Estndares y Normas de Seguridad

Por qu normas/estndares de seguridad?

Las organizaciones necesitan (en ocasiones deben) demostrar que
realizan una gestin competente y efectiva de la seguridad de los
recursos y datos que gestionan.
Deben demostrar que identifican y detectan los riesgos a los que est sometida y
que adoptan medidas adecuadas y proporcionadas.
Necesario: conjunto estructurado, sistemtico, coherente y completo de normas a
seguir.

Herramienta: SGSI (Sistema de Gestin de la Seguridad de la

Informacin)

En ingls ISMS (Information Security Management System)

SGSI: proceso sistemtico, documentado y conocido por toda la
organizacin para garantizar que la seguridad de la informacin es
gestionada correctamente
 Familia de Normas ISO/IEC 27000

Normas ISO 27000: Familia de estndares de ISO (International

Organization for Standardization) e IEC (International Electrotechnical
Commission) que proporciona un marco para la gestin de la seguridad

Conjunto de normas que especifican los requisitos para establecer,

implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un
SGSI

Normas base: 20001, 20002

Normas complementarias: 20003, 20004, 20005, ...

Seguridad de la informacin (segn ISO 27001): preservacin de su confidencialidad, integridad y

disponibilidad, as como la de los sistemas implicados en su tratamiento

Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o
procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de
proceso.

Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma
por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
 Familia de Normas ISO/IEC 27000

ISO/IEC 27000: define el vocabulario estndar empleado en la

familia 27000 (definicin de trminos y conceptos)

ISO/IEC 27001: especifica los requisitos a cumplir para

implantar un SGSI certificable conforme a las normas 27000

Define cmo es el SGSI, cmo se gestiona y cales son las resposabilidades de los
participantes.

Sigue un modelo PDCA (Plan-Do-Check-Act)

Puntos clave: Gestin de riesgos + Mejora contnua

ISO/IEC 27002: cdigo de buenas prcticas para la gestin de la

seguridad

Recomendaciones sobre qu medidas tomar para asegurar los sistemas de informacin de una
organizacin

Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la
informacin) y especifica los controles recomendables a implantar (medidas a tomar)

Antes ISO 17799, basado en estndar BS 7799 (en Espaa norma UNE-ISO 17799)
 Familia de Normas ISO/IEC 27000
ISO/IEC 27003:gua de implementacin de SGSI e informacin
acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los
requerimientos de sus diferentes fases (en desarrollo, pendiente de
publicacin)
ISO/IEC 27004: especifica las mtricas y las tcnicas de medida
aplicables para determinar la eficacia de un SGSI y de los controles
relacionados (en desarrollo, pendiente de publicacin)
medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.
ISO/IEC 27005: gestin de riesgos de seguridad de la informacin
(recomendaciones, mtodos y tcnicas para evaluacin de riesgos
de seguridad)
ISO/IEC 27006: requisitos a cumplir por las organizaciones
encargadas de emitir certificaciones ISO/IEC 27001
Requisitos para la acreditacin de las entidades de auditoria y certificacin
 Familia de Normas ISO/IEC 27000

ISO/IEC 27007: gua de actuacin para auditar los SGSI conforme a las
normas 27000

ISO/IEC 27011: gua de gestin de seguridad de la informacin

especfica para telecomunicaciones (en desarrollo)

elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones)

ISO/IEC 27031: gua de continuidad de negocio en lo relativo a

tecnologas de la informacin y comunicaciones (en desarrollo)

ISO/IEC 27032: gua relativa a la ciberseguridad (en desarrollo)

ISO/IEC 27032: gua de seguridad en aplicaciones (en desarrollo)

ISO/IEC 27799: gua para implantar ISO/IEC 27002 especfica para

entornos mdicos
 ISO/IEC 27001

Norma que especifica los requisitos para establecer, implantar, poner en

funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro
del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos
para la implantacin de los controles de seguridad hechos a medida de las necesidades de
organizaciones individuales o partes de las mismas

Objetivo: Mejora continua

Se adopta el modelo Plan-Do-Check-
Act (PDCA ciclo de Deming) para
todos los procesos de la organizacin.
 ISO/IEC 27001
Fase Planificacin (Plan) [establecer el SGSI]: Establecer la
poltica,objetivos, procesos y procedimientos relativos a la
gestin del riesgo y mejorar la seguridad de la informacin de la
organizacin para ofrecer resultados de acuerdo con las
polticas y objetivos generales de la organizacin.
Fase Ejecucin (Do) [implementar y gestionar el SGSI]:
Implementar y gestionar el SGSI de acuerdo a su poltica,
controles, procesos y procedimientos.
Fase Seguimiento (Check) [monitorizar y revisar el SGSI]:
Medir y revisar las prestaciones de los procesos del SGSI.
Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar
acciones correctivas y preventivas basadas en auditoras y
revisiones internas en otra informacin relevante a fin de
alcanzar la mejora contnua del SGSI.
 ISO/IEC 27001
PLAN: Establecimiento DO: Implantacin y puesta en marcha
y gestin del SGSI del SGSI
definir el alcance del sistema
preparar un plan de tratamiento del riesgo
de gestin

implantar los controles que se hayan seleccionado
definir la poltica del SGSI

medir la eficacia de dichos controles
definir la metodologa para la
valoracin del riesgo

crear programas de formacin y concienciacin

identificar los riesgos

elaborar un anlisis y CHECK + ACT: Control y evaluacin
evaluacin de dichos
riesgos
del SGSI
identificar los diferentes

implantar una serie de procedimientos para el control y la
revisin
tratamientos del riesgo
seleccionar los controles y

puesta en marcha de una serie de revisiones regulares
sobre la eficacia del SGSI, a partir de los resultados de
objetivos de los mismos que las auditoras de seguridad y de las mediciones
posibilitarn dicho tratamiento

tomar las medidas correctivas y preventivas
 ISO/IEC 27002

Conjunto de recomendaciones sobre qu medidas tomar en la

empresa para asegurar los Sistemas de Informacin.

