Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1

La Gestin de Seguridad de informacin Entendiendo NTC-ISO/IEC17799 ; NTC BS7799

20 June 2005

Improved ISO/IEC 17799 makes information assets even more secure

An improved version of the joint ISO/IEC standard that has become the burgeoning e-commerce communitys international benchmark for information security management has just been published. The revised ISO/IEC 17799, Information technology Security techniques Code of practice for information security management, integrates the latest developments in the field to maintain it as the international standard code of practice. The modern interconnected e-commerce environment, with information now exposed to a growing number and a wider variety of threats and vulnerabilities, is the main beneficiary of the standard

El ambiente de la Seguridad actual

La operacin de las instalaciones informticas y de Telecomunicaciones presenta hoy en da un ambiente difcil por las tendencias de la gente con algn conocimiento tecnolgico a romper la proteccin de la informacin ya sea por el simple prurito de hacerlo o buscando la consecucin de beneficios econmicos basados en que la informacin es el oro del Siglo 21. Este ambiente esta caracterizado por Proliferacin de cada vez mas complejas, globales y sofisticadas amenazas a la Seguridad de la Informacin Los equipos, programas y soluciones individuales de proveedores son peligrosamente inadecuadas/dos Lo casos de hacking exitoso recientes, phising, robo de la base de datos de Master Card La cada vez mayor cantidad de datos personales en poder de las empresas y organizaciones (b2b, e-commerce y demas e.) La carencia en las empresas de Sistemas de Gestin para la seguridad de la informacin El Acta Sarbanes-Oxley que regula las operaciones contables y la confidencialidad de las empresas y corporaciones en Norteamrica y sus subsidiarias en todo el mundo

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 1

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1

Que es ISO 17799?

ISO 17799 es una Norma internacionalmente reconocida para Gestin de la Seguridad de la Informacin inicialmente publicada por la Organizacin Internacional para la Estandarizacin, o ISO (www.iso.ch), en el ao 2000. ISO 17799 es de alto nivel alto, amplia en su alcance, y conceptual en su naturaleza. Este enfoque le permite ser aplicada a mltiples tipos de empresas y aplicaciones. Tambin se ha hecho polmica entre aqullos que creen que las normas deben ser lo ms precisas posibles. A pesar de esta controversia, ISO 17799 es el nico standard consagrado a la Gestin de Seguridad de Informacin en un campo generalmente gobernado por las Pautas, las Guas y las Mejores Prcticas. ISO 17799 define la informacin como un recurso que puede existir en muchas formas y puede tener un valor para una organizacin. La meta de la seguridad de informacin es proteger este recurso adecuadamente para asegurar la continuidad comercial y operativa, minimizar el dao comercial, y aumentar al mximo el retorno en las inversiones. Como esta definido por ISO 17799, la seguridad de la informacin se caracteriza como la preservacin de: La Confidencialidad de la informacin, asegurando esa informacin para que slo sea accesible a aqullos autorizados a tener el acceso. La Integridad y autenticidad salvaguardando la exactitud e integridad de informacin y mtodos de procesamiento. La Disponibilidad, asegurando a los usuarios autorizados el acceso a la informacin y a los recursos asociados cuando los requiere.

Como se prepara el mercado para afrontar estos retos

Diferentes naciones han reconocido la importancia del tema y promovido un ambiente a favor de la confidencialidad, integridad, disponibilidad y autenticidad de la informacin, considerada un bien de importancia estratgica en el desarrollo econmico y social. As lo demuestra el Acta Sarbanes-Oxley. que regula las operaciones contables y la confidencialidad de las empresas y corporaciones en Norteamrica y sus subsidiarias en todo el mundo. En lnea con estos propsitos, el estndar ISO/IEC 17799 se ha convertido en una referencia para la comunidad internacional con respecto a la gestin de la seguridad de la informacin. El ambiente actual de comercio electrnico, donde la informacin est cada vez ms expuesta a un

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 2

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1 nmero creciente y cada vez ms variado de amenazas vulnerabilidades, es el principal beneficiario del estndar.

Historia
ISO 17799 es un descendiente directo del British Standard Institute (BSI) para la Seguridad de Informacin La norma BS 7799 y el BSI (www.bsi-global.com) ha estado mucho tiempo proactivo en la arena de la evolucin de la Seguridad de la Informacin. En respuesta a las exigencias de la industria, un grupo activo consagrado a la Seguridad de la Informacin se estableci como pionero en los tempranos 1990, en Inglaterra culminando un Cdigo de Prctica para Gestin de la Seguridad de Informacin en 1993. Este trabajo evolucion en la primera versin de la norma de 7799 que el BSI emiti en 1995. Al final de los 90s, en respuesta otra vez a requerimientos de la industria, el BSI form un programa para acreditar a las empresas, (los Cuerpos de la Certificacin,) como competentes para operar bajo la norma BS 7799. Este esquema es conocido como el c:cure (www.c-cure.org). Simultneamente, un comit directivo se form, mientras se culmin con la actualizacin y emisin de BS 7799 en 1998 por primera vez y despus en 1999 la segunda edicin. La norma BS 7799 actual consiste de: Parte 1: El cdigo de Prctica, y Parte 2: La especificacin de un Sistema de Gestin para la Seguridad de Informacin

