Analiza estándares internacionales de seguridad informática BS 17799

:

Es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

Serie ISO 27000 La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). la mayoría de estas normas se encuentran en preparación e incluyen: ISO/IEC 27000 - es un vocabulario estandard para el SGSI. Se encuentra en desarrollo actualmente. ISO 27001 El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

1

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 77992:2002, ISO 27002

ISO / IEC 27002 es un estándar de seguridad de la información publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), titulada Tecnología de la información - Técnicas de seguridad -Código de buenas prácticas para la gestión de seguridad de la información. BRA ISO / IEC 27002:2005 se ha desarrollado a partir de BS7799, publicado a mediados de la década de 1990. La norma británica fue adoptada por la norma ISO / IEC comoISO / IEC 17799:2000, revisado en 2005, y pasa a ser (pero por lo demás sin cambios)en 2007 para alinear con la otra la norma ISO / IEC 27000 de la serie de normas.

a volverse un actor central en la vida de la organización. es decir. ya sea de manera personal. En este sentido. implementar o mantener la seguridad de la información Sistemas de Gestión de la Información (ISMS). proteger y resguardar lo que es considerado como susceptible de robo. que no estén dañados o alterados por circunstancias o factores externos. es la información el elemento principal a proteger. herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. pérdida o daño. archivos y todo lo que la organización valore en sus activos y signifique un riesgo si ésta llega a manos de otras personas. Seguridad de la información se define en el estándar en el contexto de la tríada de la CIA ISO 20000 La serie ISO/IEC 20000 . La evolución de la Seguridad Informática A lo largo de los años. . bases de datos. resguardar y recuperar dentro de las redes empresariales. protocolos. 2 Seguridad en el área de la informática La seguridad son aquellas reglas técnicas y/o actividades destinadas a prevenir.Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005. La seguridad informática comprende software. grupal o empresarial. es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información).ISO / IEC 27002 proporciona recomendaciones de mejores prácticas en la gestión de seguridad de la información para su utilización por los responsables de iniciar. La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de normalización británica. la seguridad informática pasó de ser una sub-especialidad oscura y exclusivamente técnica dentro del campo de la informática. metadatos. métodos. Este tipo de información se conoce como información privilegiada o confidencial. La seguridad garantiza que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos. Para ello existen una serie de estándares. reglas. la British Standards Institution (BSI) SEGURIDAD INFORMÁTICA La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta.

En este sentido. La etapa de los Estándares y Mejores prácticas de Seguridad y La etapa de la Seguridad Estratégica Importancia de la Seguridad en el área de la informática. Estas personas pueden incluso formar parte del personal administrativo o de sistemas. generaron nuevas formas de hacer negocios. más de 70 por ciento de las Violaciones e intrusiones a los recursos informáticos se realiza por el personal interno. atentados o desastres. es discutida en ámbitos de la alta gerencia organizacional. metodologías y tiene acceso a la información sensible de su empresa. de cualquier compañía. las organizaciones incorporan la gestión del riesgo como parte de sus prácticas de buen gobierno corporativo y. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada. ocasionando lecturas erradas o incompletas de la misma.La aparición de los servicios en línea. Esta situación se presenta gracias a los diseños ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial. una de las formas más importantes de manejar el riesgo de tecnología es a través de la seguridad de la información. 3 Objetivo de la seguridad Informática La seguridad informática está concebida para proteger los activos informáticos. entre los que se encuentran: * La información contenida Se ha convertido en uno de los elementos más importantes dentro de una organización. incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes. la seguridad de la información tiene una gran importancia para las organizaciones modernas y está embebida en todos los aspectos de operaciones de un área de tecnología. Hoy en día. que buscan tener acceso a la red empresarial para modificar. evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. sustraer o borrar datos. y la integración vertical y horizontal de las organizaciones a través de las TICs. siendo parte fundamental del conjunto de temas a entender y atender por parte de todo gerente de tecnología. Esta evolución de la seguridad de la información no se dio de la noche a la mañana. el riesgo de tecnología se vuelve especialmente relevante. pero también nuevos riesgos para las organizaciones. debido a su alta dependencia tecnológica. Por ello. surge por la existencia de personas ajenas a la información. también conocidas como piratas informáticos o hackers. es decir. pero más importante aún. y porque no existe conocimiento relacionado con la planeación adecuada y eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. La seguridad informática debe ser administrada según los criterios establecidos por los administradores y supervisores. debido a que éste conoce los procesos. y se puede dividir en tres grandes etapas: La etapa de los Modelos Formales de Seguridad. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno. de acuerdo con expertos en el área. . debido a su importancia estratégica para la supervivencia de la organización. a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización.

