Tema 39 - Norma UNE-ISO 17799

TEMA 39 Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin. Norma UNE-ISO 17799.
ndice 1 Introduccin................................................................................................................................. 1 2 La Norma UNED-ISO 27002 ...................................................................................................... 2
2.1 Estructura de la norma ........................................................................................................................ 3
2.1.1 Evaluacin y tratamiento de riesgos y amenazas ................................................................................................. 3 2.1.2 La Poltica de seguridad ...................................................................................................................................... 3 2.1.3 Los Aspectos organizativos para la seguridad ...................................................................................................... 4 2.1.4 La Clasificacin y Control de activos .................................................................................................................. 4 2.1.5 La Conformidad con la legislacin ..................................................................................................................... 5 2.1.6 La Gestin de continuidad del negocio ............................................................................................................... 5 2.1.7 Seguridad ligada al personal. .............................................................................................................................. 5 2.1.8 La seguridad fsica y del entorno ........................................................................................................................ 6 2.1.9 Gestin de comunicaciones y operaciones .......................................................................................................... 6 2.1.10 Control de acceso .............................................................................................................................................. 6 2.1.11 Desarrollo y mantenimiento de aplicaciones ...................................................................................................... 7 2.1.12 Gestin de los incidentes de seguridad de la informacin ................................................................................. 7

3 Certificacin del SGSI ................................................................................................................ 8

Introduccin

Se puede definir la gestin de la seguridad es el proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de los riesgos que afecten a los sistemas de informacin. El concepto de seguridad en la informacin se ha ampliado. En un principio, el concepto de seguridad informtica contemplaba solamente la seguridad tcnica. Ahora, el concepto de seguridad abarca tres vertientes: La tcnica (fsica y lgica), es la seguridad de los componentes hardware y su entorno(seguridad fsica), y de las aplicaciones y sus datos (seguridad lgica), La legal, el la normativa legal de seguridad que obligatoriamente la organizacin debe cumplir. Por ejemplo: Los requisitos impuestos por la Ley 11/1999 LOPD. La organizativa, el funcionamiento de la organizacin debe ser el adecuado para garantizar la seguridad de la informacin que maneja Existen multitud de estndares aplicables a diferentes niveles para conseguir y gestionar la seguridad de la informacin, como ITSEC estndar europeo-, BS 7799 Britnico-... De todos ellos, el ms extendido y aceptado internacionalmente es el BS 7799, del cual proviene la norma ISO 27002, anteriormente denominada ISO 17799.

La Norma UNED-ISO 27002

La ISO Organizacin Internacional de Estndares-, renombro en el 2007 la norma ISO 17799 como ISO 27002, para que todas las normas de seguridad tengan el formato 27xxx. Siendo casi idnticas la versin ISO 17799:2005 con ISO 27002:2007. La norma ISO 27002 es un cdigo de buenas prcticas para gestionar la seguridad de la informacin de una organizacin, garantizando la confidencialidad, integridad y disponibilidad de la informacin que maneja. Est dirigida a los responsables de definir, implantar o mantener un sistema de gestin de la seguridad de la informacin SGSI- de una organizacin.
Pgina 1 de 7

Tema 39 - Norma UNE-ISO 17799

La ISO 27002 persigue proporcionar una base comn para desarrollar las normas de seguridad dentro de las organizaciones y proveer de prcticas eficaces para la implantacin del SGSI. Tambin busca mejorar la confianza en las organizaciones que hayan implementado sistemas de gestin de seguridad siguiendo sus recomendaciones. Para la ISO 27002, la informacin es un activo de la organizacin, que hay que proteger adecuadamente para asegurar la continuidad del negocio, minimizar los daos y maximizar el retorno de las inversiones y oportunidades de negocio. Las caractersticas de la norma son: 1. Est formado por un conjunto completo de controles que conforman las buenas prcticas recomendadas para un SGSI. 2. Aplicable a todas las organizaciones, independientemente de su tamao y negocio. las 3. Flexible e independiente de cualquier solucin de seguridad concreta: recomendaciones son neutrales con respecto a la tecnologa utilizada para implementarlas. Basa la seguridad en establecer tres requisitos bsicos: Confidencialidad: Que la informacin slo sea accesible por las personas que estn autorizadas para ellos. Disponibilidad: Que el acceso a la informacin est accesible en el momento que se necesite. Integridad: La informacin debe mantenerse completa e inalterada. No puede ser manipulada sin autorizacin. El proceso para que una organizacin asuma esta norma es: Primero, se identifican y evalan las principales amenazas, riesgos y vulnerabilidades de los SI a la hora de almacenar y manipular la informacin. Posteriormente, se tienen que definir y establecer los controles de seguridad recomendados por la norma, teniendo en cuenta los resultados del estudio anterior y las caractersticas de la organizacin. Estructura de la norma

