Analiza estándares internacionales de seguridad informática BS 17799

:

Es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

Serie ISO 27000 La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). la mayoría de estas normas se encuentran en preparación e incluyen: ISO/IEC 27000 - es un vocabulario estandard para el SGSI. Se encuentra en desarrollo actualmente. ISO 27001 El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

1

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 77992:2002, ISO 27002

ISO / IEC 27002 es un estándar de seguridad de la información publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), titulada Tecnología de la información - Técnicas de seguridad -Código de buenas prácticas para la gestión de seguridad de la información. BRA ISO / IEC 27002:2005 se ha desarrollado a partir de BS7799, publicado a mediados de la década de 1990. La norma británica fue adoptada por la norma ISO / IEC comoISO / IEC 17799:2000, revisado en 2005, y pasa a ser (pero por lo demás sin cambios)en 2007 para alinear con la otra la norma ISO / IEC 27000 de la serie de normas.

La seguridad informática comprende software. ya sea de manera personal.Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005. es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información). resguardar y recuperar dentro de las redes empresariales. 2 Seguridad en el área de la informática La seguridad son aquellas reglas técnicas y/o actividades destinadas a prevenir. bases de datos. . La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de normalización británica. reglas. la seguridad informática pasó de ser una sub-especialidad oscura y exclusivamente técnica dentro del campo de la informática. es decir. grupal o empresarial. pérdida o daño. La evolución de la Seguridad Informática A lo largo de los años. archivos y todo lo que la organización valore en sus activos y signifique un riesgo si ésta llega a manos de otras personas. que no estén dañados o alterados por circunstancias o factores externos. Seguridad de la información se define en el estándar en el contexto de la tríada de la CIA ISO 20000 La serie ISO/IEC 20000 . La seguridad garantiza que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos. En este sentido. protocolos. es la información el elemento principal a proteger. proteger y resguardar lo que es considerado como susceptible de robo. herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. Este tipo de información se conoce como información privilegiada o confidencial. implementar o mantener la seguridad de la información Sistemas de Gestión de la Información (ISMS). Para ello existen una serie de estándares. métodos. la British Standards Institution (BSI) SEGURIDAD INFORMÁTICA La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta. a volverse un actor central en la vida de la organización. metadatos.ISO / IEC 27002 proporciona recomendaciones de mejores prácticas en la gestión de seguridad de la información para su utilización por los responsables de iniciar.

Esta evolución de la seguridad de la información no se dio de la noche a la mañana. generaron nuevas formas de hacer negocios. . el riesgo de tecnología se vuelve especialmente relevante. siendo parte fundamental del conjunto de temas a entender y atender por parte de todo gerente de tecnología. En este sentido. entre los que se encuentran: * La información contenida Se ha convertido en uno de los elementos más importantes dentro de una organización. debido a su alta dependencia tecnológica. surge por la existencia de personas ajenas a la información.La aparición de los servicios en línea. Estas personas pueden incluso formar parte del personal administrativo o de sistemas. y la integración vertical y horizontal de las organizaciones a través de las TICs. y porque no existe conocimiento relacionado con la planeación adecuada y eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. que buscan tener acceso a la red empresarial para modificar. más de 70 por ciento de las Violaciones e intrusiones a los recursos informáticos se realiza por el personal interno. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada. Hoy en día. la seguridad de la información tiene una gran importancia para las organizaciones modernas y está embebida en todos los aspectos de operaciones de un área de tecnología. La seguridad informática debe ser administrada según los criterios establecidos por los administradores y supervisores. y se puede dividir en tres grandes etapas: La etapa de los Modelos Formales de Seguridad. sustraer o borrar datos. pero más importante aún. debido a su importancia estratégica para la supervivencia de la organización. las organizaciones incorporan la gestión del riesgo como parte de sus prácticas de buen gobierno corporativo y. Esta situación se presenta gracias a los diseños ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial. una de las formas más importantes de manejar el riesgo de tecnología es a través de la seguridad de la información. Por ello. de cualquier compañía. 3 Objetivo de la seguridad Informática La seguridad informática está concebida para proteger los activos informáticos. La etapa de los Estándares y Mejores prácticas de Seguridad y La etapa de la Seguridad Estratégica Importancia de la Seguridad en el área de la informática. metodologías y tiene acceso a la información sensible de su empresa. también conocidas como piratas informáticos o hackers. evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. pero también nuevos riesgos para las organizaciones. a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización. debido a que éste conoce los procesos. ocasionando lecturas erradas o incompletas de la misma. es discutida en ámbitos de la alta gerencia organizacional. de acuerdo con expertos en el área. atentados o desastres. incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno. es decir.