Los objetivos de seguridad recogen aquellos aspectos

fundamentales que se deben analizar para conseguir un sistema
seguro en cada una de las reas que los agrupa. Para conseguir
cada uno de estos objetivos la norma propone una serie de medidas
o recomendaciones (controles) que son los que en definitiva
aplicaremos para la gestin del riesgo analizado.

Objetivo: Definir los aspectos prcticos/operativos de la

implantacin del SGSI
 ISO/IEC 27002
Areas/secciones sobre las que actuar:
Poltica de seguridad Control de accesos
Aspectos organizativos para la Desarrollo y mantenimiento de
seguridad sistemas
Clasificacin y control de activos Gestin de incidentes de seguridad de
Seguridad ligada al personal la informacin
Seguridad fsica y del entorno Gestin de continuidad de negocio
Gestin de comunicaciones y Conformidad
operaciones

Objetivos de control: aspectos a asegurar dentro de cada

rea/seccin
Controles: mecanismos para asegurar los distintos objetivos
de control (gua de buenas prcticas)
Para cada control se incluye una gua para su implantacin
ISO/IEC 27002
 Legislacin
Leyes aplicables en relacin con la Seguridad en los
Sistemas de Informacin
Ley Orgnica de Proteccin de Datos (LOPD)
+ normativas de proteccin de datos
Ley de Servicios para la Sociedad de la Informacin y el
Comercio Electrnico (LSSI-CE)
Legislacin de Firma Electrnica (LFE)
Relacionadas:
Ley de Acceso de los Ciudadanos a los Servicios Pblicos
Ley de Medidas de Impulso a la Sociedad de la Informacin
 Proteccin de Datos
Todas las organizaciones que tengan ficheros con datos personales
han de declararlos a la Agencia Espaola de Proteccin de Datos
(www.agpd.es)
Hay que implantar un documento de seguridad
Ficheros de datos personales clasificados en tres niveles:
Bsico: Ficheros con informacin personal
Medio: Ficheros con datos relativos a la comisin de infracciones administrativas,
Hacienda Pblica, Servicios financieros, as como los ficheros para la prestacin
de servicios de informacin sobre solvencia patrimonial y de crdito
Alto: Ficheros con datos sobre ideologa, religin, creencias, origen racial, salud o
vida sexual, as como los datos recabados para fines policiales sin consentimiento
del afectado
Hay que aplicar medidas de seguridad tcnicas y organizativas en
funcin del nivel y segn establece el reglamento
Auditoras bienales para ficheros de nivel medio y alto
 Proteccin de Datos Personales
Ley Orgnica 15/1999, de 13 de Diciembre de Proteccin de Datos
de Carcter Personal - LOPD
Real Decreto 994/1999 de 11 de Junio por el que se aprueba el
Reglamento de Medidas de Seguridad de los ficheros
automatizados que contengan datos de carcter personal
Real Decreto 1720/2007 de 19 de diciembre por el que se aprueba el
Nuevo Reglamento de Medidas de Seguridad de los ficheros
automatizados y fsicos que contengan datos de carcter personal
 LSSI-CE

Ley 34/2002 de 11 de Julio, de Servicios de la Sociedad

de la Informacin y del Comercio Electrnico LSSI-CE (
www.lssi.es)
Establece los criterios de servicios en Internet, cuando
sean parte de actividad econmica.
Validez y regulacin del comercio electrnico
 LSSI-CE
Servicios por Internet
Mostrar en la web: Nombre, NIF, direccin, correo electrnico
Datos de inscripcin registral incluyendo nombre del dominio
Mostrar precios de los productos y servicios,
Contratacin y tramitacin on-line
Autenticacin mediante certificados y establecer canales seguros SSL
Sobre la publicidad por Internet
Prohibicin de los spam (email no solicitado)
Posibilidad de borrarse de las listas de correo informativo
Sobre los prestadores de servicios ISP, Hosting
Colaborar con los organos pblicos para resolucion de incidencias: almacenamiento de logs y eventos para rastreo
Informar a los clientes sobre medidas de seguridad a aplicar
No son responsables de contenidos ilcitos si no los elaboran,
S son responsables si los conocen y no los retiran o no los comunican.
Sobre titulares de pginas personales
Solo sujetas a la ley si tienen publicidad por la que perciban ingresos
Identificar claramente la publicidad y la identidad: nombre, tfno, fax, eMail, NIF
 Legislacin Firma Electrnica
Ley 59/2003 de 19 de Diciembre, de firma electrnica
Equipara la firma electrnica a la firma fsica, estableciendo su
validez legal
Regula a los Prestadores de Servicios de Certificacin (PSC
Autoridades de Certificacin)
Regula los certificados reconocidos
Regula los dispositivos seguros de creacin de firmas
Implementa/adapta la directiva europea 1999/93/EC (iniciativas
eEurope)
Introduce el DNI electrnico (DNIe)
RD 1553/2005 de 23 Diciembre, regula la expedicin