REPBLICA BOLIVARIANA DE VENEZUELA UNIVERSIDAD POLITCNICA DEL OESTE MARISCAL SUCRE PROGRAMA NACIONAL DE FORMACION EN INFORMTICA CTEDRA: AUDITORIA

DE SISTEMA PROFESOR: DANIEL FUENTES

SEGURIDAD DE LA INFORMACION ( MEJORES PRACTICAS SEALADAS POR ISO 27001 Y ISO 17799)

Autor(es): Contreras Jos. C.I.: 16.599.657 Delgado Melvin. C.I.: 16.735.575 Ramrez Yaneth. C.I.: 17.488.210 Roa Ral. C.I.: 17.906.912 Villarreal Yefreson. C.I.: 16.936.626

Caracas, Noviembre de 2012

INDICE

Introduccin----------------------------------------------------------------------------------------iii Seguridad de la Informacin-------------------------------------------------------------------5 Objetivos General de la Seguridad de la Informacin---------------------------------- 6 Objetivos Especficos De La Seguridad De La Informacin---------------------------6 Familia Iso 27000----------------------------------------------------------------------------6 Iso 27001---------------------------------------------------------------------------------------7 Beneficios De La Norma Iso 27001-----------------------------------------------------9 Enfoque Del Proceso-----------------------------------------------------------------------9 Estndar Internacional Adopta El Modelo Del Proceso (Pdca) ----------------10 Arranque Del Proyecto------------------------------------------------------------------------11 Planificacin---------------------------------------------------------------------------- ---------11 Implementacin (Hacer) --------------------------------------------------------------------- 14 Seguimiento (Chequear) ---------------------------------------------------------------------15 Mejora Continua (Actuar) --------------------------------------------------------------------16 Iso/Iec 17799-------------------------------------------------------------------------------------17 Aplicacin De La Norma Iso 17799--------------------------------------------------------19 Clusulas Del Estndar Y Sus Categoras De Seguridad----------------------------19 Polticas De Seguridad------------------------------------------------------------------------19 Documento De La Poltica De Seguridad.------------------------------------------------19 Organizacin De La Poltica De Seguridad.---------------------------------------------20 Compromiso De La Gerencia Con La Seguridad De La Informacin-------------21 Lineamiento De Implementacin----------------------------------------------------------- 21 Identificacin De Los Riesgos Relacionados Con Los Grupos Externos---------22 Lineamiento De Implementacin----------------------------------------------------------- 22 Gestin De Activos-----------------------------------------------------------------------------24 Inventario De Los Activos-------------------------------------------------------------------- 24

Propiedad de Los Activos---------------------------------------------------------------------25 Lineamiento de Implementacin------------------------------------------------------------25 Seguridad de Recursos Humanos.---------------------------------------------------------25 Roles y Responsabilidades------------------------------------------------------------------ 26 Lineamiento de Implementacin------------------------------------------------------------26 Responsabilidades de La Gerencia--------------------------------------------------------27 Conocimiento, Educacin Y Capacitacin En Seguridad De La Informacin---27 Control---------------------------------------------------------------------------------------------27 Lineamiento de Implementacin------------------------------------------------------------27 Seguridad Fsica y Ambiental----------------------------------------------------------------27 Permetro de Seguridad Fsica--------------------------------------------------------------28 Lineamiento de Implementacin------------------------------------------------------------28 Gestin de Comunicaciones y Operaciones---------------------------------------------29 Procedimientos de Operacin Documentados-----------------------------------------29 Gestin del Cambio----------------------------------------------------------------------------29 Separacin de los Medios de Desarrollo, Prueba y Operacin---------------------30 Lineamiento De Implementacin-----------------------------------------------------------30 Control del Acceso-----------------------------------------------------------------------------30 Poltica de Control Del Acceso--------------------------------------------------------------30 Lineamiento de Implementacin------------------------------------------------------------30 La Poltica Debiera Tomar en Cuenta lo Siguiente------------------------------------ 31 Registro del Usuario--------------------------------------------------------------------------- 31 Control de Acceso a la Red-----------------------------------------------------------------32 Adquisicin, Desarrollo Y Mantenimiento De Los Sistemas De Informacin----32 Requerimientos De Seguridad De Los Sistemas De Informacin Objetivo------32

Gestin De Un Incidente En La Seguridad De La Informacin Reporte De Los Eventos Y Debilidades De La Seguridad De La Informacin.-----------------------33 Gestin de la Continuidad del Negocio---------------------------------------------------33 Cumplimiento de Los Requerimientos Legales-----------------------------------------34 Identificacin de La Legislacin Aplicable Control-------------------------------------35 Lineamiento de Implementacin------------------------------------------------------------35 Conclusin--------------------------------------------------------------------------------------- 36

INTRODUCCION

La seguridad de la informacin es el conjunto de reglas, planes y acciones que permiten asegurar la informacin manteniendo las propiedades de Confiabilidad, Integridad y disponibilidad; la informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin.

Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. Existe un conjunto de estndares desarrollados e por IEC ISO (International (International

OrganizationforStandardization)

ElectrotechnicalCommission) estos estndares se denominan ISO/IEC 27000, que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.

A continuacin se tomaran en cuenta en el siguiente informe las normas basadas en ISO 27001 e ISO 17799 ya que son la ms importante de la familia ISO 27000 las mismas poseen normas de buenas prcticas para la realizacin de un Sistema de Gestin de Seguridad de la Informacin, cuyo objetivo fundamental es proteger la informacin de su organizacin para que no caiga en manos incorrectas o se pierda para siempre, trayendo como beneficio la reduccin de los costos vinculados a incidentes, posibilidad de disminucin de las primas de seguro, mejora del conocimiento de los sistemas de informacin, sus problemas y los medios de proteccin, entre otros.

Seguridad de la informacin El trmino de seguridad de informacin (SI) surge por la necesidad de proteger la informacin y a los sistemas que la administran, bien sean fsicos o informticos. La seguridad de la informacin es el conjunto de reglas, planes y acciones que permiten asegurar la informacin manteniendo las propiedades de Confiabilidad, Integridad y disponibilidad.

Tambin es el estudio de los mtodos y medios de proteccin de los sistemas de informacin y comunicaciones frente a revelaciones, modificaciones o destrucciones de la informacin, o ante fallos de proceso, almacenamiento o transmisin de dicha informacin, que tienen lugar de forma accidental o intencionada.

La seguridad de la informacin se caracteriza como la proteccin frente a las amenazas de la: Confidencialidad: Que garantiza que la informacin es accesible exclusivamente a quien est autorizado. Integridad: Que protege la exactitud y totalidad de la informacin y sus mtodos de proceso. Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a lainformacin y a los recursos relacionados.

Objetivos general de la seguridad de la informacin

Es proteger adecuadamente los activos para asegurar la continuidaddel negocio, minimizar losdaos a la organizacin ymaximizar el retorno de lasinversiones y las oportunidades desde negocio.

Objetivos Especficos de la seguridad de la informacin Asegurar la continuidad de la empresa. Mantener la competitividad, la rentabilidad, los recursos generales, el cumplimiento de las leyes y la imagen comercial. Minimizar el riesgo. Maximizar las oportunidades del negocio.

Familia ISO 27000 SERIE ISO 27000 La ISO 27000 es realmente una serie de estndares desarrollados, por ISO (International OrganizationforStandardization) e IEC (International

ElectrotechnicalCommission) En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Esta ISO Contiene trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos

y de gestin, que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.

ISO 27001

El estndar para la seguridad de la informacin ISO/IEC 27001 (Informationtechnology Security techniques -

Informationsecuritymanagementsystems - Requirements) fue aprobado y publicado como estndar internacional en octubre de 2005 por International OrganizationforStandardization ElectrotechnicalCommission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British StandardsInstitution (BSI). La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de informacin y sus procesos de trabajo a las exigencias de las normativas legales de proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de desarrollo, siendo el ms importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgnica y por la comisin International

de Proteccin de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la informacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002, partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantacin debe estar formado por representantes de todas las reas de la organizacin que se vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados en seguridad informtica generalmente Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin (que hayan realizado un curso de implantador de SGSI). La certificacin de un SGSI es un proceso mediante el cual una entidad de certificacin externa, independiente y acreditada audita el sistema,

determinando su conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran certificadas segn el estndar britnico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificacin ISO/IEC 27001 en su primera certificacin con xito o mediante su recertificacin trienal, puesto que la certificacin BS 7799-2 ha quedado reemplazada.

Este estndar ha sido preparado para proporcionar y promover un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar in Sistema de Gestin de Seguridad de Informacin. La adopcin de este estndar diseo e implementacin debe ser tomada en cuenta como una decisin estratgica para la organizacin; se pretende que el SGSI se extienda con el tiempo en relacin a las necesidades de la organizacin. El SGSI puede ser utilizado por entidades internas y externas para evaluar la conformidad.