. sustitución o remoción. es decir. planes de emergencia. c) Disponibilidad: La información debe llegar a su destino en el momento oportuno y preciso. Toda la información no debe ser vista por todos los usuarios. . * Perdida de Confidencialidad es igual a la Perdida de Secreto. así como para el funcionamiento mismo de la organización.* La infraestructura computacional Una parte fundamental para el almacenamiento y gestión de la información. . . zona de comunicaciones y que gestionan la información. Estas normas incluyen horarios de funcionamiento. Principios Básicos de la Seguridad de la Información a) Integridad: Permite garantizar que la información no sea alterada. fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática. boicot. 4 La disponibilidad permite que: La información se use cuando sea necesario. denegaciones. incendios. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática.Que esté al alcance de los usuarios. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos. * La información confidencial se debe guardar con seguridad sin divulgar a personas no autorizadas * Garantizar la confidencialidad es uno de los factores determinantes para la seguridad. Estar íntegra: significa que esté en su estado original sin haber sido alterada por agentes no autorizados. protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la organización en general y como principal contribuyente al uso de programas realizados por programadores. restricciones a ciertos lugares. . que sea íntegra. * Los usuarios Son las personas que utilizan la estructura tecnológica. b) Confidencialidad: Se encarga y se asegura de proporcionar la información correcta a los usuarios correctos. desastres naturales.Cuando ocurren alteraciones en los elementos que soportan la información: alteración física y lógica en los medios de almacenaje. * El quiebre de la Integridad: . autorizaciones. falsificada y burlada.Ocurre cuando la información es corrompida.Que pueda ser accesada cuando se necesite. perfiles de usuario.Cuando ocurren alteraciones del contenido del documento: inserción.

Fijar rutas alternativas para el tránsito de la información.Definir estrategias para situaciones de contingencia.Configuración segura en el ambiente para una disponibilidad adecuada. * Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema.(en el caso de las comunicaciones). no se da cuenta o a propósito). etc. defacer. Tipos de amenazas * El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella. . Estos fenómenos pueden ser causados por: * El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa. . inundación): una mala manipulación o una malintención derivan a la pérdida del material o de los archivos. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. incendio. backups. todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos. una bomba lógica o un programa espía o Spyware. . . script kiddie o Script boy. las cuales son a menudo imprevisibles o inevitables. un troyano. * Un siniestro (robo. de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes. Las Amenazas Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras. con esto. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.Planeación de copias de seguridad.Garantías de la disponibilidad: . * El personal interno de Sistemas.). un gusano informático. * Amenazas Internas: son más serias que las externas. se puede hacer robo de información o alterar el funcionamiento de la red. Estos programas pueden ser un virus informático. viruxer. 5 * Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker.

En que Consiste: En la protección de barreras y procedimientos que resguarden el acceso a los datos y sólo permitan acceder a ellos a las personas autorizadas para hacerlo. Consecuencias de la falta de seguridad lógica * Cambio de los datos * Copias de programas y/o información * Código oculto en el programa * Entrada de virus 6 2) Seguridad Física En que consiste: Consiste en la aplicación de barreras físicas y procedimientos de control. Este tipo de seguridad se aplica colocando controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo. * Identificar individualmente a cada usuario y sus Actividades en el sistema. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. incendios accidentales tormentas e inundaciones. * Disturbios.* Amenazas externas: Son aquellas amenazas que se originan de afuera de la red Tipos de Seguridad Informática 1) Seguridad Lógica: Es la protección de la información. implementados para proteger el hardware y medios de almacenamiento de datos. sabotajes internos y externos deliberados. * Amenazas ocasionadas por el hombre. Se encarga de: * Controles de acceso para Salvaguardar la integridad de la información almacenada * Controlar y Salvaguardar la información generada. como medidas de prevención y contra medidas ante amenazas a los recursos e información confidencial. Principales amenazas que se prevén en la seguridad física * Desastres naturales. . en su propio medio contra robo o destrucción. copia o difusión.

