NORMA ISO 27002: BUENAS PRACTICAS EN LA GESTION DE LA SEGURIDAD DE LA INORMACION

Anteriormente denominada ISO 17799, es un estndar para la seguridad de la informacin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control, agrupados en 11 dominios. La norma ISO/IEC 27002:2005 es una herramienta sencilla que permitir establecer polticas, y controles bajo el objetivo de disminuir los riesgos que tienen los activos de la organizacin. En primer lugar, obtenemos una reduccin de riesgos debido al establecimiento y seguimiento de controles sobre ellos. Con ello lograremos reducir las amenazas hasta alcanzar un nivel asumible por nuestra organizacin. De este modo si se produce una incidencia, los daos se minimizan y la continuidad del negocio est asegurada. En segundo lugar se produce un ahorro de costes derivado de una racionalizacin de los recursos. Se eliminan las inversiones innecesarias e ineficientes como las producidas por desestimar o sobrestimar riesgos. En tercer lugar, la seguridad se considera y se convierte en una actividad de gestin. La seguridad deja de ser un conjunto de actividades ms o menos organizadas y pasa a transformarse en un ciclo de vida metdico y controlado, en el participa toda la organizacin. En cuarto lugar, la organizacin se asegura del cumplimiento de la legislacin vigente y se evitan riesgos y costes innecesarios. La entidad se asegura del cumplimiento del marco legal que protege a la empresa de aspectos que probablemente no se haban tenido en cuenta anteriormente. Por ltimo, pero no por ello menos importante, la certificacin del sistema de gestin de seguridad de la informacin contribuye a mejorar la competitividad en el mercado, diferenciando a las empresas que lo han conseguido y hacindoles ms fiables e incrementando su prestigio.

La seguridad de la informacin se refiere a la proteccin de una gama de amenazas para salvaguardar la continuidad de las operaciones del negocio sean estas ocasionadas dentro o fuera de la organizacin, disminuyendo los daos que estas amenazas causaran a la organizacin y aumentar las oportunidades de negocios. En los sistemas de informacin es donde la mayor parte de la informacin procesada o no procesada es resguardada, ya sea en equipos informticos, soportes de almacenamiento y redes de datos. Estos sistemas de informacin son activos que estn sujetos a vulnerabilidades y amenazas que pueden influir desde personal de la propia organizacin o del exterior. Existen un sin nmero de riesgos fsicos como incendios, inundaciones, terremotos o terrorismos que al explotar una amenaza pueden afectar la disponibilidad de nuestra informacin y recursos al no estar preparados contra cualquier probabilidad de ocurrencia del riesgos y no contar con un plan de continuidad del negocio nos afectara significantemente. Es por eso que se debe realizar una evaluacin de riesgos de forma peridica estableciendo un punto de equilibrio en relacin de costo beneficio. Adems de los riesgos fsicos, tambin nos encontramos con los riesgos lgicos relacionados con la tecnologa y, que como se cit anteriormente aumentan da a da, estos pueden ser hackers, robos de identidad, accesos no autorizados, spam, virus, robos de informacin y espionaje industrial, estos afectan directamente con la confidencialidad que la organizacin transmite a sus clientes y al verse comprometida la confidencialidad afecta a nuestra imagen en el mercado.

PILARES FUNDAMENTALES DE SEGURIDAD DE LA INFORMACIN.

Confidencialidad: Certificar que solo los usuarios con accesos autorizados puedan acceder a la informacin. La seguridad que se implementar debe asegurar que solo las personas tengan acceso a la informacin que fueron autorizados. Integridad: Certificar la proteccin de la informacin en cuanto a la exactitud y totalidad de los datos y los mtodos de procesamiento ingresados por los usuarios con acceso autorizado. La prdida de integridad en la informacin puede deberse a errores humanos, modificaciones intencionales, o alguna

contingencia por mtodos inusuales y al modificar estos datos inapropiadamente, estos se convierten en defectuosos, y en ocasiones peligrosos para el negocio y la toma de decisiones. Disponibilidad: Certificar que los usuarios previamente autorizados a la informacin y sus activos asociados tengan acceso cuando lo requieran. Los recursos deben estar disponibles cuando se necesite usarlos.

Debe incluir:
objetivos y alcance generales de seguridad apoyo expreso de la direccin breve explicacin de los valores de seguridad de la organizacin definicin de las responsabilidades generales y especficas en materia de gestin de la seguridad de la informacin referencias a documentos que puedan respaldar la poltica

ESTRUCTURA DE ESTE ESTNDAR

Esta norma ISO 27002 contiene 11 dominios de control y controles de seguridad de la informacin, los cuales contienen un total de 39 sub dominios principales de seguridad.

