Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD DE LA INFORMACION ISO 27003 v2
SEGURIDAD DE LA INFORMACION ISO 27003 v2
Para el presente desarrollo del tema se tomó como referencia el Proyecto de Norma Peruana
PNTP-ISO/IEC 27003:2012 TECNOLOGÍA DE LA INFORMACIÓN. Técnicas de seguridad – Directrices
para la implementación de un sistema de gestión de la seguridad de la información, que es un
equivalente de la ISO/IEC 27003:2010 Information technology -- Security techniques --
Information security management system implementation guidance, esto debido a la falta de
documentación oficial en español del presente ISO.
Algunas restricciones a considerar es que PNTP-ISO/IEC 27003:2012 no cubre las actividades de
operación y otras actividades del ISMS, sino que abarca los conceptos sobre cómo diseñar las
actividades que tendrán lugar después de que comiencen las operaciones del ISMS
Tiene como objeto y campo de aplicación los aspectos críticos necesarios para el diseño e
implementación exitosa de un Sistema de Gestión de la Seguridad de la Información (SGSI) de
acuerdo con NTP-ISO/IEC 27001:2008
La Figura 2 ilustra las cinco fases de la planificación del proyecto SGSI con las referencias a
las normas ISO/IEC y los documentos de salida principales.
F
uente: PNTP-ISO/IEC 27003
Esta parte permitió que la alta gerencia de la empresa entendiera la importancia del proyecto y la necesidad
del apoyo del recurso humano, factor vital para el inicio de la fase de levantamiento de información. Esta
fase fue exitosa gracias a que se mostraron puntos tales como: cumplimiento y rendimiento de la inversión
de una forma eficaz, haciéndoles entender que si una organización cumple con la normatividad sobre
protección de datos sensibles, privacidad y control de TI, los resultados a futuro mejorarían de forma
sustancial el impacto estratégico de la compañía, y aunque represente un gasto considerable, genera así
mismo a futuro un Retorno de la Inversión (ROI – Return Over Investment) y una ganancia financiera
representados en incidentes o desastres durante el proceso de desarrollo de software.
II. Definir alcance y política de un SGSI
a) Identificación de activos dentro del alcance del SGSI: Para este punto se sugirió realizar un inventario
de los activos para tener un control más riguroso de los mismos. Toda la información y activos asociados
a los recursos para el tratamiento de la información, deberían tener un propietario y pertenecer a una
parte designada de la Organización.
Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar cuál era la
situación actual de la Organización, se realizó un análisis de gap, cuyos resultados se muestran en la
figura 1, donde se puede apreciar que un 20% de los activos de la Comunidad no tienen un
procedimiento implantado, lo cual representa un porcentaje bastante alto.
b) Evaluación de seguridad de la información en relación a los recursos humanos: Tuvo como objetivo
evaluar si los empleados, contratistas y usuarios de terceras partes, entienden sus responsabilidades y
son aptos para ejercer las funciones para las cuales fueron considerados, con el fin reducir el riesgo de
hurto, fraude o uso inadecuado de las instalaciones.
a) Se realizo una evaluación del riesgo en base a la metodología que cuenta Wanka-Soft el cual se
denomina MERWS (Metodología de Evaluación de Riesgos Wanka-Soft), La evaluación de riesgo se
dio sobre el proceso de Desarrollo de Software y los Recursos Humanos. Esta metodología permitió:
- Identificar los riesgos
- Analizar y evaluar los riesgos encontrados
- Definir objetivos de Control y Controles para el tratamiento de riesgos
- Proponer opciones para el tratamiento de riesgos
b) Asimismo se realizo el análisis de las amenazas y vulnerabilidades, lo cual requirió las siguientes
actividades:
- Realizar una lista de las amenazas que puedan presentarse en forma accidental o intencional
con relación a los activos de información. Diferenciar estas amenazas de las vulnerabilidades de
los activos ya que el análisis debe radicar en las amenazas.
- Identificar los riesgos internos de los procesos analizando tanto las actividades que se
desarrollan como las amenazas identificadas.
- Identificar los riesgos externos de los procesos. Es necesario analizar los riesgos que se pueden
presentar cuando se subcontrata un servicio o existe personal externo a la organización.
- Realizar un análisis del ambiente organizacional, el ambiente tecnológico y los aspectos
socioculturales que rodea la Organización para definir las amenazas a las que pueden estar
expuestos los activos.
EXTERNO INTERNO
- Acceso no autorizado al área de
- Suplantación de identidad desarrollo
- Virus informático o código malicioso - Hurto por colaboradores
- Robo de información del área de - Alteración de resultados
AMENAZAS
desarrollo - Divulgación de la información
- Hackers – espionaje - Uso indebido de la imagen corporativa
- Hurto por personal externo - Sabotaje
- Falla del servidor o sistema
d)
V.