Documentos de Académico
Documentos de Profesional
Documentos de Cultura
20 June 2005
pgina 1
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1
pgina 2
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1 nmero creciente y cada vez ms variado de amenazas vulnerabilidades, es el principal beneficiario del estndar.
Historia
ISO 17799 es un descendiente directo del British Standard Institute (BSI) para la Seguridad de Informacin La norma BS 7799 y el BSI (www.bsi-global.com) ha estado mucho tiempo proactivo en la arena de la evolucin de la Seguridad de la Informacin. En respuesta a las exigencias de la industria, un grupo activo consagrado a la Seguridad de la Informacin se estableci como pionero en los tempranos 1990, en Inglaterra culminando un Cdigo de Prctica para Gestin de la Seguridad de Informacin en 1993. Este trabajo evolucion en la primera versin de la norma de 7799 que el BSI emiti en 1995. Al final de los 90s, en respuesta otra vez a requerimientos de la industria, el BSI form un programa para acreditar a las empresas, (los Cuerpos de la Certificacin,) como competentes para operar bajo la norma BS 7799. Este esquema es conocido como el c:cure (www.c-cure.org). Simultneamente, un comit directivo se form, mientras se culmin con la actualizacin y emisin de BS 7799 en 1998 por primera vez y despus en 1999 la segunda edicin. La norma BS 7799 actual consiste de: Parte 1: El cdigo de Prctica, y Parte 2: La especificacin de un Sistema de Gestin para la Seguridad de Informacin
Por este tiempo, la seguridad de informacin se haba vuelto noticias del titular de los peridicos y una preocupacin de los usuarios de la computadora a nivel mundial. Mientras algunas organizaciones utilizaron el BS 7799 normal, la demanda creci por una norma seguridad de la informacin internacionalmente reconocida bajo el amparo de un cuerpo o institucin internacionalmente reconocida, como el ISO. Esta demanda llev al arrastre rpido de BS 7799 Parte 1 por el BSI, culminando en su primera edicin por ISO como ISO/IEC 17799:2000 en el 2000 de diciembre. A partir de Septiembre del 2001, slo BS 7799 Parte 1 se ha aceptado para la estandarizacin de ISO porque es aplicable internacionalmente y por todos los tipos de organizaciones. EI intento para someter BS 7799 Parte 2 a una estandarizacin de ISO ha sido suspendido.
pgina 3
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1
Componentes de NT-.ISO17799
La implementacin de ISO17799 implica la construccin de un documento maestro para la Gestin del sistema de Seguridad de la Informacin en su empresa, el cual incluye los siguientes componentes: Polticas de seguridad Organizacin de la seguridad Control y clasificacin de activos informticos y de informacin Administracin de la seguridad en el personal Seguridad fsica y del ambiente Comunicaciones y operaciones Control de la administracin del Acceso a la informacin Mantenimiento y desarrollo de sistemas Administracin de incidentes en la seguridad de la informacin Administracin de la continuidad del negocio Administracin del cumplimiento ( Auditoria)
El anterior conjunto de temas se conoce tambien como la sigla PPPE ( Polticas, Procesos, Procedimientos y Estrategias) de la seguridad
Anlisis de Riesgos y Vulnerabilidades Diseo y construccin del documento maestro del Sistema de Administracin de la Seguridad de la Informacin (SASI) Implementacin del SASI Diseo e Implantacin de la Malla de Seguridad Auditoria y Revisin Continuas
pgina 4
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1 Un consultor de Seguridad conciente de las amenazas que se ciernen sobre la seguridad de la informacin en el ambiente colombiano puede ofrecer la prestacin de los siguientes servicios relacionados con las reas de seguridad de la informacin: Organizacin de la seguridad en la empresa Consiste en construir el desarrollo organizacional de la estructura de seguridad de una entidad, recomendando los cargos, procesos, direccin estructura y dems
Recopilacin y sistematizacin de la informacin relativa a seguridad Recoleccin de archivos con diagramas listados de inventario, documentos existentes de procesos de gestin y seguridad, compilacin y sistematizacin de la misma Planeacin y ejecucin de anlisis de riesgos y vulnerabilidad bajo recomendaciones BS7799 Efectuar los rastreos anlisis, estudios, y deducciones para hallar la vulnerabilidades y riesgos de un malla de proteccin ya instalada
Diseo y construccin del documento maestro de SASI ( Sistema de Administracin de la Seguridad de la Informacin) bajo el estndar NTC- ISO/IEC 17799 Entregar a la organizacin un documento maestro de polticas y normas de seguridad, incluyendo, procesos, procedimientos, controles e instrucciones de operacin y hacindolo en forma completamente personalizada y en lnea con las estrategias y objetivos de la empresa, de acuerdo con su cultura organizacional y su organigrama de cargos.
Asesora en el manejo incidentes de la seguridad Guiar y asesorar en el que hacer en caso de a los estamentos de una organizacin ante la ocurrencia de un incidente de seguridad, en la deteccin de causas y
pgina 5
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1 culpables, denuncia ante las autoridades competentes, manejo del proceso disciplinaria que se deriva del incidentes. Hacking tico: Intento de penetracin y ruptura de las estructuras de la malla de seguridad de una empresa para medir su resistencia
y capacidad de reaccin Diseo de mallas de seguridad Anlisis y decisin de los mejores recursos tcnicos de elementos de hardware y software para proteger las estructuras informticas de la empresa, su ubicacin, o polticas de uso. Este servicio se presta desde cero o tomando como base la malla existente para corregirla o actualizarla
Implementacin de mallas de seguridad La instalacin y puesta en marcha de la malla ya diseada, teniendo en cuenta pruebas, educacin y auditoria de operacin Auditorias posteriores de mantenimiento Revisin del cumplimiento de polticas y controles definidos por la empresa o bajo la gua de BS7799 parte 2
Definicin e instalacin de polticas para instalacin de firewall A la luz de la naturaleza de proteccin y ubicacin un firewall definir las polticas para implantacin de permisos y filtros
Conduccin de investigaciones de incidentes (informtica forense): seguimiento de y pisteo en la red y en la informtica, recoleccin de pruebas, creacin de protecciones temporales, indagacin
pgina 6
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No1 Planificar u ejecutar una investigacin de hechos, pruebas y hallazgo de culpables de la comisin de delitos contra la
seguridad informtica
pgina 7