DOMINIOS

Cada dominio contiene un nmero de dominios de seguridad. Estos 11 dominios son: 1. 2. 3. 4. 5. 6. 7. 8. Poltica de seguridad (1 control) Organizando la seguridad de informacin (2 controles) Gestin de activos (2 controles) Seguridad ligada a recursos humanos (3 controles) Seguridad fsica y ambiental (2 controles) Gestin de comunicaciones y operaciones (10 controles) Control de acceso (7 controles) Adquisicin, desarrollo y mantenimiento de sistemas de informacin (6 controles) 9. Gestin de incidentes de los sistemas de informacin (2 controles) 10. Gestin de la continuidad del negocio (1 control) 11. Cumplimento

Es poltica de la compaa: Eficacia:

Garantizar que toda la informacin utilizada es necesaria y til para el desarrollo de los negocios.

Eficiencia:
Asegurar que el procesamiento de la informacin se realice mediante una ptima utilizacin de los recursos humanos y materiales.

Confiabilidad:
Garantizar que los sistemas informticos brindan informacin correcta para ser utilizada en la operatoria de cada uno de los procesos.

Los dominios de control de ISO 27002:2005

Integridad:
Asegurar que sea procesada toda la informacin necesaria y suficiente para la marcha de los negocios en cada uno de los sistemas informticos y procesos transaccionales.

1. Poltica de seguridad (1 control)

Nivel gerencial debe: aprobar y publicar la poltica de seguridad comunicarlo a todos los empleados

Exactitud:
Asegurar que toda la informacin se encuentre libre de errores y Io irregularidades de cualquier tipo.

2. Organizando la seguridad de informacin (2 controles)

Infraestructura de seguridad de la informacin:
Debe establecerse un marco gerencial para iniciar y controlar la implementacin. Deben establecerse adecuados foros de gestin de seguridad que asignen responsabilidades para cada usuario en la organizacin. Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas

Disponibilidad:
Garantizar que la informacin y la capacidad de su procesamiento manual y automtico, sean resguardadas y recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de los negocios.

Legalidad:
Asegurar que toda la informacin y los medios fsicos que la contienen, procesen y Io transporte, cumplan con las regulaciones legales vigentes en cada mbito.

Foros de Gestin: Comit de Seguridad

aprobar la poltica de seguridad de la informacin asignar funciones de seguridad actualizarse ante cambios coordinar la implementacin definir metodologas y procesos especficos de seguridad monitorear incidentes de seguridad lidera el proceso de concientizacin de usuarios

Confidencialidad:
Garantizar que toda la informacin est protegida del uso no autorizado, revelaciones accidentales, espionaje industrial, violacin de la privacidad y otras acciones similares de accesos de terceros no permitidos.

Autorizacin:
Garantizar que todos los accesos a datos y Io transacciones que los utilicen cumplan con los niveles de autorizacin correspondientes para su utilizacin y divulgacin.

Principales Roles y Funciones

Proteccin Fsica:
Garantizar que todos los medios de procesamiento yIo conservacin de informacin cuentan con medidas de proteccin fsica que eviten el acceso y Io utilizacin indebida por personal no autorizado.

Propiedad:
Asegurar que todos los derechos de propiedad sobre la informacin utilizada por todos sus empleados en el desarrollo de sus tareas, estn adecuadamente establecidos a favor de la compaa.

Seguridad frente al acceso por parte de terceros:

El acceso por parte de terceros debe ser controlado.

Debe llevarse

cabo una evaluacin

de riesgos:

determinar las incidencias en la seguridad y los requerimientos de control. Los controles deben ser acordados y definidos en un contrato con la tercera parte.

Designar al responsable de cada recurso o proceso de seguridad y se deben documentar los detalles de esta responsabilidad. Los niveles de autorizacin deben ser claramente definidos y documentados.

Tipos de terceros:
Personal de mantenimiento y soporte de hardware y software pasantas de estudiantes y otras designaciones contingentes de corto plazo consultores.

Clasificacin de la informacin:
Garantizar que los recursos de informacin reciban un apropiado nivel de proteccin. Se debe utilizar un sistema de clasificacin de la informacin para definir un conjunto apropiado de niveles de proteccin y comunicar la necesidad de medidas de tratamiento especial. La informacin debe ser clasificada para sealar: la necesidad, las prioridades y el grado de proteccin.

3. Gestin de activos
Hacer un Inventario de los Activos de Informacin Designar a un propietario para cada uno de ellos Hacer la Clasificacin de la informacin

Pautas de clasificacin:
Considerar las necesidades de la empresa con respecto a la distribucin (uso compartido) o restriccin de la informacin, e incidencia de dichas necesidades en las actividades de la organizacin. La informacin deja de ser sensible o crtica despus de un cierto perodo de tiempo. La clasificacin por exceso puede traducirse en gastos adicionales innecesarios para la organizacin. La informacin y las salidas de los sistemas que administran datos clasificados deben ser rotuladas segn su valor y grado de sensibilidad para la organizacin. Se debe considerar el nmero de categoras de clasificacin. La responsabilidad por la definicin de la clasificacin debe ser asignada al propietario designado de la informacin.