2.1

La norma ISO 27002 se compone de 12 secciones que cubren por completo la gestin de la seguridad de la informacin: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Evaluacin y tratamiento de riesgos y amenazas Poltica de seguridad Aspectos organizativos para la seguridad Clasificacin y control de activos Seguridad ligada al personal Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Adquisicin, Desarrollo y Mantenimiento de sistemas Gestin de los incidentes de seguridad de la informacin.

Pgina 2 de 7

Tema 39 - Norma UNE-ISO 17799

11. 12.

Gestin de continuidad de negocio. Conformidad con la legislacin

De estas 12 secciones se derivan 39 objetivos, que son los resultados que se esperan alcanzar mediante la implementacin del SGSI. La norma contiene, para cada objetivo, uno o varios controles necesarios para asegurar que el objetivo del SGSI se satisfaga. Un control es una prctica, procedimiento o mecanismo que reducen los niveles de riesgo en la organizacin. La norma tambin contiene una gua para la implementacin de los 136 controles propuestos dentro de ella. Las secciones se pueden clasificar en tres niveles. El nivel estratgico aparecen: 2.1.1 Evaluacin y tratamiento de riesgos y amenazas El objetivo de esta seccin es proporcionar las recomendaciones necesarias para identificar, evaluar y preparar el tratamiento de los riesgos a la seguridad segn su nivel de amenaza para la organizacin. La identificacin y evaluacin de riesgos se debe realiza de forma peridica y sistemtica para todos los sistemas de informacin de la organizacin. La evaluacin debe ser peridica para poder adaptar el SGSI a los cambios en los sistemas de informacin. El tratamiento de los riesgos detectados buscar mitigarlos teniendo en cuenta los objetivos de la organizacin. Consistir en seleccionar los controles contenidos en la norma, ya sean de carcter tcnico o administrativo. La norma establece que hay que tener en cuenta las caractersticas de cada organizacin a la hora de decidir que controles se implementarn. As, para una organizacin se aplicarn controles tcnicos para eliminar el riesgo y, en otra, ser ms conveniente contratar un seguro. 2.1.2 La Poltica de seguridad Contiene las recomendaciones para la elaboracin del marco de referencia del SGSI de la organizacin. Se materializa en el documento denominado la Poltica de seguridad, que contiene las lneas directrices en materia de seguridad informtica de la organizacin. La poltica de seguridad se compone: el alcance y objetivos del SGSI -Sistema de seguridad de la informacin-, una breve descripcin de los procedimientos, mecanismos, normas... que componen el SGSI La identificacin de las responsabilidades generales y especficas de todo el personal involucrado y las referencias a la documentacin que sustentan la poltica de seguridad, por ejemplo la documentacin de los procedimientos de seguridad.

La poltica de seguridad debe ser apoyada de forma visible por la alta direccin y conocida por todo el personal implicado en la seguridad de la informacin. La poltica de seguridad es un documento vivo. Debe evaluarse y actualizarse de forma peridica, segn los principios de mejora continua. 2.1.3 Los Aspectos organizativos para la seguridad En esta seccin aparecen los controles de la estructura organizativa que aseguran que el organigrama de la organizacin defina las responsabilidades y funciones que en materia de seguridad tiene cada usuario o rea de trabajo relacionada con los sistemas de informacin.

Pgina 3 de 7

Tema 39 - Norma UNE-ISO 17799

Se trabaja desde un enfoque multidisciplinar, pues los problemas de seguridad no son exclusivamente tcnicos. La norma propone la creacin de un Comit de Seguridad de la Informacin. Este comit estar formado por miembros de la Direccin encargado de promover y coordinar la seguridad en la organizacin, y asegurar que se dispongan los recursos adecuados. Entre sus funciones ser actualizar la Poltica de seguridad, mencionada en el apartado anterior. Los objetivos de esta rea de control son: Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad en los sistemas de informacin accedidos por terceros Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin.