desastres naturales. incendios.Cuando ocurren alteraciones del contenido del documento: inserción. . planes de emergencia.Cuando ocurren alteraciones en los elementos que soportan la información: alteración física y lógica en los medios de almacenaje. autorizaciones. boicot.Que esté al alcance de los usuarios. * La información confidencial se debe guardar con seguridad sin divulgar a personas no autorizadas * Garantizar la confidencialidad es uno de los factores determinantes para la seguridad.* La infraestructura computacional Una parte fundamental para el almacenamiento y gestión de la información. * Perdida de Confidencialidad es igual a la Perdida de Secreto. fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática. c) Disponibilidad: La información debe llegar a su destino en el momento oportuno y preciso. . falsificada y burlada. zona de comunicaciones y que gestionan la información. 4 La disponibilidad permite que: La información se use cuando sea necesario. restricciones a ciertos lugares.Ocurre cuando la información es corrompida. Toda la información no debe ser vista por todos los usuarios. . La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos. . . La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. * Los usuarios Son las personas que utilizan la estructura tecnológica. sustitución o remoción. b) Confidencialidad: Se encarga y se asegura de proporcionar la información correcta a los usuarios correctos. * El quiebre de la Integridad: . así como para el funcionamiento mismo de la organización. protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la organización en general y como principal contribuyente al uso de programas realizados por programadores. Estas normas incluyen horarios de funcionamiento. perfiles de usuario. denegaciones. Estar íntegra: significa que esté en su estado original sin haber sido alterada por agentes no autorizados. que sea íntegra. Principios Básicos de la Seguridad de la Información a) Integridad: Permite garantizar que la información no sea alterada.Que pueda ser accesada cuando se necesite. es decir.

Garantías de la disponibilidad: .Configuración segura en el ambiente para una disponibilidad adecuada. * Amenazas Internas: son más serias que las externas.). inundación): una mala manipulación o una malintención derivan a la pérdida del material o de los archivos. 5 * Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática. . una bomba lógica o un programa espía o Spyware. Las Amenazas Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras. con esto. . de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes. etc. todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos. un troyano. se puede hacer robo de información o alterar el funcionamiento de la red. defacer.(en el caso de las comunicaciones). un gusano informático. * Un siniestro (robo.Fijar rutas alternativas para el tránsito de la información. las cuales son a menudo imprevisibles o inevitables. script kiddie o Script boy. . * Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. viruxer. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. backups. Estos fenómenos pueden ser causados por: * El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa.Planeación de copias de seguridad. . Tipos de amenazas * El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella.Definir estrategias para situaciones de contingencia. no se da cuenta o a propósito). Estos programas pueden ser un virus informático. incendio. * El personal interno de Sistemas.

* Amenazas ocasionadas por el hombre. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. incendios accidentales tormentas e inundaciones. . Consecuencias de la falta de seguridad lógica * Cambio de los datos * Copias de programas y/o información * Código oculto en el programa * Entrada de virus 6 2) Seguridad Física En que consiste: Consiste en la aplicación de barreras físicas y procedimientos de control. Este tipo de seguridad se aplica colocando controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo. * Identificar individualmente a cada usuario y sus Actividades en el sistema. copia o difusión. como medidas de prevención y contra medidas ante amenazas a los recursos e información confidencial. Principales amenazas que se prevén en la seguridad física * Desastres naturales. implementados para proteger el hardware y medios de almacenamiento de datos. Se encarga de: * Controles de acceso para Salvaguardar la integridad de la información almacenada * Controlar y Salvaguardar la información generada.* Amenazas externas: Son aquellas amenazas que se originan de afuera de la red Tipos de Seguridad Informática 1) Seguridad Lógica: Es la protección de la información. En que Consiste: En la protección de barreras y procedimientos que resguarden el acceso a los datos y sólo permitan acceder a ellos a las personas autorizadas para hacerlo. sabotajes internos y externos deliberados. en su propio medio contra robo o destrucción. * Disturbios.

