir$ en una gu=a de implementacin de &0&% e informacin acerca del uso del modelo #2)5 y de los requerimientos de sus diferentes fases. Ciene su origen en el anexo 4 de la norma 4&**33+2 y en la serie de documentos pu!licados por 4&% a lo largo de los a/os con recomendaciones y gu=as de implantacin. A ISO 27004: En fase de desarrolloB su fecha prevista de pu!licacin es Noviem!re de 200;. Especificar$ las mtricas y las tcnicas de medida aplica!les para determinar la eficacia de un &0&% y de los controles relacionados. Estas mtricas

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

se usan fundamentalmente para la medicin de los componentes de la fase E2oF ,%mplementar y Dtilizar- del ciclo #2)5.

A ISO 27005: #u!licada el 9 de >unio de 200;. Esta!lece las directrices para la gestin del riesgo en la seguridad de la informacin. 5poya los conceptos generales especificados en la norma %&'(%E) 2*001 y est$ dise/ada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin !asada en un enfoque de gestin de riesgos. El conocimiento de los conceptos modelos procesos y trminos descritos en la norma %&'(%E) 2*001 e %&'(%E) 2*002 es importante para un completo entendimiento de la norma %&'(%E) 2*0087200; que es aplica!le a todo tipo de organizaciones ,por e"emplo empresas comerciales agencias gu!ernamentales organizaciones sin fines de lucro- que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin. &u pu!licacin revisa y retira las normas %&'(%E) C6 1@@@8+@7133; y %&'(%E) C6 1@@@8+972000. En Espa/a esta norma a.n no est$ traducida. El original en ingls puede adquirirse en %&'.org. A ISO 2700 : #u!licada el 1@ de Ge!rero de 200*. Especifica los requisitos para la acreditacin de entidades de auditor=a y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de E5+*(0@ ,6equisitos para la acreditacin de entidades que operan certificacin(registro de &0&%s- que a/ade a %&'(%E) 1*021 ,6equisitos para las entidades de auditor=a y certificacin de sistemas de gestin- los requisitos espec=ficos relacionados con %&' 2*001 y los &0&%s. Es decir ayuda a interpretar los criterios de acreditacin de %&'(%E) 1*021 cuando se aplican a entidades de certificacin de %&' 2*001 pero no es una norma de acreditacin por s= misma. En Espa/a esta norma A ISO 270007: En fase de desarrolloB su fecha prevista de pu!licacin es ?ayo de 2010. )onsistir$ en una gu=a de auditor=a de un &0&%. A ISO 27011: En fase de desarrolloB su fecha prevista de pu!licacin es finales de 200;. )onsistir$ en una gu=a de gestin de seguridad de la informacin espec=fica para telecomunicaciones ela!orada con"untamente con la %CD ,Dnin %nternacional de Celecomunicaciones-. A ISO 27031: En fase de desarrolloB su fecha prevista de pu!licacin es ?ayo de 2010. )onsistir$ en una gu=a de continuidad de negocio en cuanto a tecnolog=as de la informacin y comunicaciones. A ISO 27032: En fase de desarrolloB su fecha prevista de pu!licacin es Ge!rero de 2003. )onsistir$ en una gu=a relativa a la ci!erseguridad.

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

A ISO 27033: En fase de desarrolloB su fecha prevista de pu!licacin es entre 2010 y 2011. Es una norma consistente en * partes7 gestin de seguridad de redes arquitectura de seguridad de redes escenarios de redes de referencia aseguramiento de las comunicaciones entre redes mediante gateways acceso remoto aseguramiento de comunicaciones en redes mediante H#Ns y dise/o e implementacin de seguridad en redes. A ISO 27034: En fase de desarrolloB su fecha prevista de pu!licacin es Ge!rero de 2003. )onsistir$ en una gu=a de seguridad en aplicaciones. A ISO 277!!: #u!licada el 12 de >unio de 200;. Es un est$ndar de gestin de seguridad de la informacin en el sector sanitario aplicando %&' 1**33 ,actual %&' 2*002-. Esta norma al contrario que las anteriores no la desarrolla el su!comit >C)1(&)2* sino el comit tcnico C) 218. %&' 2**337200; define directrices para apoyar la interpretacin y aplicacin en la salud inform$tica de la norma %&' ( %E) 2*002 y es un complemento de esa norma. %&' 2**337200; especifica un con"unto detallado de controles y directrices de !uenas pr$cticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios de la informacin sanitaria en !ase a garantizar un m=nimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener la confidencialidad integridad y disponi!ilidad de informacin personal de salud. %&' 2**337200; se aplica a la informacin en salud en todos sus aspectos y en cualquiera de sus formas toma la informacin ,pala!ras y n.meros gra!aciones sonoras di!u"os v=deos y im$genes mdicassea cual fuere el medio utilizado para almacenar ,de impresin o de escritura en papel o electrnicos de almacenamiento- y sea cual fuere el medio utilizado para transmitirlo ,a mano por fax por redes inform$ticas o por correo- ya que la informacin siempre de!e estar adecuadamente protegida. El original en ingls o francs puede adquirirse en %&'.org. "ene#i$i%s A Esta!lecimiento de una metodolog=a de gestin de la seguridad clara y estructurada. A 6educcin del riesgo de prdida ro!o o corrupcin de informacin. A Los clientes tienen acceso a la informacin a travs medidas de seguridad. A Los riesgos y sus controles son continuamente revisados. A )onfianza de clientes y socios estratgicos por la garant=a de calidad y confidencialidad comercial. A Las auditor=as externas ayudan c=clicamente a identificar las de!ilidades del sistema y las $reas a me"orar.