Los medios para conseguirlo son: 1. Esto puede implicar que alguien dentro de la organización asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la información sobre ella. 6. por lo tanto. el sistema de gestión de incidentes necesita saber el valor de los sistemas de información que pueden ser potencialmente afectados por incidentes de seguridad. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. archivos y programas correctos en/y/por el procedimiento elegido. 3. pero de alta disponibilidad y los requisitos de integridad. un servidor Web público pueden poseer los requisitos de confidencialidad de baja (ya que toda la información es pública). Dentro de los Valores para el sistema se pueden distinguir: Confidencialidad de la información. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.s istema puede poseer alta puntaje en los tres variables. Para determinar el establecimiento de prioridades. Organizar a cada uno de los empleados por jerarquía informática. supongamos el siguiente ejemplo. la Integridad (aplicaciones e información) y finalmente la Disponibilidad del sistema. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que se utilicen los datos. En contraste.Análisis de riesgos El activo más importante que se posee es la información y. deben existir técnicas que la aseguren. Consideraciones Generales . Los incidentes individuales pueden variar ampliamente en términos de alcance e importancia. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). 4. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. 7. 8. Cada uno de estos valores es un sistema independiente del negocio. Análisis de impacto al negocio 7 El reto es asignar estratégicamente los recursos para equipo de seguridad y bienes que intervengan. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. un sistema de planificación de recursos empresariales (ERP). 5. con claves distintas y permisos bien establecidos. en todos y cada uno de los sistemas o aplicaciones empleadas. basándose en el impacto potencial para el negocio. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. respecto a los diversos incidentes que se deben resolver. 2.

En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. cómo se ha introducido el virus.) 8 Clasificación de atacantes Según el tipo de persona: . * Consideraciones de una red Los puntos de entrada en la red son generalmente el correo. Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas. robo. en fases de recuperación. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra. Controlar y monitorizar el acceso a Internet puede detectar. Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. las páginas web y la entrada de ficheros desde discos. impide que ordenadores infectados propaguen virus. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo. El fraude en informática * Fraude informático Cualquier cambio no autorizado y malicioso de datos o informaciones contenidos en un sistema informático * Robo informático * Delito contra el patrimonio. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia. humedad. como portátiles. gases inflamables y campos magnéticos. o de ordenadores ajenos. consistente en el apoderamiento de bienes ajenos usando sistemas informáticos * Empresas y clientes * El único sistema que está seguro es el que se encuentra debidamente apagado y dentro de una caja de seguridad (ignifuga: ofrecen la máxima protección contra fuego.* Consideraciones de software Tener instalado en la máquina únicamente el software necesario reduce riesgos. Mantener al máximo el número de recursos de red sólo en modo lectura.

* Personal interno * Ex-empleados * Timadores * Vándalos * Mercenarios * Curiosos Según el tipo de ataque: * Hacker * Cracker * Crasher * Pheacker * Phishers * Sniffers 9 Según el objetivo del ataque: * Dinero * Información confidencial * Beneficios personales * Daño * Accidente Tipos de ataques más comunes Ataques organizativos: Hay una organización que entra en la red para intentar tener acceso a información confidencial con el fin de obtener una ventaja empresarial Hackers: disfrutan demostrando sus habilidades para intentar eludir las protecciones de seguridad y lograr un acceso ilegal a la red Los ataques automatizados: utilizan software para examinar posibles vulnerabilidades de la red o para implementar un ataque electrónico violento. en estos ataques violentos o ataques por fuerza bruta se .

evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada. que todas las actividades se realicen adecuadamente. recomendaciones adecuadas. ésta puede ser física. que . Las infracciones accidentales de seguridad suelen ser consecuencia de prácticas o procedimientos deficiente. son programas peligrosos que actúan explotando algunas vulnerabilidades conocidas para instalarse a si mismos en un equipo. por ejemplo si queda expuesta públicamente cierta información de seguridad como nombre de usuario y contraseña un atacante puede aprovechar dicha información para tener acceso a la red Auditoria de seguridad. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos. caballos de Troya. muchas veces entran como datos adjuntos de un mensaje de correo electrónico. lógica y locativa pero siempre orientada a la protección de la información. la seguridad informática se preocupa por la integridad y disponibilidad de la información mientras la auditoria de sistemas incluye otras características más administrativas. Los ataques por denegación de servicio: desbordan un servidor con solicitudes lo que hace que el mismo no sea capaz de ofrecer su servicio normal. Detección de delitos Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada.intenta usar muchos nombres de usuario y contraseñas diferentes u otro tipo de credenciales para obtener acceso a los recursos. conocimientos requeridos. 10 Rol del Auditor Informático El rol del auditor informático solamente está basado en la verificación de controles. Es este el punto de mayor diferencia. estrategias para evitarlos. Los virus. una vez allí distribuyen copias de si mismos a otros equipos conectados y estas copias también se replican a sí mismas produciendo una rápida infección de toda la red informática. gusanos. y que deben razonablemente detectar: * Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización. La auditoría de seguridad informática analiza los procesos relacionados únicamente con la seguridad. en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los casos de delitos informáticos. Es importante establecer claramente cuál es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. * Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.

para que el grupo de la unidad informática pueda actuar. aún cuando no estén involucrados en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo. evitando su divulgación al público o a empleados que no tienen nada que ver. * Procedimientos estándares bien establecidos y probados. 11 Resultados de la auditoria Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos.. 5. proveedores e inversionistas hacia la empresa. deberá realizar los siguiente: 1. * Se puede perder la confianza de los clientes. Dichas acciones. etc. * Controles sofisticados. * Adquisición de herramientas de control. podría tener efectos negativos en la organización. Informar a autoridades regulatorias cuando es un requerimiento legal. 2. * Inclusión de controles adicionales. como los siguientes: * Se puede generar una desconfianza de los empleados hacia el sistema. entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático. expresadas en forma de recomendación pueden ser como las siguientes: * Recomendaciones referentes a la revisión total del proceso involucrado. el auditor deberá sugerir acciones específicas a seguir para resolver el vacío de seguridad. Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible. Puesto que de no manejarse adecuadamente el delito. 3. . Determinar los vacíos de la seguridad existentes y que permitieron el delito. Además de brindar recomendaciones. entre las que pueden destacarse: * Adquisición de herramientas computacionales de alto desempeño. Informar a la autoridad correspondiente dentro de la organización. etc. Establecer pruebas claras y precisas. el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos. 4.los controles sean cumplidos. * Se pueden generar más delitos al mostrar las debilidades encontradas. * Se pueden perder empleados clave de la administración. * Establecimiento de planes de contingencia efectivos. Determinar si se considera la situación un delito realmente.

» Técnicas. estructura organizacional. * Características de la organización respecto a la ética. * Monitoreo de actividades. . compensaciones monetarias a los empleados. * Herramientas de control y verificación de la seguridad. etc. Para ello a continuación se establecen algunos elementos con que deberá contar: » Conocimientos generales. Perfil del Auditor Informático El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones. * Todo tipo de conocimientos tecnológicos. la industria o ambiente competitivo en la cual se desempeña la organización. * Muestreo. no se puede garantizar que las irregularidades puedan ser detectadas. * Herramientas de monitoreo de actividades. cambios recientes en la administración. así como de las herramientas y controles existentes. 12 » Herramientas. es importante tomar en cuenta que aún cuando todos los procesos de auditoría estén debidamente diseñados y se cuente con las herramientas adecuadas. Si bien es cierto las recomendaciones dadas por el auditor. * Cálculo pos operación. historia de la organización. * Aspectos legales. etc. * Normas estándares para la auditoría interna. * Políticas organizacionales sobre la información y las tecnologías de la información. las estrategias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos. cuya frecuencia dependerá del grado de importancia para la empresa de las TI. operaciones o sistemas. tipo de supervisión existente. * Técnicas de Evaluación de riesgos. de forma actualizada y especializada respecto a las plataformas existentes en la organización. extensión de la presión laboral sobre los empleados. Por lo que la verificaciones la información y de la TI juegan un papel importante en la detección de los delitos informáticos.* Revisiones continuas. deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada.