archivos y programas correctos en/y/por el procedimiento elegido. el sistema de gestión de incidentes necesita saber el valor de los sistemas de información que pueden ser potencialmente afectados por incidentes de seguridad. supongamos el siguiente ejemplo. un servidor Web público pueden poseer los requisitos de confidencialidad de baja (ya que toda la información es pública). Consideraciones Generales . Dentro de los Valores para el sistema se pueden distinguir: Confidencialidad de la información. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. la Integridad (aplicaciones e información) y finalmente la Disponibilidad del sistema. 4. Análisis de impacto al negocio 7 El reto es asignar estratégicamente los recursos para equipo de seguridad y bienes que intervengan. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. en todos y cada uno de los sistemas o aplicaciones empleadas. 8. 5. Cada uno de estos valores es un sistema independiente del negocio. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. por lo tanto. 6. un sistema de planificación de recursos empresariales (ERP). Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. Los incidentes individuales pueden variar ampliamente en términos de alcance e importancia. basándose en el impacto potencial para el negocio. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). deben existir técnicas que la aseguren.Análisis de riesgos El activo más importante que se posee es la información y. 7. Para determinar el establecimiento de prioridades. 3. 2. pero de alta disponibilidad y los requisitos de integridad. Asegurar que se utilicen los datos. Organizar a cada uno de los empleados por jerarquía informática. con claves distintas y permisos bien establecidos. Esto puede implicar que alguien dentro de la organización asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la información sobre ella. Los medios para conseguirlo son: 1. En contraste.s istema puede poseer alta puntaje en los tres variables. respecto a los diversos incidentes que se deben resolver.

* Consideraciones de software Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. o de ordenadores ajenos.) 8 Clasificación de atacantes Según el tipo de persona: . El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia. las páginas web y la entrada de ficheros desde discos. en fases de recuperación. robo. * Consideraciones de una red Los puntos de entrada en la red son generalmente el correo. cómo se ha introducido el virus. impide que ordenadores infectados propaguen virus. como portátiles. El fraude en informática * Fraude informático Cualquier cambio no autorizado y malicioso de datos o informaciones contenidos en un sistema informático * Robo informático * Delito contra el patrimonio. consistente en el apoderamiento de bienes ajenos usando sistemas informáticos * Empresas y clientes * El único sistema que está seguro es el que se encuentra debidamente apagado y dentro de una caja de seguridad (ignifuga: ofrecen la máxima protección contra fuego. humedad. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra. Mantener al máximo el número de recursos de red sólo en modo lectura. Controlar y monitorizar el acceso a Internet puede detectar. gases inflamables y campos magnéticos. En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo. Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.

en estos ataques violentos o ataques por fuerza bruta se .* Personal interno * Ex-empleados * Timadores * Vándalos * Mercenarios * Curiosos Según el tipo de ataque: * Hacker * Cracker * Crasher * Pheacker * Phishers * Sniffers 9 Según el objetivo del ataque: * Dinero * Información confidencial * Beneficios personales * Daño * Accidente Tipos de ataques más comunes Ataques organizativos: Hay una organización que entra en la red para intentar tener acceso a información confidencial con el fin de obtener una ventaja empresarial Hackers: disfrutan demostrando sus habilidades para intentar eludir las protecciones de seguridad y lograr un acceso ilegal a la red Los ataques automatizados: utilizan software para examinar posibles vulnerabilidades de la red o para implementar un ataque electrónico violento.