BENEFICIOS DE LA NORMA ISO 27001: Establecimiento de una metodologa de gestin de la seguridad de la informacin clara y bien estructurada. Reduccin de riesgos de prdida, robo o corrupcin de la informacin. Los usuarios tienen acceso a la informacin de manera segura, lo que se traduce en confianza. Los riesgos y sus respectivos controles son revisados constantemente. Las auditoras externas e internas permiten identificar posibles debilidades del sistema. Continuidad en las operaciones del negocio tras incidentes de gravedad. Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestin de informacin. Incrementa el nivel de concientizacin del personal con respecto a los tpicos de seguridad informtica. Proporciona confianza y reglas claras al personal de la empresa.

ENFOQUE DEL PROCESO Las organizaciones necesitan identificar y manejar muchas actividades para poder funcionar de manera eficiente. Las actividades que necesitan recurso y es manejada para la transformacin de insumos outputs es considerado como un proceso. El enfoque del proceso para la gestin de la seguridad de la informacin presentado en este estndar internacional fomenta que sus usuarios enfaticen la importancia de: Entender los requerimientos de seguridad de la informacin de una organizacin y la necesidad de establecer una poltica y objetivos para la seguridad de la informacin. Implementar y operar controles para manejar los riesgos de la seguridad de la informacin.

Monitorear y revisar el desempeo del SGSI Mejoramiento continuo en base a la medicin del objetivo

Este Estndar Internacional adopta el modelo del proceso (PDCA): Planear Hacer Chequear Actuar

Arranque del proyecto

 Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la organizacin. No slo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la Direccin. Planificacin, fechas, responsables: como en todo proyecto de

envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

Planificacin

Definir alcance del SGSI: en funcin de caractersticas del negocio,

organizacin, localizacin, activos y tecnologa, definir el alcance y los lmites del SGSI (el SGSI no tiene por qu abarcar toda la organizacin; de hecho, es recomendable empezar por un alcance limitado. Definir poltica de seguridad: que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, est alineada con la gestin de riesgo general, establezca criterios de evaluacin de riesgo y sea aprobada por la Direccin. La poltica de seguridad es un documento muy general, una especie de "declaracin de intenciones" de la Direccin, por lo que no pasar de dos o tres pginas. Definir el enfoque de evaluacin de riesgos: definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologas de evaluacin de riesgos aceptadas internacionalmente; la organizacin puede optar por una de ellas, hacer una combinacin de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cmo definirla (en el futuro, ISO 27005 proporcionar ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sera rentable hacerlo-, por lo que es necesario definir una estrategia de aceptacin de riesgo.

Inventario de activos: todos aquellos activos de informacin que tienen

algn valor para la organizacin y que quedan dentro del alcance del SGSI.

Identificar amenazas y vulnerabilidades: todas las que afectan a los

activos del inventario.

Identificar los impactos: los que podra suponer una prdida de la

confidencialidad, la integridad o la disponibilidad de cada uno de los activos.

 Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los niveles definidos previamente) o requiere tratamiento. Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing). Seleccin de controles: seleccionar controles para el tratamiento el riesgo en funcin de la evaluacin anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrn de ser justificadas) y otros controles adicionales si se consideran necesarios. Aprobacin por parte de la Direccin del riesgo residual y autorizacin de implantar el SGSI: hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo la Direccin puede tomar decisiones sobre su aceptacin o tratamiento. El riesgo residual es el que queda, an despus de haber aplicado controles (el "riesgo cero" no existe prcticamente en ningn caso).

Confeccionar una Declaracin de Aplicabilidad: la llamada SOA

(Statement of Applicability) es una lista de todos los controles seleccionados y la razn de su seleccin, los controles actualmente implementados y la justificacin de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

Implementacin (Hacer)

Definir plan de tratamiento de riesgos: que identifique las acciones,

recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin.

Implantar plan de tratamiento de riesgos: con la meta de alcanzar los

objetivos de control identificados.

Implementar los controles: todos los que se seleccionaron en la fase

anterior.

Formacin y concienciacin: de todo el personal en lo relativo a la

seguridad de la informacin.

Desarrollo

del

marco

normativo

necesario:

normas, manuales,

procedimientos e instrucciones. Gestionar las operaciones del SGSI y todos los recursos que se le asignen.

 Implantar procedimientos y controles de deteccin y respuesta a incidentes de seguridad.

