SEGURIDAD DE LA INFORMACIÓN
Para una organización pública o privada, el manejo de la información contenida en bases de datos, informes, documentos o contenida en archivos son de mucha importancia y no debe ser asequible a personas ajenas a la organización. Por eso el implementar un sistema seguro es el objetivo primordial en la seguridad informática, donde a través de varias normas y técnicas de protección evitamos las siguientes amenazas: SPYWARE, VIRUS, PHISING, FUGA DE INFORMACION, NAVEGAR EN LA WEB, GUSANOS, TROYANOS, BOTNET, INGENIERIA SOCIAL, REDES SOCIALES. De modo que un perfecto control y estableciendo buenas políticas logramos reducir la vulnerabilidad de que se presenten esas amenazas.
Normas ISO 2700X
Palabras Claves
SGSI (Sistema de gestión de la seguridad de la información). Un conjunto de políticas para la administración de la seguridad de la información.
Durante el desarrollo de este documento aprenderemos el significado de las siguientes normas para la SGSI y el grado de importancia en una organización.
“Norma ISO 27000, 27001, 27002, 27003, 27004, 27005, 27006: 2007, 27007, 27799:2008, 27035:2011”.
Norma ISO 27000
Es un vocabulario estándar para el SGSI. Se encuentra en desarrollo actualmente por la ISO (International Organization for Standardization) y también por la IEC (International Electrotechnical Commission), proporcionan un conjunto de técnicas estandarizadas para la gestión de la seguridad de la información para su uso en distintas organizaciones. Cumpliendo con un objetivo clave en toda SGSI y es mantener la información siempre Integra, Disponible y Confidencial.
Norma ISO 27001
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y cumple con la función de brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información.
Esta norma es la más implementada a nivel mundial y está avalada por la ICONTEC siendo una entidad muy respetada y certifica a las empresas que implementen este estándar.
Su aplicación en sistemas va desde el análisis de riesgos hasta planes de contingencia, siendo un modelo completo que garantiza la seguridad de la información. Sus elementos claves son: la integridad, la disponibilidad, la confidencialidad; para la integridad se debe asegurar que la información sea original, para la disponibilidad invita a tener la información de forma veraz y oportuna, y para la confidencialidad no se pueden permitir que los datos sean públicos si no clasificados, que el cliente sienta que sus datos son privados y no hay riesgos de suplementación en un caso extremo.
Norma ISO 17799 o ISO 27002
Es una completa guía que proporciona las prácticas necesarias para la gestión en la seguridad de la información. Contiene en su versión más actual (2005) las siguientes secciones que van con una guía para un correcto uso:
1. Política de Seguridad de la Información.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada sección se encuentra unos controles que suman en total 133 y la aplicación de cada uno va de acuerdo a la organización que considere a si mismo necesarios.
Retomando con la ISO 27001 vale aclarar la principal diferencia entre la ISO 27002 que no es más que una guía con una lista de recomendaciones que ayudan a aplicar de forma correcta la ISO 27001 y también tener un certificado que solo se otorga a la norma ISO 27001.
Norma ISO 27003
ISO 27003 es un estándar internacional que constituye una guía para la implantación de un SGSI.
Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venían careciendo de un criterio normalizado.
La ISO 27003 focaliza su atención en los aspectos requeridos para un diseño exitoso y una buena implementación del Sistema de Gestión de Seguridad de la Información – SGSI – según el estándar ISO 27001.
Contiene una descripción del proceso de delimitación del SGSI, y además el diseño y ejecución de distintos planes de implementación.
Especifica el proceso de conseguir una aprobación para la implementación de un SGSI, define el proyecto para dicho acometido, el cual es llamado en la norma ISO 27003 proyecto de SGSI, y da instrucciones sobre cómo abordar la planificación de la gestión para implementar el SGSI.