conocimientos requeridos. estrategias para evitarlos. Detección de delitos Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada. la seguridad informática se preocupa por la integridad y disponibilidad de la información mientras la auditoria de sistemas incluye otras características más administrativas. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos. lógica y locativa pero siempre orientada a la protección de la información. gusanos. que . muchas veces entran como datos adjuntos de un mensaje de correo electrónico. 10 Rol del Auditor Informático El rol del auditor informático solamente está basado en la verificación de controles. son programas peligrosos que actúan explotando algunas vulnerabilidades conocidas para instalarse a si mismos en un equipo. Las infracciones accidentales de seguridad suelen ser consecuencia de prácticas o procedimientos deficiente.intenta usar muchos nombres de usuario y contraseñas diferentes u otro tipo de credenciales para obtener acceso a los recursos. recomendaciones adecuadas. La auditoría de seguridad informática analiza los procesos relacionados únicamente con la seguridad. ésta puede ser física. evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada. una vez allí distribuyen copias de si mismos a otros equipos conectados y estas copias también se replican a sí mismas produciendo una rápida infección de toda la red informática. Es este el punto de mayor diferencia. Es importante establecer claramente cuál es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Los ataques por denegación de servicio: desbordan un servidor con solicitudes lo que hace que el mismo no sea capaz de ofrecer su servicio normal. Los virus. por ejemplo si queda expuesta públicamente cierta información de seguridad como nombre de usuario y contraseña un atacante puede aprovechar dicha información para tener acceso a la red Auditoria de seguridad. que todas las actividades se realicen adecuadamente. en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los casos de delitos informáticos. * Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades. caballos de Troya. y que deben razonablemente detectar: * Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.

para que el grupo de la unidad informática pueda actuar. * Se pueden generar más delitos al mostrar las debilidades encontradas. * Establecimiento de planes de contingencia efectivos. expresadas en forma de recomendación pueden ser como las siguientes: * Recomendaciones referentes a la revisión total del proceso involucrado. 5. Informar a autoridades regulatorias cuando es un requerimiento legal.. 2. * Controles sofisticados. etc. aún cuando no estén involucrados en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo. proveedores e inversionistas hacia la empresa. Dichas acciones. Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible. podría tener efectos negativos en la organización. Determinar si se considera la situación un delito realmente. .los controles sean cumplidos. * Inclusión de controles adicionales. 11 Resultados de la auditoria Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos. entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático. * Se pueden perder empleados clave de la administración. el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos. Informar a la autoridad correspondiente dentro de la organización. * Adquisición de herramientas de control. entre las que pueden destacarse: * Adquisición de herramientas computacionales de alto desempeño. 3. evitando su divulgación al público o a empleados que no tienen nada que ver. * Se puede perder la confianza de los clientes. como los siguientes: * Se puede generar una desconfianza de los empleados hacia el sistema. Determinar los vacíos de la seguridad existentes y que permitieron el delito. Establecer pruebas claras y precisas. Puesto que de no manejarse adecuadamente el delito. etc. 4. deberá realizar los siguiente: 1. Además de brindar recomendaciones. el auditor deberá sugerir acciones específicas a seguir para resolver el vacío de seguridad. * Procedimientos estándares bien establecidos y probados.

* Herramientas de monitoreo de actividades. cambios recientes en la administración. * Técnicas de Evaluación de riesgos. * Normas estándares para la auditoría interna. etc. etc. de forma actualizada y especializada respecto a las plataformas existentes en la organización. compensaciones monetarias a los empleados. las estrategias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos. * Cálculo pos operación. deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. * Muestreo. Si bien es cierto las recomendaciones dadas por el auditor. Para ello a continuación se establecen algunos elementos con que deberá contar: » Conocimientos generales. cuya frecuencia dependerá del grado de importancia para la empresa de las TI. tipo de supervisión existente. es importante tomar en cuenta que aún cuando todos los procesos de auditoría estén debidamente diseñados y se cuente con las herramientas adecuadas. * Políticas organizacionales sobre la información y las tecnologías de la información. extensión de la presión laboral sobre los empleados. operaciones o sistemas. estructura organizacional. Perfil del Auditor Informático El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones. historia de la organización. así como de las herramientas y controles existentes. * Todo tipo de conocimientos tecnológicos. * Herramientas de control y verificación de la seguridad. * Características de la organización respecto a la ética. Por lo que la verificaciones la información y de la TI juegan un papel importante en la detección de los delitos informáticos. . * Monitoreo de actividades. no se puede garantizar que las irregularidades puedan ser detectadas. 12 » Herramientas. » Técnicas.* Revisiones continuas. * Aspectos legales. la industria o ambiente competitivo en la cual se desempeña la organización.