Por este tiempo, la seguridad de informacin se haba vuelto noticias del titular de los peridicos y una preocupacin de los usuarios de la computadora a nivel mundial. Mientras algunas organizaciones utilizaron el BS 7799 normal, la demanda creci por una norma seguridad de la informacin internacionalmente reconocida bajo el amparo de un cuerpo o institucin internacionalmente reconocida, como el ISO. Esta demanda llev al arrastre rpido de BS 7799 Parte 1 por el BSI, culminando en su primera edicin por ISO como ISO/IEC 17799:2000 en el 2000 de diciembre. A partir de Septiembre del 2001, slo BS 7799 Parte 1 se ha aceptado para la estandarizacin de ISO porque es aplicable internacionalmente y por todos los tipos de organizaciones. EI intento para someter BS 7799 Parte 2 a una estandarizacin de ISO ha sido suspendido.

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 3

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1

Componentes de NT-.ISO17799
La implementacin de ISO17799 implica la construccin de un documento maestro para la Gestin del sistema de Seguridad de la Informacin en su empresa, el cual incluye los siguientes componentes: Polticas de seguridad Organizacin de la seguridad Control y clasificacin de activos informticos y de informacin Administracin de la seguridad en el personal Seguridad fsica y del ambiente Comunicaciones y operaciones Control de la administracin del Acceso a la informacin Mantenimiento y desarrollo de sistemas Administracin de incidentes en la seguridad de la informacin Administracin de la continuidad del negocio Administracin del cumplimiento ( Auditoria)

El anterior conjunto de temas se conoce tambien como la sigla PPPE ( Polticas, Procesos, Procedimientos y Estrategias) de la seguridad

Los servicios estndar posibles de ofreces en Seguridad de la Informacin

Proceso integral en la Gestin de la Seguridad de la Informacin
PreConsultora

Anlisis de Riesgos y Vulnerabilidades Diseo y construccin del documento maestro del Sistema de Administracin de la Seguridad de la Informacin (SASI) Implementacin del SASI Diseo e Implantacin de la Malla de Seguridad Auditoria y Revisin Continuas

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 4

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1 Un consultor de Seguridad conciente de las amenazas que se ciernen sobre la seguridad de la informacin en el ambiente colombiano puede ofrecer la prestacin de los siguientes servicios relacionados con las reas de seguridad de la informacin: Organizacin de la seguridad en la empresa Consiste en construir el desarrollo organizacional de la estructura de seguridad de una entidad, recomendando los cargos, procesos, direccin estructura y dems

Recopilacin y sistematizacin de la informacin relativa a seguridad Recoleccin de archivos con diagramas listados de inventario, documentos existentes de procesos de gestin y seguridad, compilacin y sistematizacin de la misma Planeacin y ejecucin de anlisis de riesgos y vulnerabilidad bajo recomendaciones BS7799 Efectuar los rastreos anlisis, estudios, y deducciones para hallar la vulnerabilidades y riesgos de un malla de proteccin ya instalada

Diseo y construccin del documento maestro de SASI ( Sistema de Administracin de la Seguridad de la Informacin) bajo el estndar NTC- ISO/IEC 17799 Entregar a la organizacin un documento maestro de polticas y normas de seguridad, incluyendo, procesos, procedimientos, controles e instrucciones de operacin y hacindolo en forma completamente personalizada y en lnea con las estrategias y objetivos de la empresa, de acuerdo con su cultura organizacional y su organigrama de cargos.

Asesora en el manejo incidentes de la seguridad Guiar y asesorar en el que hacer en caso de a los estamentos de una organizacin ante la ocurrencia de un incidente de seguridad, en la deteccin de causas y

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 5

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1 culpables, denuncia ante las autoridades competentes, manejo del proceso disciplinaria que se deriva del incidentes. Hacking tico: Intento de penetracin y ruptura de las estructuras de la malla de seguridad de una empresa para medir su resistencia

y capacidad de reaccin Diseo de mallas de seguridad Anlisis y decisin de los mejores recursos tcnicos de elementos de hardware y software para proteger las estructuras informticas de la empresa, su ubicacin, o polticas de uso. Este servicio se presta desde cero o tomando como base la malla existente para corregirla o actualizarla

Implementacin de mallas de seguridad La instalacin y puesta en marcha de la malla ya diseada, teniendo en cuenta pruebas, educacin y auditoria de operacin Auditorias posteriores de mantenimiento Revisin del cumplimiento de polticas y controles definidos por la empresa o bajo la gua de BS7799 parte 2

Definicin e instalacin de polticas para instalacin de firewall A la luz de la naturaleza de proteccin y ubicacin un firewall definir las polticas para implantacin de permisos y filtros

Conduccin de investigaciones de incidentes (informtica forense): seguimiento de y pisteo en la red y en la informtica, recoleccin de pruebas, creacin de protecciones temporales, indagacin

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 6

Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1 Planificar u ejecutar una investigacin de hechos, pruebas y hallazgo de culpables de la comisin de delitos contra la

seguridad informtica

Autor: Ingeniero Jaime Hernando Rubio Rincn

pgina 7