Dentro del nivel tctico encontramos los siguientes dominios de control 2.1.4 La Clasificacin y Control de activos La finalidad de esta seccin es elaborar un inventario que permita mantener un nivel de proteccin adecuado sobre los activos de la Organizacin. El inventario contiene todos los activos relacionados con los sistemas de informacin. Como activos se entienden: Activos hardware, activos software, los datos que manejan y los servicios que utiliza la organizacin, por ejemplo, el servicio de acceso a Internet. Los activos deben clasificarse para indicar la importancia y el grado de proteccin necesario para cada uno de ellos. Los activos deben estar marcados para poder identificarlos. Por ejemplo, mediante etiquetas en las cajas de los ordenadores. 2.1.5 La Conformidad con la legislacin En esta rea se busca garantizar que la organizacin cumple con todas las normas que le son aplicaples, como leyes, contratos, acuerdos con terceros Para ello se identifican la legislacin u otras obligaciones aplicables a los sistemas de informacin corporativos, por ejemplo la LOPD. Estas obligaciones se integran dentro del SGSI. Se debe establecer un plan de auditoras para garantizar el cumplimiento de estas obligaciones y de los procedimientos del SGSI. La norma establece controles especficos para el control de los derechos de autor y la proteccin de datos personales. El objetivo de las auditorias es: Evitar el incumplimiento de cualquier Ley, regulacin u obligacin contractual por parte de la organizacin, Garantizar la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia del proceso de auditora

2.1.6 La Gestin de continuidad del negocio La finalidad de esta seccin es que la organizacin pueda reaccionar a la interrupciones de su actividad y proteger sus procesos crticos frente a grandes fallos o desastres.

Pgina 4 de 7

Tema 39 - Norma UNE-ISO 17799

Se busca reducir a niveles aceptables, los daos que un desastre o fallo de seguridad puedan causar. Para ello, propone una combinacin de controles preventivos y de recuperacin. Se establecen controles para la identificacin y reduccin de riesgos, limitar las consecuencias de materializacin y asegurar la reanudacin, a tiempo, de las operaciones esenciales. Tambin tiene en cuenta el desarrollo e implantacin de planes de contingencia, que es el procedimiento que asegura los procesos del negocio se pueden restaurar en los plazos requeridos. En el nivel operacional, se encuentran el resto de dominios de control 2.1.7 Seguridad ligada al personal. Este dominio abarca los controles para: Reducir los riesgos por errores humanos, robos o mal uso de instalaciones y servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el mbito de la seguridad de la informacin y que estn preparados para cumplir con la poltica de seguridad de la organizacin. Minimizar los daos provocados por incidencias de seguridad, aprendiendo de ellos. Establece controles desde las etapas de seleccin del personal, especialmente el personal que interviene en tareas sensibles. Tambin contempla el uso de acuerdos de confidencialidad para determinar qu informacin es confidencial que se incluirn en los contratos de trabajo. Las implicaciones del factor humano en la seguridad son muy elevadas. Por ello, todo el personal, tanto interno como externo a la organizacin, debe conocer las implicaciones de la poltica de seguridad en su trabajo y deben recibir formacin en el uso con seguridad de los recursos de tratamiento de informacin, para minimizar los posibles riesgos. Es importante tener procesos de notificacin de incidencias claros, giles y conocidos por todos. Gracias a ellos, el Comit de seguridad estar informado de las incidencias o vulnerabilidades de los sistemas. La informacin recibida servir para el proceso de mejora continua del SGSI. 2.1.8 La seguridad fsica y del entorno Contiene las normas para: Evitar accesos no autorizados, daos e interferencias contra los locales y los sistemas de informacin de la organizacin. Recomienda controles de seguridad tanto para los centros de proceso de datos con los sistemas crticos, como para las oficinas y despachos. Evitar la perdida o daos en los activos hardware. El equipamiento estar fsicamente protegido de las amenazas y riesgos del entorno para reducir el riesgo de accesos no autorizados a los datos y protegerlo contra prdidas o daos. Se contemplan medidas como sistemas antiincendio. Prevenir las exposiciones a riesgos o robos de informacin al reutilizar o eliminar equipos.

Las medidas de seguridad sern proporcionales a los riesgos identificados. 2.1.9 Gestin de comunicaciones y operaciones Su finalidad es garantizar la seguridad de las comunicaciones y de la operacin de los sistemas crticos para la organizacin. Para ello, contiene las recomendaciones para: Asegurar la operacin correcta y los recursos de los sistemas de informacin y de comunicaciones. Se establecern responsabilidades y procedimientos para la gestin y operacin de todos los recursos de tratamiento de informacin.