Seguimiento (Chequear)

Ejecutar procedimientos y controles de monitorizacin y revisin: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la informacin estn desarrollndose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces. Revisar regularmente la eficacia del SGSI: en funcin de los resultados de auditoras de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados. Medir la eficacia de los controles: para verificar que se cumple con los

requisitos de seguridad. Revisar regularmente la evaluacin de riesgos: los cambios en la

organizacin, tecnologa, procesos y objetivos de negocio, amenazas, eficacia

de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado. Realizar regularmente auditoras internas: para determinar si los

controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organizacin, estn implementados y mantenidos con eficacia y tienen el rendimiento esperado. Revisar regularmente el SGSI por parte de la Direccin: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la poltica de seguridad o a los objetivos de seguridad de la informacin. Actualizar planes de seguridad: teniendo en cuenta los resultados de la

monitorizacin y las revisiones. Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

Mejora Continua (Actuar)

Implantar mejoras: poner en marcha todas las mejoras que se hayan

propuesto en la fase anterior.

 Acciones correctivas: para solucionar no conformidades detectadas. Acciones preventivas: para prevenir potenciales no conformidades. Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier accin, medida o cambio debe comprobarse siempre.

ISO/IEC 17799

Denominada tambin como ISO 27002 es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por la International OrganizationforStandardization y por la Comisin Electrotcnica Internacional en el ao2000, con el ttulo de Informationtechnology - Security techniques - Code of practiceforinformationsecuritymanagement. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en1995.

ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como "la preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran)".

La versin de 2005 del estndar incluye las siguientes once secciones principales: 1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin. 3. Gestin de Activos de Informacin. 4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental. 6. Gestin de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento.

Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades.

Con la aprobacin de la norma ISO/IEZAC 27001 en octubre de 2005 y la reserva de la numeracin 27.000 para la seguridad de la informacin, se espera que IGFSO/DIEC 17799:2005 pase a ser renombrado como ISO/IECCZ 27002 en la revisin y actualizacin de sus contenidos en el 2007.

La norma ISO/IEC 17799 es una gua de buenas prcticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificacin adecuado para este documento. Es consistente con las mejores prcticas descritas en ISO/IEC 17799 y tiene su origen en la norma britnica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el propsito de poder certificar los Sistemas de Gestin de la Seguridad de la Informacin implantados en las organizaciones y por medio de un proceso formal de auditora realizado por un tercero.

APLICACIN DE LA NORMA ISO 17799 Clusulas del Estndar y sus Categoras de Seguridad Polticas de Seguridad. La gerencia debiera establecer claramente la direccin de la poltica en lnea con los objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la informacin, a travs de la emisin y mantenimiento de una poltica de seguridad de la informacin en toda la organizacin.

Documento de la poltica de seguridad. El documento que contenga la poltica de seguridad deber ser aprobado por la gerencia, y publicado y comunicado a todos los empleados y las partes externas relevantes.

Implantacin de la poltica de seguridad El documento de la poltica de seguridad de la informacin debiera enunciar el compromiso de la gerencia y establecer el enfoque de la organizacin para manejar la seguridad de la informacin. Deber contener:

a) una definicin de seguridad de la informacin, sus objetivos y alcance generales; b) un enunciado de la intencin de la gerencia, fundamentando sus objetivos y los principios de la seguridad de la informacin en lnea con la estrategia y los objetivos comerciales; c) un marco referencial para establecer los objetivos de control y los controles incluyendo la gestin de riesgo. d) una explicacin breve de las polticas, principios, estndares y

requerimientos de conformidad de la seguridad de particular importancia, incluyendo: 1. conformidad con los requerimientos legislativos y reguladores. 2. educacin, capacitacin y conocimiento de seguridad, 3. gestin de la continuidad del negocio, 4. consecuencias de las violaciones de la poltica de seguridad de la informacin; e) una definicin de las responsabilidades generales y especficas para la gestin de la seguridad de la informacin incluyendo el reporte de incidentes de seguridad de la informacin, f) referencias a la documentacin que fundamenta la poltica; por ejemplo, polticas y procedimientos de seguridad ms detallados para sistemas de informacin especficos o reglas de seguridad que los usuarios debieran observar. Organizacin de la poltica de seguridad. La gerencia debiera aprobar la poltica de seguridad de la informacin, asignar los roles de seguridad y coordinar y revisar la implementacin de la seguridad en toda la organizacin.