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

A A A A A A A A

#osi!ilidad de integrarse con otros sistemas de gestin ,%&' 3001 %&' 19001 '<&5& 1;001L-. )ontinuidad de las operaciones necesarias de negocio tras incidentes de gravedad. )onformidad con la legislacin vigente so!re informacin personal propiedad intelectual y otras. %magen de empresa a nivel internacional y elemento diferenciador de la competencia. )onfianza y reglas claras para las personas de la organizacin. 6educcin de costes y me"ora de los procesos y servicio. 5umento de la motivacin y satisfaccin del personal. 5umento de la seguridad en !ase a la gestin de procesos en vez de en la compra sistem$tica de productos y tecnolog=as.

&C'(% a)a*+arse,

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

Arran-.e )e/ *r%0e$+%

)ompromiso de la 2ireccin7 una de las !ases fundamentales so!re las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la 2ireccin de la organizacin. No slo por ser un punto contemplado de forma especial por la norma sino porque el cam!io de cultura y concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la 2ireccin. #lanificacin fechas responsa!les7 como en todo proyecto de envergadura el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos so!re el resto de fases.

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

1/ani#i$a$i'n

2efinir alcance del &0&%7 en funcin de caracter=sticas del negocio organizacin localizacin activos y tecnolog=a definir el alcance y los l=mites del &0&% ,el &0&% no tiene por qu a!arcar toda la organizacinB de hecho es recomenda!le empezar por un alcance limitado. 2efinir pol=tica de seguridad7 que incluya el marco general y los o!"etivos de seguridad de la informacin de la organizacin tenga en cuenta los requisitos de negocio legales y contractuales en cuanto a seguridad est alineada con la gestin de riesgo general esta!lezca criterios de evaluacin de riesgo y sea apro!ada por la 2ireccin. La pol=tica de seguridad es un

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

documento muy general una especie de Ideclaracin de intencionesI de la 2ireccin por lo que no pasar$ de dos o tres p$ginas.

2efinir el enfoque de evaluacin de riesgos7 definir una metodolog=a de evaluacin de riesgos apropiada para el &0&% y las necesidades de la organizacin desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo acepta!le. Existen muchas metodolog=as de evaluacin de riesgos aceptadas internacionalmenteB la organizacin puede optar por una de ellas hacer una com!inacin de varias o crear la suya propia. %&' 2*001 no impone ninguna ni da indicaciones adicionales so!re cmo definirla ,en el futuro %&' 2*008 proporcionar$ ayuda en este sentido-. El riesgo nunca es totalmente elimina!le +ni ser=a renta!le hacerlo+ por lo que es necesario definir una estrategia de aceptacin de riesgo. %nventario de activos7 todos aquellos activos de informacin que tienen alg.n valor para la organizacin y que quedan dentro del alcance del &0&%. %dentificar amenazas y vulnera!ilidades7 todas las que afectan a los activos del inventario. %dentificar los impactos7 los que podr=a suponer una prdida de la confidencialidad la integridad o la disponi!ilidad de cada uno de los activos. 5n$lisis y evaluacin de los riesgos7 evaluar el da/o resultante de un fallo de seguridad ,es decir que una amenaza explote una vulnera!ilidad- y la pro!a!ilidad de ocurrencia del falloB estimar el nivel de riesgo resultante y determinar si el riesgo es acepta!le ,en funcin de los niveles definidos previamente- o requiere tratamiento. %dentificar y evaluar opciones para el tratamiento del riesgo7 el riesgo puede reducido ,mitigado mediante controles- eliminado ,p. e". eliminando el activo- aceptado ,de forma consciente- o transferido ,p. e". con un seguro o un contrato de outsourcing-. &eleccin de controles7 seleccionar controles para el tratamiento el riesgo en funcin de la evaluacin anterior. Dtilizar para ello los controles del 5nexo 5 de %&' 2*001 ,teniendo en cuenta que las exclusiones ha!r$n de ser "ustificadas- y otros controles adicionales si se consideran necesarios. 5pro!acin por parte de la 2ireccin del riesgo residual y autorizacin de implantar el &0&%7 hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo la 2ireccin puede tomar decisiones so!re su aceptacin o tratamiento. El riesgo residual es el que