En la mayoría de ellas. * Análisis e interpretación de la evidencia. la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude. Tipos de Auditor La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance. * Verificación de desviaciones en el comportamiento de la data. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes.* Recopilación de grandes cantidades de información. Las condiciones del ambiente están delimitadas por los recursos humanos que intervienen en el proceso de auditoria así como también el espacio físico y departamentos de la organización. Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. como: * La ingeniería social * El phishing * Introducción de software malicioso * Hacking / cracking * Infidelidad del personal . donde termina su ámbito de acción e inicia el exterior. etc. Estas amenazas pueden ser tanto externas como internas. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas. sin embargo las mismas pueden verse afectadas por situaciones o “amenazas” que pueden poner en riesgo la continuidad operativa del negocio. 13 Conclusión Las tecnologías de la información son herramientas indispensables para las Organizaciones. El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen. Delimitación del área a auditar y condiciones del ambiente. Al auditar cualquier sistema informático se debe delimitar claramente su espacio de acción. se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos.

http://auditoriasistemas. integridad y disponibilidad. implementar. Estándares internacionales de seguridad informática. . [Consulta: Sábado. mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA acrónimo de Plan. Especifica los requisitos necesarios para establecer. http://www.com/auditoria-informatica/seguridad-informatica/. la British Standards Institution (BSI). el desarrollo de normas o políticas de seguridad que posibiliten minimizar los riesgos que pueden sufrir sus activos. Seguridad Informática. Actuar). 21 de Mayo del 2011]. BS 17799 BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información. Año de Publicación: 2010. implantar. tamaño de la organización y limitaciones. 14 Tema: Estándares internacionales de seguridad informática. Es entonces donde se comienza a pensar en la Seguridad Informática al conjunto de metodologías o políticas de alto nivel cubriendo la seguridad de los sistemas y de la información que en ellos se procesa. 21 de Mayo del 2011]. Año de Publicación: 2009.Security techniques . a fin de preservar la confidencialidad.gov. Verificar. deberían iniciar conforme a sus necesidades. Hacer. mantener y administrar la seguridad de la información. esto define un proceso para evaluar. desarrollada por la entidad de normalización británica. * Autor: auditoriasistemas.gov. Check. Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 77992:2002.com.Information security management systems .pdf. pérdida o sustracción de la información Podemos incluir también dentro de los riesgos.ar/webs/manual/manual_de_seguridad. Do.Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.arcert. la no previsión de planes contingentes que cubran tanto el procesamiento de la información como el resguardo de los sistemas y datos Si las Organizaciones toman conciencia de estos riesgos y de las problemáticas que producirían. Bibliografía * Autor: arcert.[Consulta: Sábado.ar. El estándar para la seguridad de la información ISO/IEC 27001 (Information technology .* Adulteración. Act (Planificar. Manual de Seguridad.

* Planificación: Definir los objetivos de calidad y las actividades y recursos necesarios. * Recursos humanos competentes. Objetivo El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones. un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas. Alcance -Aumento de la seguridad efectiva de los Sistemas de información.Aumento del valor comercial y mejora de la imagen de la organización.Garantías de continuidad del negocio. Auditoría interna .Correcta planificación y gestión de la Seguridad . * Diseño y desarrollo. . * Proceso de compras. 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO. Educativo * Planificación y realización del producto. .Características BS 17799 se basa en BS 7799-1 de control consta de 11 secciones. * La política de calidad en las organizaciones educativas. 15 Para alcanzar los objetivos * Responsabilidad. autoridad y comunicación. * Provisión y gestión de los recursos. Enfoque * Responsabilidad de la dirección.Incremento de los niveles de confianza de los clientes y socios de negocios. * Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso. . * Enfoque al cliente en las organizaciones educativas.

* Proceso de mejora. La aplicación de cualquier estándar necesita de un vocabulario claramente definido. * Satisfacción del cliente. ser parte integral de lo que es llamado Seguridad Informática.los problemas se clasifican. flexibilidad y conectividad que tienen estas máquinas traen adicionalmente ciertos riesgos y es responsabilidad nuestra. * Auditoria Interna ISO. que evite distintas interpretaciones de conceptos técnicos y de gestión. ISO 20000 La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia . el de la Entidad y el de Colombia en general. su fecha prevista de publicación es Noviembre de 2008. lo que ayuda a identificar problemas continuados o interrelaciones. Estas virtudes de rapidez. Serie ISO 27000 En fase de desarrollo. facilitándonos tareas que antes eran lentas y repetitivas. sino nuestro nivel de vida. Contendrá términos y definiciones que se emplean en toda la serie 27000. 16 Modelo de la seguridad En los tiempos modernos. a diferencia de las demás de la serie. * Revisión y disposición de las no conformidades. * Análisis de datos. la asignación de presupuestos financieros y el control y distribución del software. sino como beneficiarios de las virtudes de estas máquinas.Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC). que tendrán un coste. los niveles de gestión necesarios cuando cambia el sistema. El objetivo del Modelo de Seguridad Informática es mejorar la Seguridad de nuestra información y de nuestros equipos. mejorando no solamente la calidad de nuestros resultados. Esta norma está previsto que sea gratuita. confiabilidad. no solamente como funcionarios de esta entidad. . buscando asegurar que el trabajo que hemos hecho durante todos estos años perdure para nuestro bien.* Control de los dispositivos de seguimiento y medición. La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL . los computadores se integran cada vez más a las actividades diarias que realizamos. La norma considera también la capacidad del sistema. haciendo el trabajo más fácil.