Compromiso de la gerencia con la seguridad de la informacin La gerencia debiera apoyar activamente la seguridad dentro de la organizacin a travs de una direccin clara, compromiso demostrado, asignacin explcita y reconociendo las responsabilidades de la seguridad de la informacin. Lineamiento de implementacin La gerencia deber: a) asegurar que los objetivos de seguridad de la informacin estn identificados y cumplan con los requerimientos organizacionales. b) formular, revisar y aprobar la poltica de seguridad de la informacin; c) revisar la efectividad de la implementacin de la poltica de seguridad de la informacin; d) proporcionar una direccin clara y un apoyo gerencial visible para las iniciativas de seguridad; e) proporcionar los recursos necesarios para la seguridad de la informacin; f) aprobar la asignacin de roles y responsabilidades especficas para la seguridad de la informacin a lo largo de toda la organizacin; g) iniciar planes y programas para mantener la conciencia de seguridad de la informacin; h) asegurar que la implementacin de los controles de seguridad de la informacin sea coordinado en toda la organizacin. La gerencia debiera identificar las necesidades de consultora

especializada interna o externa para la seguridad de la informacin, y revisar y coordinar los resultados de la consultora a travs de toda la organizacin.

Dependiendo del tamao de la organizacin, estas responsabilidades podran ser manejadas por un foro gerencial dedicado o por un organismo gerencial existente, como la junta de directores.

Tpicamente, la coordinacin de la seguridad de la informacin debiera involucrar la cooperacin y colaboracin de los gerentes, usuarios,

administradores, diseadores de aplicacin, auditores y personal de seguridad, y capacidades especializadas en reas como seguros, temas legales, recursos humanos, TI o gestin del riesgo. Esta actividad debiera: a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con la poltica de seguridad de la informacin; b) identificar cmo manejar las no-conformidades; c) aprobar las metodologas y procesos para la seguridad de la informacin; d) identificar cambios significativos en las amenazas y la exposicin de la informacin y los medios de procesamiento de la informacin ante amenazas; e) promover de manera efectiva la educacin, capacitacin y conocimiento de la seguridad de la informacin a travs de toda la organizacin;

Identificacin de los riesgos relacionados con los grupos externos Se debieran identificar los riesgos para la informacin y los medios de procesamiento de la informacin de la organizacin a raz de procesos comerciales que involucran a grupos externos y se debieran implementar controles apropiados antes de otorgarles acceso. Lineamiento de implementacin La identificacin de los riesgos relacionados con el acceso del grupo externo toma en cuenta los siguientes puntos:

a) los medios de procesamiento de informacin a los cuales necesita tener acceso el grupo externo; b) el tipo de acceso que tendr el grupo externo a la informacin y los medios de procesamiento de la informacin; por ejemplo; 1) acceso fsico; por ejemplo, oficinas, edificios de cmputo, archivadores; 2) acceso lgico; por ejemplo, a las bases de datos o sistemas de informacin de la organizacin; 3) conectividad de red entre las redes de la organizacin y el grupo externo; por ejemplo, conexin permanente, acceso remoto; 4) si el acceso se da fuera o dentro del local; c) el valor y sensibilidad de la informacin involucrada, y su grado crtico para las operaciones comerciales; d) los controles necesarios para proteger la informacin que no est destinada a ser accesible para los grupos externos; e) el personal del grupo externo involucrado en el manejo de la informacin de la organizacin; f) cmo se puede identificar a la organizacin y el personal autorizado que tiene acceso, cmo verificar la autorizacin, y con cunta frecuencia se necesita reconfirmar esto; g) los diferentes medios y controles empleados por el grupo externo cuando almacena, procesa, comunica, comparte e intercambia informacin; h) el impacto del acceso no disponible para el grupo externo cuando lo requiere, y el grupo externo que ingresa o recibe informacin inexacta o confusa; i) prcticas y procedimientos para lidiar con los incidentes en la seguridad de la informacin y los daos potenciales, y los trminos y condiciones para la

continuacin del acceso del grupo externo en caso de un incidente en la seguridad de la informacin; j) requerimientos legales y reguladores y otras obligaciones contractuales relevantes que se debieran tomar en cuenta para el grupo externo; k) cmo los intereses de cualquier parte interesada pueden verse afectados por los arreglos.

Gestin de Activos Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementacin de controles especficos puede ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la proteccin apropiada de los activos.

Inventario de los activos Control Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de todos los activos importantes. Lineamiento de implementacin Una organizacin debiera identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debiera incluir toda la informacin necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicacin, informacin de respaldo, informacin de licencias y un valor comercial. El inventario no debiera duplicar

innecesariamente otros inventarios, pero se debiera asegurar que el contenido est alineado.