* Análisis e interpretación de la evidencia. sin embargo las mismas pueden verse afectadas por situaciones o “amenazas” que pueden poner en riesgo la continuidad operativa del negocio. Estas amenazas pueden ser tanto externas como internas. En la mayoría de ellas. se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos. etc. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas. Delimitación del área a auditar y condiciones del ambiente. Las condiciones del ambiente están delimitadas por los recursos humanos que intervienen en el proceso de auditoria así como también el espacio físico y departamentos de la organización. Tipos de Auditor La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen. Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes. donde termina su ámbito de acción e inicia el exterior. Al auditar cualquier sistema informático se debe delimitar claramente su espacio de acción.* Recopilación de grandes cantidades de información. como: * La ingeniería social * El phishing * Introducción de software malicioso * Hacking / cracking * Infidelidad del personal . la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude. * Verificación de desviaciones en el comportamiento de la data. 13 Conclusión Las tecnologías de la información son herramientas indispensables para las Organizaciones. a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance.

Security techniques .* Adulteración. 14 Tema: Estándares internacionales de seguridad informática. el desarrollo de normas o políticas de seguridad que posibiliten minimizar los riesgos que pueden sufrir sus activos.Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.arcert. la British Standards Institution (BSI). Es entonces donde se comienza a pensar en la Seguridad Informática al conjunto de metodologías o políticas de alto nivel cubriendo la seguridad de los sistemas y de la información que en ellos se procesa.pdf. a fin de preservar la confidencialidad. http://www. Año de Publicación: 2009. mantener y administrar la seguridad de la información. Check. 21 de Mayo del 2011]. Act (Planificar. deberían iniciar conforme a sus necesidades.[Consulta: Sábado. pérdida o sustracción de la información Podemos incluir también dentro de los riesgos. Hacer. .Information security management systems . Verificar. integridad y disponibilidad. 21 de Mayo del 2011].gov. Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 77992:2002. mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA acrónimo de Plan. tamaño de la organización y limitaciones. Seguridad Informática. esto define un proceso para evaluar.com.gov. BS 17799 BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información.http://auditoriasistemas.ar/webs/manual/manual_de_seguridad. Estándares internacionales de seguridad informática. Año de Publicación: 2010. El estándar para la seguridad de la información ISO/IEC 27001 (Information technology . Manual de Seguridad.ar. Do.com/auditoria-informatica/seguridad-informatica/. implantar. [Consulta: Sábado. la no previsión de planes contingentes que cubran tanto el procesamiento de la información como el resguardo de los sistemas y datos Si las Organizaciones toman conciencia de estos riesgos y de las problemáticas que producirían. Especifica los requisitos necesarios para establecer. Bibliografía * Autor: arcert. implementar. desarrollada por la entidad de normalización británica. Actuar). * Autor: auditoriasistemas.

Alcance -Aumento de la seguridad efectiva de los Sistemas de información. * Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso. * Enfoque al cliente en las organizaciones educativas.Garantías de continuidad del negocio. * Planificación: Definir los objetivos de calidad y las actividades y recursos necesarios. * Provisión y gestión de los recursos. Enfoque * Responsabilidad de la dirección. . * Proceso de compras. un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas. * Recursos humanos competentes. .Incremento de los niveles de confianza de los clientes y socios de negocios.Características BS 17799 se basa en BS 7799-1 de control consta de 11 secciones. Auditoría interna . 15 Para alcanzar los objetivos * Responsabilidad.Correcta planificación y gestión de la Seguridad . autoridad y comunicación. * Diseño y desarrollo.Aumento del valor comercial y mejora de la imagen de la organización. 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO. * La política de calidad en las organizaciones educativas. . Objetivo El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones. Educativo * Planificación y realización del producto.