Inventario:
Cada activo debe ser claramente identificado y su propietario y clasificacin en cuanto a seguridad deben ser acordados y documentados, unto con la ubicacin vigente del mismo

Ejemplos: Recursos de informacin: bases

de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, informacin archivada;

Recursos de software: software de aplicaciones, software de sistemas,

herramientas de desarrollo y utilitarios;

4. Seguridad de los recursos humanos

Seguridad en la definicin de puestos de trabajo y la asignacin de recursos Las responsabilidades en materia de seguridad deben ser:

Designar a un propietario para cada recurso de informacin:

Identificarse claramente los diversos recursos y procesos de seguridad relacionados con cada uno de los sistemas.

explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeo como empleado. Capacitacin del usuario Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y estn capacitados para respaldar la poltica de seguridad de la organizacin en el transcurso de sus tareas normales. Respuesta a incidentes y anomalas en materia de seguridad Minimizar el dao producido por incidentes y anomalas en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos. Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las polticas y procedimientos de seguridad de la organizacin.

Ejemplos: Suministro de energa:

Asegurar el suministro permanente de corriente elctrica, instalando UPS y generadores alternativos. Asegurar el combustible necesario para dichos generadores.

Escritorios y pantallas limpias:

Sobre los escritorios no deben de quedar papeles sensibles. Las pantallas deben quedar protegidas con protectores de pantalla con contrasea.

Retiro de bienes:
Establecer polticas de retiros de bienes de la compaa, ya sea por reparacin, mantenimiento, trabajos fuera de la oficina, etc.

6. Gestin de operaciones y comunicaciones

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Se deben establecer las responsabilidades y procedimientos para la gestin y operacin de todas las instalaciones de procesamiento de informacin. Se debeimplementar laseparacin de funciones cuando corresponda. Se deben documentar los procedimientos de operacin Separacin entre instalaciones de desarrollo e instalaciones operativas

5. Proteccin fsica y ambiental

Impedir accesos no autorizados, daos e interferencia a: Sedes Instalaciones Informacin Permetro de seguridad fsica Controles de acceso fsico Seguridad del equipamiento Suministros de energa Cableado de energa elctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del mbito de la organizacin Polticas de escritorios y pantallas limpias Retiro de bienes

Deben separarse las instalaciones de:

Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo.

Procesos I Procedimientos de:

Planificacin y aprobacin de sistemas

 Proteccin contra software malicioso Administracin de la red Administracin y seguridad de los medios de almacenamiento Acuerdos de intercambio de informacin y software

Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de informacin. Seguridad en los sistemas de aplicacin Se deben disear en los sistemas de aplicacin, incluyendo las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: la validacin de datos de entrada, procesamiento interno, y salidas.

7.- Control de acceso

Requerimientos de negocio para el control de accesos:
Coherencia entre las polticas de control de acceso y de clasificacin de informacin de los diferentes sistemas y redes

Administracin de accesos de usuarios:

Se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas y servicios de informacin. Administracin de accesos de usuarios Administracin de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticacin de usuariosparaconexiones externas Monitoreo del acceso y uso de los sistemas

9.- Gestin de incidentes de seguridad dela informacion

Garantizar que los eventos de seguridad de la informacin y las debilidades asociadas a los sistemas de informacin sean comunicados para que puedan ser corregidos en tiempo y forma. Reporte de eventos de seguridad de la informacin. Reporte de las debilidades de la seguridad Gestin de incidentes y mejoras Recoleccin de evidencia

10.- Gestin de la Continuidad del Negocio

Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos crticos del negocio de los efectos de fallas significativas o desastres. Se debe implementar un proceso de administracin de la continuidad del negocio Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio. Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos.

Ejemplo: Camino forzado:

Forzar al usuario a seguir una ruta de men preestablecida hasta llegar al recuso y Ia transaccin solicitada sin la posibilidad de evitar algn paso previo.

8.- Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin

Requerimientos de seguridad de los sistemas.
Asegurar que la seguridad es incorporada a los sistemas de informacin.

 Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administracin y gestin. La administracin de la continuidad del negocio debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudacin oportuna de las operaciones indispensables. Principales etapas: Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia Documentacin del plan de recupero

Adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el perodo en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de informacin cumplan con los estndares o cdigos de prctica relativos a la produccin de evidencia vlida.

Revisiones de la poltica compatibilidad tcnica:

de

seguridad

la

Garantizar la compatibilidad de los sistemas con las polticas y estndares (normas) de seguridad de la organizacin.

11.- cumplimiento
Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la organizacin. Maximizar la efectividad y minimizar las interferencias de los procesos de auditora de sistemas

Auditoria de sistemas:
Optimizar la eficacia del proceso de auditora de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.

Recoleccin de evidencia:
La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas especficas del tribunal en el cual se desarrollar el caso: Validez de la evidencia: si puede o no utilizarse la misma en el tribunal

Peso de la evidencia:
la calidad y totalidad de la misma