Propiedad de los activos Control Toda la informacin y los activos asociados con los medios de procesamiento de informacin debieran ser propiedad2 de una parte designada de la organizacin.

Lineamiento de implementacin El propietario del activo debiera ser responsable de: a) asegurar que la informacin y los activos asociados con los medios de procesamiento de la informacin sean clasificados apropiadamente; b) definir y revisar peridicamente las restricciones y clasificaciones de acceso, tomando en cuenta las polticas de control de acceso aplicables. La propiedad puede ser asignada a: a) un proceso comercial; b) un conjunto de actividades definido; c) una aplicacin; o d) un conjunto de data definido.

Seguridad de Recursos Humanos. Esta clusula establece que se debe asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.

Los empleados, contratistas y terceros usuarios de los medios de procesamiento de la informacin debieran firmar un acuerdo sobre sus roles y responsabilidades con relacin a la seguridad.

Roles y responsabilidades Control Se debieran definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la poltica de seguridad de la informacin de la organizacin.

Lineamiento de implementacin Los roles y responsabilidades debieran incluir requerimientos para: a) implementar y actuar en concordancia con las polticas de seguridad de la informacin de la organizacin (ver 5.1); b) proteger los activos contra el acceso, divulgacin, modificacin, destruccin o interferencia no autorizada; c) ejecutar procesos o actividades de seguridad particulares; d) asegurar que se asigne a la persona la responsabilidad por las acciones tomadas; e) reportar eventos de seguridad o eventos potenciales u otros riesgos de seguridad para la organizacin.

Responsabilidades de la gerencia Control La gerencia debiera requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con polticas y procedimientos bien establecidos por la organizacin. Conocimiento, educacin y capacitacin en seguridad de la informacin Control Todos los empleados de la organizacin y, cuando sea relevante, los contratistas y terceras personas debieran recibir una adecuada capacitacin en seguridad y actualizaciones regulares sobre las polticas y procedimientos organizacionales conforme sea relevante para su funcin laboral. Lineamiento de implementacin La capacitacin y el conocimiento debieran comenzar con un proceso de induccin formal diseado para introducir las polticas y expectativas de seguridad de la organizacin antes de otorgar acceso a la informacin o servicios. La capacitacin constante debiera incluir los requerimientos de seguridad, responsabilidades legales y controles comerciales, as como la capacitacin en el uso correcto de los medios de procesamiento de informacin; por ejemplo, procedimiento de registro, uso de paquetes de software e informacin sobre los procesos disciplinarios.

Seguridad fsica y Ambiental Se debe evitar el acceso fsico no autorizado, dao e interferencia con la informacin y los locales de la organizacin. Los medios de procesamiento de informacin crtica o confidencial debieran ubicarse en reas seguras, protegidas por los permetros de

seguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debieran estar fsicamente protegidos del acceso no autorizado, dao e interferencia.

Permetro de seguridad fsica Control Se debieran utilizar permetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las reas que contienen informacin y medios de procesamiento de informacin.

Control Las reas seguras debieran protegerse mediante controles de ingreso apropiados para asegurar que slo se le permita el acceso al personal autorizado. Lineamiento de implementacin Se debieran considerar los siguientes lineamientos: a) se debiera registrar la fecha y la hora de entrada y salida de los visitantes, y todos los visitantes debieran ser supervisados a no ser que su acceso haya sido previamente aprobado; slo se les debiera permitir acceso por propsitos especficos y autorizados y se debieran emitir las instrucciones sobre los requerimientos de seguridad del rea y sobre los procedimientos de emergencia; b) el acceso a reas donde se procesa o almacena informacin sensible se debiera controlar y restringir slo a personas autorizadas; se debieran utilizar controles de autenticacin; por ejemplo, tarjeta de control de acceso ms PIN;

para autorizar y validar todo los accesos; se debiera mantener un rastro de auditora de todos los accesos; c) se debiera requerir que todos los usuarios empleados, contratistas y terceras personas y todos los visitantes usen alguna forma de identificacin visible y se debiera notificar inmediatamente al personal de seguridad si se encuentra a un visitante no acompaado y cualquiera que no use una identificacin visible; d) al personal de servicio de apoyo de terceros se le debiera otorgar acceso restringido a las reas seguras o los medios de procesamiento de informacin confidencial, solo cuando sea necesario; este acceso debiera ser autorizado y monitoreado; e) los derechos de acceso a reas seguras debieran ser revisados y actualizados regularmente, y revocados cuando sea necesario.