Pgina 5 de 7

Tema 39 - Norma UNE-ISO 17799

Minimizar el riesgo de fallos en el sistema. Deben realizarse proyecciones de los requerimientos futuros de capacidad para reducir el riesgo de sobrecarga del sistema. Se establecen las medidas necesarias para aceptar de forma segura nuevos sistemas de informacin en el entorno operacional. Proteger la integridad de la informacin y del software contra la introduccin de software daino. Asegurar la seguridad de la informacin en las redes y la proteccin de la infraestructura de red. Establece controles tanto para la red interna (LAN) de la organizacin, como para la que circula por redes pblicas. (Internet). Establece recomendaciones especficas para los sistemas de comercio y correo electrnico y sistemas pblicos como la web. Controlar la utilizacin y seguridad de los soportes de informacin: Documentos, cintas, cds... Prevenir la perdida, modificacin o mal uso de la informacin intercambiada entre organizaciones.

2.1.10 Control de acceso Establece las recomendaciones para implantar las medidas de control de acceso adecuados para la proteccin de los sistemas de informacin a diferentes niveles: Sistema operativos, aplicaciones, redes... El objetivo es: Control los accesos no autorizados a la informacin, a los sistemas de informacin y a los ordenadores. Se establece la poltica de acceso a los diferentes sistemas de la organizacin. Tambin se establecen controles de los procedimientos utilizados para gestionar los usuarios. Establece recomendaciones para tres niveles de control de acceso: A nivel de redes, por ejemplo con el uso de firewalls A nivel de SO, por ejemplo la desconexin automtica de terminales A nivel de aplicaciones, por ejemplo el uso de registros de la actividad de los usuarios. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. Se considerarn los riesgos de trabajar en un entorno desprotegido cuando se usa informtica mvil.

1. 2. 3.

2.1.11 Desarrollo y mantenimiento de aplicaciones El conjunto de medidas que se establecen en este apartado son: Asegurar que la seguridad est contemplada dentro de los sistemas de informacin. Se controlar que los requisitos en el desarrollo de un sistema tengan en cuenta las necesidades de seguridad. Seguridad en los sistemas de informacin: Se disearn dentro de los sistemas las medidas de control y las trazas de auditora necesarios. Estos incluirn la validacin de los datos de entrada, el tratamiento interno y los datos de salida Cuando sea necesario, establece los controles para proteger la confidencialidad, autenticidad e integridad de la informacin de la aplicacin mediante el uso de sistemas de cifrado. Controles para la seguridad de los ficheros de la aplicacin. Tanto los ficheros con cdigo ejecutable, ficheros de datos y ficheros fuente. Tambin recomienda establecer controles en el entorno de desarrollo, para evitar modificaciones no deseadas de la aplicacin en desarrollo.

Pgina 6 de 7

Tema 39 - Norma UNE-ISO 17799

Todos estos controles deben implantarse tanto para desarrollos internos como externos. 2.1.12 Gestin de los incidentes de seguridad de la informacin Esta seccin busca conseguir que cualquier incidente o vulnerabilidad asociada a la informacin o SI de la organizacin sea detectada y comunicada de forma que puedan realizarse las acciones correctivas apropiadas. Para ello se contemplan los controles que consigan: o Que se informe rpidamente de cualquier incidente surgido o vulnerabilidad detectada por cualquier miembro de la organizacin. o Investigar, documentar y recolectar evidencias del incidente, por si son necesarias posteriormente. Por ejemplo, para tramitar una denuncia. o Aprender de los incidentes surgidos. Establece los mecanismos para analizar la informacin recolectada para poder mejorar el SGSI.

Certificacin del SGSI

La certificacin del SGSI es el proceso por el cual una entidad evala si el SGSI cumple ciertas normas, en este caso la ISO 27002. Esta norma no sirve para certificar SGSI porque es una gua de buenas prcticas y no especifica los requisitos necesarios para que pueda establecerse un sistema de certificacin adecuado. En los casos que interesa certificar el SGSI, hay que utilizar la norma ISO 27001 Requisitos de los Sistemas de gestin de seguridad de la Informacin. Esta norma s es certificable al especificar los requisitos necesarios para el SGSI. ISO 27001 es consistente con las mejores prcticas de ISO 27002 pues tiene su origen en la norma britnica BS 7799-2. Por ello, se pueden integrar ambas normas para implantar un SGS certificable en una organizacin. El objetivo de obtener una certificacin en seguridad es conseguir una garanta de buen funcionamiento del SGSI. La certificacin aumenta la confianza de las entidades externas (clientes, socios, etc.) en la organizacin y tambin mejora la confianza interna en el SGSI.

Pgina 7 de 7