riesgos. de alta calidad. necesidades de control y aspectos técnicos propios de un proyecto TIC. control y seguridad de las Tecnologías de Información. De esta manera. con servicios TI internos o suministrados por terceros. grande o pequeña. implementar. En todos los casos. proporcionando un Marco Referencial Lógico para su dirección efectiva. la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos. el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. pública o privada. ISM3 ve como objetivo de la seguridad de la información el garantizar . en lugar de buscar la invulnerabilidad. consistente. 17 Cobit COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología. controlar y evaluar el gobierno sobre TIC. con servicios TI centralizados o descentralizados. incorporando objetivos de control. Esto se aplica a cualquier tipo de organización. es soportado por los procesos de mantenimiento y operaciones. A través de los años. y los beneficios. medidas de rendimiento y resultados. ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. y de coste aceptable. ITIL Desarrollada a finales de 1980. los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. pero es de libre utilización. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y. educación y soporte de herramientas de software. Pertenece a la OGC. los flujos de información y los riesgos que éstas implican.La Seguridad Informática empieza en cada uno de nosotros y con nuestro compromiso lograremos mantenernos como una de las mejores empresas de este país. ITIL es conocido y utilizado mundialmente. COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio. para mejorar las prácticas de planeación. ISM3 ISM3 pretende alcanzar un nivel de seguridad definido. también conocido como riesgo aceptable. directivas de auditoría. factores críticos de éxito y modelos de madurez. en caso de fallos o modificaciones necesarias. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio. la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste. Hoy. y que satisfagan los requisitos y las expectativas del cliente. el servicio debe ser fiable. A lo largo de todo el ciclo de los productos TI. y el resto se invierte en el desarrollo del producto (u obtención). La metodología COBIT se utiliza para planear. Ello a partir de parámetros generalmente aplicables y aceptados. Iniciado como una guía para el gobierno de UK. la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta. Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos.

20 hace de la seguridad un proceso medible mediante métricas de gestión de procesos. Algunas características significativas de ISM3 son: • Métricas de Seguridad de la Información .h .mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/ISM3.edu.edu. Táctica y Operativa. siendo probablemente el primer estándar que lo hace. así como la distribución explícita de responsabilidades entre los líderes.conalepqro.conalepqro. 18 Fuentes: http://tutoriales. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta.htm http://tutoriales.htm http://portal.conalepqro.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/SERIE%20ISO%202700 0. dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.edu. dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información. • Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001. • Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001. • Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso. lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001.aerocivil.. gestores y el personal técnico usando el concepto de gestión Estratégica. y lo que no se puede gestionar. dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos.htm http://tutoriales.conalepqro. lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados). • Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/BS%2017799%20.co/portal/page/portal/Aerocivil_Portal_Intranet/seguridad_informatica/mejore_seguridad_informacio n/proteccion_informacion/propiedad_informacion/modelo_seguridad_informatica http://tutoriales. • Basado el Procesos .conalepqro."Lo que no se puede medir.. no se puede gestionar.la consecución de objetivos de negocio. no se puede mejorar" . El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información.edu.ISM3 v1.htm http://tutoriales.20 está basado en procesos.gov. como los ANS y la distribución de responsabilidades.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/COBIT.ISM3 v1.mx/APLICASION%20DE%20LA%20SEGURIDAD%20INFORMATICA/Templates/ITIL.edu. los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles. Esto permite la mejora continua del proceso.

Sign up to vote on this title
UsefulNot useful