Gestin de Comunicaciones y Operaciones Se debieran establecer las responsabilidades y procedimientos para la gestin y operacin de todos los medios de procesamiento de la informacin. Esto incluye el desarrollo de los procedimientos de operacin apropiados.

Procedimientos de operacin documentados Control Los procedimientos de operacin se debieran documentar, mantener y poner a disposicin de todos los usuarios que los necesiten. Gestin del cambio Control Se debieran controlar los cambios en los medios y sistemas de procesamiento de la informacin.

Separacin de los medios de desarrollo, prueba y operacin Control Los medios de desarrollo, prueba y operacin debieran estar separados para reducir los riesgos de acceso no-autorizado o cambios en el sistema operacional. Lineamiento de implementacin Se debiera identificar el nivel de separacin necesario entre los ambientes de desarrollo, prueba y operacin para evitar los problemas operacionales y se debieran implementar los controles apropiados. Control del acceso Se debiera controlar el acceso a la informacin, medios de

procesamiento de la informacin y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad. Las reglas de control del acceso debieran tomar en cuenta las polticas para la divulgacin y autorizacin de la informacin.

Poltica de control del acceso Control Se debiera establecer, documentar y revisar la poltica de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso. Lineamiento de implementacin Las reglas de control del acceso y los derechos para cada usuario o grupos de usuarios se debieran establecer claramente en la poltica de control de acceso. Los controles de acceso son tanto lgicos como fsicos (ver tambin la seccin 9) y estos debieran ser considerados juntos. Se debiera proporcionar

a los usuarios y proveedores del servicio un enunciado claro de los requerimientos comerciales que debieran cumplir los controles de acceso.

La poltica debiera tomar en cuenta lo siguiente: a) los requerimientos de seguridad de las aplicaciones comerciales

individuales; b) identificacin de toda la informacin relacionada con las aplicaciones

comerciales y los riesgos que enfrenta la informacin; c) d) las polticas para la divulgacin y autorizacin de la informacin; los perfiles de acceso de usuario estndar para puestos de trabajo

comunes en la organizacin; h) segregacin de roles del control del acceso; Gestin de acceso del usuario Se debieran establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios de informacin. Los procedimientos debieran abarcar todas las etapas en el ciclo de vida del acceso del usuario, desde el registro inicial de usuarios nuevos hasta el des-registro final de los usuarios que ya no requieren acceso a los sistemas y servicios de informacin. Cuando sea apropiado, se debiera prestar atencin especial a la necesidad de controlar la asignacin de derechos de acceso privilegiados, lo que permite a los usuarios superar los controles del sistema. Registro del usuario Control Debiera existir un procedimiento formal para el registro y des-registro del usuario para otorgar y revocar el acceso a todos los sistemas y servicios de informacin.

Control de acceso a la red El objetivo primordial es evitar el acceso no autorizado a los servicios de la red. Se debiera controlar el acceso a los servicios de redes internas y externas. El acceso del usuario a las redes y servicios de las redes no debieran comprometer la seguridad de los servicios de la red asegurando: a) que existan las interfaces apropiadas entre la red de la organizacin y las redes de otras organizaciones, y redes pblicas; b) se apliquen los mecanismos de autenticacin apropiados para los usuarios y el equipo; c) el control del acceso del usuario a la informacin sea obligatorio.

Adquisicin, desarrollo y mantenimiento de los sistemas de informacin Requerimientos de seguridad de los sistemas de informacinObjetivo: Garantizar que la seguridad sea una parte integral de los sistemas de informacin. Los sistemas de informacin incluyen sistemas de operacin,

infraestructura, aplicaciones comerciales, productos de venta masiva, servicios y aplicaciones desarrolladas por el usuario. El diseo e implementacin del sistema de informacin que soporta el proceso comercial puede ser crucial para la seguridad. Se debieran identificar y acordar los requerimientos de seguridad antes del desarrollo y/o implementacin de los sistemas de informacin.

Gestin de un incidente en la seguridad de la informacinReporte de los eventos y debilidades de la seguridad de la informacin.