facilitándonos tareas que antes eran lentas y repetitivas. * Satisfacción del cliente. no solamente como funcionarios de esta entidad. * Análisis de datos. que tendrán un coste. haciendo el trabajo más fácil. que evite distintas interpretaciones de conceptos técnicos y de gestión. el de la Entidad y el de Colombia en general.los problemas se clasifican.* Control de los dispositivos de seguimiento y medición. ISO 20000 La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia . La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL . . confiabilidad. La norma considera también la capacidad del sistema. ser parte integral de lo que es llamado Seguridad Informática. * Auditoria Interna ISO. sino nuestro nivel de vida. los niveles de gestión necesarios cuando cambia el sistema. 16 Modelo de la seguridad En los tiempos modernos. la asignación de presupuestos financieros y el control y distribución del software. Estas virtudes de rapidez. su fecha prevista de publicación es Noviembre de 2008. La aplicación de cualquier estándar necesita de un vocabulario claramente definido. * Proceso de mejora. Serie ISO 27000 En fase de desarrollo.Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC). mejorando no solamente la calidad de nuestros resultados. Esta norma está previsto que sea gratuita. * Revisión y disposición de las no conformidades. buscando asegurar que el trabajo que hemos hecho durante todos estos años perdure para nuestro bien. flexibilidad y conectividad que tienen estas máquinas traen adicionalmente ciertos riesgos y es responsabilidad nuestra. sino como beneficiarios de las virtudes de estas máquinas. El objetivo del Modelo de Seguridad Informática es mejorar la Seguridad de nuestra información y de nuestros equipos. Contendrá términos y definiciones que se emplean en toda la serie 27000. los computadores se integran cada vez más a las actividades diarias que realizamos. lo que ayuda a identificar problemas continuados o interrelaciones. a diferencia de las demás de la serie.

grande o pequeña. con servicios TI internos o suministrados por terceros. y los beneficios. proporcionando un Marco Referencial Lógico para su dirección efectiva. Pertenece a la OGC. Esto se aplica a cualquier tipo de organización. en lugar de buscar la invulnerabilidad. A lo largo de todo el ciclo de los productos TI. los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. y el resto se invierte en el desarrollo del producto (u obtención). implementar. ITIL Desarrollada a finales de 1980. Ello a partir de parámetros generalmente aplicables y aceptados. y de coste aceptable. ITIL es conocido y utilizado mundialmente. directivas de auditoría. la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta. la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos. COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio. consistente. En todos los casos. La metodología COBIT se utiliza para planear. también conocido como riesgo aceptable. medidas de rendimiento y resultados. la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste. factores críticos de éxito y modelos de madurez. y que satisfagan los requisitos y las expectativas del cliente. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. incorporando objetivos de control. control y seguridad de las Tecnologías de Información. los flujos de información y los riesgos que éstas implican. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio. el servicio debe ser fiable. pero es de libre utilización. de alta calidad. educación y soporte de herramientas de software. De esta manera. el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. necesidades de control y aspectos técnicos propios de un proyecto TIC. ISM3 ve como objetivo de la seguridad de la información el garantizar . es soportado por los procesos de mantenimiento y operaciones. pública o privada. en caso de fallos o modificaciones necesarias. Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Iniciado como una guía para el gobierno de UK. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y. 17 Cobit COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología. riesgos. A través de los años. controlar y evaluar el gobierno sobre TIC. Hoy. para mejorar las prácticas de planeación. con servicios TI centralizados o descentralizados.La Seguridad Informática empieza en cada uno de nosotros y con nuestro compromiso lograremos mantenernos como una de las mejores empresas de este país. ISM3 ISM3 pretende alcanzar un nivel de seguridad definido.

htm http://portal. lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001.20 está basado en procesos.ISM3 v1. 18 Fuentes: http://tutoriales. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).conalepqro.. Táctica y Operativa.edu.conalepqro.edu.. y lo que no se puede gestionar.htm http://tutoriales. • Basado el Procesos . los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta.conalepqro.co/portal/page/portal/Aerocivil_Portal_Intranet/seguridad_informatica/mejore_seguridad_informacio n/proteccion_informacion/propiedad_informacion/modelo_seguridad_informatica http://tutoriales.la consecución de objetivos de negocio. Esto permite la mejora continua del proceso. • Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia. • Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez. así como la distribución explícita de responsabilidades entre los líderes. • Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001. lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos.htm http://tutoriales.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/COBIT. siendo probablemente el primer estándar que lo hace.conalepqro. • Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso.aerocivil. como los ANS y la distribución de responsabilidades.edu.gov. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001."Lo que no se puede medir. dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad. Algunas características significativas de ISM3 son: • Métricas de Seguridad de la Información .mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/ITIL.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/ISM3. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información.20 hace de la seguridad un proceso medible mediante métricas de gestión de procesos.h . gestores y el personal técnico usando el concepto de gestión Estratégica.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/BS%2017799%20.edu.conalepqro. dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/SERIE%20ISO%202700 0.htm http://tutoriales.edu.ISM3 v1. no se puede gestionar. no se puede mejorar" .

Sign up to vote on this title
UsefulNot useful