3.1.2. GESTIN DE LA SEGURIDAD Y LA NORMA BS 7799 (ISO 17799)
Un Sistema de Gestin de la Seguridad de la Informacin (SGSI) debe constituir un modelo de gestin que establezca unos procedimientos adecuados y la planificacin e implantacin de controles de seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los mismos. El objeto ltimo de estos Sistemas de Gestin es identificar los riesgos a los que est sometida su informacin y asumirlos, minimizarlos, transferirlos o controlarlos mediante una sistemtica definida, documentada y conocida por todos, que se analiza y mejora constantemente. Un Sistema de Gestin de la Seguridad de la Informacin ayuda a establecer polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir, disminuyendo vulnerabilidades e incrementando el valor de sus activos. (Ver la figura 1)
Figura 1. Riesgos de la organizacin La norma BS 7799 de British Standard Institution (BSI) aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. [CONSULTORA INTEGRAL DE TICS] ITESCAM
ING. RAFAEL J. CUEVAS MIJANGOS 2
La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por International Organization for Standardization (ISO), sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS 7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de J ulio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.
La normativa BS7799 le ayuda a las empresas a proteger sus activos e informacin en todas sus formas, electrnica y/o impresa, en trminos de: La confidencialidad, que asegura que slo las personas autorizadas tengan acceso a la informacin. La integridad, que salvaguarda la exactitud e integridad de la informacin y de los mtodos de procesamiento. La disponibilidad, que asegura el acceso de los usuarios autorizados a la informacin y a los activos relacionados cuando es necesario.
LAS AREAS DE CONTROL DE LA NORMA ISO 17799 [CONSULTORA INTEGRAL DE TICS] ITESCAM
ING. RAFAEL J. CUEVAS MIJANGOS 3
La estructura de la normatividad de gestin en seguridad de sistemas de informacin, norma ISO 17799, queda especificada en 10 componentes, que incluyen: 1. Poltica de seguridad. 2. Organizacin de la seguridad. 3. Control y clasificacin los recursos de informacin. 4. Seguridad de personal. 5. Seguridad fsica y ambiental. 6. Manejo de 1 comunicaciones y las operaciones. 7. Control de acceso. 8. Desarrollo y mantenimiento de los sistema. 9. Manejo de la continuidad empresarial, as como el cumplimiento. VENTAJAS DE LA NORMA ISO 17799 Las ms relevantes seran: Proteccin de los bienes de la empresa (informacin y actividades) Proteccin de la informacin en las comunicaciones y software Proteccin ante accesos malintencionados Prevenir alteraciones en las comunicaciones entre organizaciones Procesamiento seguro de la informacin BENEFICIOS DE LA NORMA TCNICA ISO 17799 Una empresa certificada con la norma tcnica ISO 17799 puede ganar frente a sus competidores no certificados. Si un cliente potencial tiene que escoger entre empresas diferentes y la seguridad es un aspecto trascendente, por lo general optar por la certificada. Adems una empresa certificada tendr en cuenta lo siguiente: Mayor seguridad en la empresa [CONSULTORA INTEGRAL DE TICS] ITESCAM
ING. RAFAEL J. CUEVAS MIJANGOS 4
Planeacin y manejo de la seguridad ms efectivos Alianzas comerciales y e-commerce ms seguros Mayor confianza en el cliente Auditorias de seguridad ms precisas y confiables Menor responsabilidad civil.
FUENTES
http://es.kioskea.net/contents/attaques/attaques.php3 (tipos de ataques, viernes 20-04-2012) http://www.canal-ayuda.org/a-seguridad/tipataques.html (tipos de ataques, viernes 20-04-2012) http://www.sistemaantispam.com/noticias/spam/2007-03-26/44/spam-virus- spyware-phishing-robo-de-directorios-caballos-de-troya-programas- malintencionados.html (tipos de ataques, viernes 20-04-2012) http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/administracion/v05_n10/gestio n.htm (Gestin de la seguridad y la norma BS 7799 (ISO 17799), viernes 20-04- 2012) http://www.gestion-calidad.com/seguridad-informacion.html (Gestin de la seguridad y la norma BS 7799 (ISO 17799), viernes 20-04-2012) http://www.channelplanet.com/index.php?idcategoria=12753 (Gestin de la seguridad y la norma BS 7799 (ISO 17799), viernes 20-04-2012) http://www.rediris.es/cert/doc/unixsec/node14.html (Gestin de la seguridad y la norma BS 7799 (ISO 17799), viernes 20-04-2012) http://www.rediris.es/cert/doc/unixsec/node14.html (Autenticacin de usuarios Introduccin y conceptos bsicos, viernes 20-04-2012) https://zonatic.usatudni.es/aprendizaje/aprende-sobre-el-dnie/57-aspectos- tecnicos/196-criptografia-y-esquemas-de-clave-publica.html (Proteccin de datos: criptografa de clave pblica y privada. Esteganografa, viernes 20-04-2012) [CONSULTORA INTEGRAL DE TICS] ITESCAM
ING. RAFAEL J. CUEVAS MIJANGOS 5
http://usuarios.multimania.es/aledomiisa/esteganografia.php (Proteccin de datos: criptografa de clave pblica y privada. Esteganografa, viernes 20-04-2012)
INVESTIGACIN REALIZADA POR:
ALFREDO RENE TUZ PECH LIRIO PERSIDA CAUICH UCAN LANDY LUCELY TORRES BAOS ANA GUADALUPE COHUO AVILA FATIMA DEL ROSARIO POOT NAAL
ISO 17799 Es Una Norma Internacional Que Ofrece Recomendaciones para Realizar La Gestión de La Seguridad de La Información Dirigidas A Los Responsables de Iniciar