Asegurar que los eventos y debilidades de la seguridad de la informacin asociados con los sistemas de informacin sean comunicados de una manera que permita que se realice una accin correctiva oportuna. Se debieran establecer procedimientos formales de reporte y de la intensificacin de un evento. Todos los usuarios empleados contratistas y terceros debieran estar al tanto de los procedimientos para el reporte de los diferentes tipos de eventos y debilidades que podran tener un impacto en la seguridad de los activos organizacionales. Se les debiera requerir que reporten cualquier evento y debilidad de la seguridad de la informacin lo ms rpidamente posible en el punto de contacto designado.

Gestin de la continuidad del negocio Aspectos de la seguridad de la informacin de la gestin de la continuidad del negocio Contraatacar las interrupciones a las actividades comerciales y proteger los procesos comerciales crticos de los efectos de fallas importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna. Se debiera implementar el proceso de gestin de la continuidad del negocio para minimizar el impacto sobre la organizacin y recuperarse de la prdidas de activos de informacin (lo cual puede ser resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable a travs de una combinacin de controles preventivos y de recuperacin. Este proceso debiera identificar los procesos comerciales crticos e integrar los requerimientos de gestin de la seguridad de la informacin de la continuidad del negocio con otros requerimientos de

continuidad

relacionados

con

aspectos

como

operaciones,

personal,

materiales, transporte y medios. Las consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la disponibilidad del servicio debieran estar sujetas a un anlisis del impacto comercial. Se debieran desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudacin oportuna de las operaciones esenciales. La seguridad de la informacin debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organizacin. La gestin de la continuidad del negocio debiera incluir controles para identificar y reducir los riesgos, adems del proceso general de evaluacin de riesgos, debiera limitar las consecuencias de incidentes dainos y asegurar que est disponible la informacin requerida para los procesos comerciales.

Cumplimiento de los requerimientos legales Objetivo: Evitar las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. El diseo, operacin, uso y gestin de los sistemas de informacin pueden estar sujetos a requerimientos de seguridad estatutarios, reguladores y contractuales. Se debiera buscar la asesora sobre los requerimientos legales especficos de los asesores legales de la organizacin o profesionales legales calificados adecuados. Los requerimientos legislativos varan de un pas a otro y pueden variar para la informacin creada en un pas que es transmitida a otro pas (es decir, flujo de data inter-fronteras).

Identificacin de la legislacin aplicableControl Se debiera definir explcitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes, y el enfoque de la organizacin para satisfacer esos requerimientos, para cada sistema de informacin y la organizacin.

Lineamiento de implementacin Similarmente, se debieran definir y documentar los controles y responsabilidades requerimientos. individuales especficos para satisfacer estos

CONCLUSION La informacin es un recurso, que como el resto de los activos, tiene valor para todo organismo y por consiguiente debe ser debidamente protegida. Las Polticas de Seguridad de la Informacin protegen a la misma de una amplia gama de amenazas, lo cual permite garantizar la continuidad de los sistemas de informacin, minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivos del organismo.

Definir, lograr, mantener y mejorar la seguridad de la informacin puede ser esencial para mantener una ventaja competitiva, rentabilidad, observancia legal e imagen comercial. Las organizaciones y sus sistemas y redes de informacin enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo fraude por computadora, espionaje, sabotaje, vandalismo, fuego o inundacin. Las causas de dao como cdigo malicioso, pirateo computarizado o negacin de ataques de servicio se hacen cada vez ms comunes, ms ambiciosas y cada vez ms sofisticadas.

La seguridad de la informacin es importante tanto para negocios del sector pblico como privado, y para proteger las infraestructuras crticas. En ambos sectores, la seguridad de la informacin funcionar como un facilitador; para evitar o reducir los riesgos relevantes.

Para

lograr

estos

objetivos,

existen

organizaciones

entes

especializados en redactar estndares necesarios y especiales para el resguardo y seguridad de la informacin, estos estndares son llamado o reconocidos como ISO y como lo mencionamos anteriormente en el resumen los ms importante de la familia ISO/IEC 27000 tenemos la ISO 27001 que permite a las organizaciones evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la informacin teniendo como objetivo fundamental proteger la

informacin de su organizacin para que no caiga en manos incorrectas o se pierda para siempre por otra parte tenemos la ISO 17799 esta ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin y tiene como objetivo proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la seguridad y que a diferencia de la norma ISO 27001 no es certificable y cabe destacar que tambin es denominada como ISO 27002.

En definitiva la ISO 27001 y 27002 establecen los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestin de la seguridad de la informacin en una organizacin. Los objetivos delineados en este Estndar Internacional proporcionan un lineamiento general sobre los objetivos de gestin de seguridad de la informacin generalmente aceptados.