A A A A

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

queda a.n despus de ha!er aplicado controles ,el Iriesgo ceroI no existe pr$cticamente en ning.n caso-.

)onfeccionar una 2eclaracin de 5plica!ilidad7 la llamada &'5 ,&tatement of 5pplica!ility- es una lista de todos los controles seleccionados y la razn de su seleccin los controles actualmente implementados y la "ustificacin de cualquier control del 5nexo 5 excluido. Es en definitiva un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

I(*/e(en+a$i'n

2efinir plan de tratamiento de riesgos7 que identifique las acciones recursos responsa!ilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. %mplantar plan de tratamiento de riesgos7 con la meta de alcanzar los o!"etivos de control identificados %mplementar los controles7 todos los que se seleccionaron en la fase anterior. Gormacin y concienciacin7 de todo el personal en lo relativo a la seguridad de la informacin.

A A A

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

2esarrollo del marco normativo procedimientos e instrucciones.

necesario7

normas

manuales

A A

0estionar las operaciones del &0&% y todos los recursos que se le asignen. %mplantar procedimientos y controles de deteccin y respuesta a incidentes de seguridad.

Seg.i(ien+%

E"ecutar procedimientos y controles de monitorizacin y revisin7 para detectar errores en resultados de procesamiento identificar !rechas e incidentes de seguridad determinar si las actividades de seguridad de la informacin est$n desarroll$ndose como esta!a planificado detectar y prevenir incidentes de seguridad mediante el uso de indicadores y compro!ar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces. 6evisar regularmente la eficacia del &0&%7 en funcin de los resultados de auditor=as de seguridad incidentes mediciones de eficacia sugerencias y feed!acJ de todos los interesados. ?edir la eficacia de los controles7 para verificar que se cumple con los requisitos de seguridad.

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

6evisar regularmente la evaluacin de riesgos7 los cam!ios en la organizacin tecnolog=a procesos y o!"etivos de negocio amenazas eficacia de los controles o el entorno tienen una influencia so!re los riesgos evaluados el riesgo residual y el nivel de riesgo aceptado. 6ealizar regularmente auditor=as internas7 para determinar si los controles procesos y procedimientos del &0&% mantienen la conformidad con los requisitos de %&' 2*001 el entorno legal y los requisitos y o!"etivos de seguridad de la organizacin est$n implementados y mantenidos con eficacia y tienen el rendimiento esperado. 6evisar regularmente el &0&% por parte de la 2ireccin7 para determinar si el alcance definido sigue siendo el adecuado identificar me"oras al proceso del &0&% a la pol=tica de seguridad o a los o!"etivos de seguridad de la informacin. 5ctualizar planes de seguridad7 teniendo en cuenta los resultados de la monitorizacin y las revisiones. 6egistrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del &0&%7 sirven como evidencia documental de conformidad con los requisitos y uso eficaz del &0&%.

A A

Me2%ra $%n+in.a

A A

%mplantar me"oras7 poner en marcha todas las me"oras que se hayan propuesto en la fase anterior. 5cciones correctivas7 para solucionar no conformidades detectadas.

Asociacin Universidad Privada San Juan Bautista

Facultad de Ingenieras Escuela Profesional de Ingeniera de Computacin y Sistemas

A A A

5cciones preventivas7 para prevenir potenciales no conformidades. )omunicar las acciones y me"oras7 a todos los interesados y con el nivel adecuado de detalle. 5segurarse de que las me"oras alcanzan los o!"etivos pretendidos7 la eficacia de cualquier accin medida o cam!io de!e compro!arse siempre.