La norma tiene el siguiente contenido:
1. Alcance.
2. Referencias Normativas.
3. Términos y Definiciones.
4. Estructura de esta Norma.
5. Obtención de la aprobación de la alta dirección para iniciar un SGSI.
6. Definición del alcance del SGSI, límites y políticas.
7. Evaluación de requerimientos de seguridad de la información.
8. Evaluación de Riesgos y Plan de tratamiento de riesgos.
9. Diseño del SGSI.
Anexo A: lista de chequeo para la implementación de un SGSI.
Anexo B: Roles y responsabilidades en seguridad de la información
Anexo C: Información sobre auditorías internas.
Anexo D: Estructura de las políticas de seguridad.
Anexo E: Monitoreo y seguimiento del SGSI.
Norma ISO 27004
La norma ISO 27004 nos ayuda a tener datos medibles en la implementación de un SGSI de tal manera que podamos presentarlos en forma de métricas, gráficos, estadísticas para las partes interesadas en tener una certificación ISO 27001.
Nos explica que parámetro medir y como medirlos para después documentarlos e integrar los datos obtenidos en el SGSI. Para esto la norma ISO 27004 nos presenta unas etapas para una correcta ejecución en la organización.
· Selección de procesos y objetos de medición.
· Definición de las líneas base.
· Recopilación de datos.
· Desarrollo de un método de medición.
· Interpretación de los valores medidos.
· Comunicación de los valores de medición.
De esta manera la implementación de la SGSI en una organización a través de la norma ISO 27004 aclara las mayores interrogantes que surjan durante este proceso como que tan efectivo y confiable es aplicar estas técnicas. Siendo un escalón para obtener la tan anhelada certificación ISO 270001.
Norma ISO 27005
La Norma ISO 27005 consiste en aplicar las directrices para la gestión de riesgos apoyándose en los requisitos definidos en la ISO 27001.
Su correcto uso depende de aplicar los siguientes niveles: Aseguramiento y control (Nivel físico), los sistemas de información (Nivel lógico) y las medidas organizacionales (Factor humano) desde la perspectiva tecnológica. Pero en su aplicación nos podemos guiar por los siguientes pasos:
1) Establecimiento de plan de comunicación interno y externo
El plan de comunicación se debe realizar a nivel interno (áreas de la organización, empleados, directivos, socios) y externo (clientes, proveedores, entes reguladores), teniendo en cuenta las definiciones sobre la existencia del riesgo, los objetivos de la gestión, el informe de los avances del proceso y todo aquello que se considere necesario. Los medios a usar para comunicar el proceso de gestión dependen de las necesidades y disponibilidad de la organización.
2) Definición del contexto organizacional
El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla a nivel interno y externo, qué elementos se requieren proteger y, de acuerdo a los recursos actuales, cómo podría darse esa protección hasta establecer un nivel de riesgo aceptable.
3) Valoración de los riesgos tecnológicos
En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y sus debilidades, así como las amenazas a las cuales se encuentran expuestos. En este punto se recomiendan posibles controles de mitigación de los riesgos.
4) Tratamiento de riegos tecnológicos
En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a cabo para mitigar los riesgos encontrados y lograr riesgos residuales aceptables por la organización. Dentro de las acciones a tomar encontramos principalmente: reducir, aceptar, eliminar y transferir.
Norma ISO 27006
ISO 27006 tiene como título oficial “Tecnología de la información -. Técnicas de seguridad Requisitos para los organismos que realizan la auditoría y certificación de sistemas de información de gestión de la seguridad”, se compone de 10 capítulos y 4 anexos.
El estándar ISO 27006 responde a una guía para los organismos de certificación en los procesos formales que hay que seguir al auditar SGSI. Los procedimientos descritos en dicha norma dan la garantía de que el certificado emitido de acuerdo a ISO 27001 es válido.
ISO-27006 está pensada para apoyar la acreditación de organismos de certificación que ofrecen la certificación del Sistema de Gestión de Seguridad de la Información. Se encarga de especificar los requisitos y suministrar una guía para la auditoría y la certificación del sistema.
Cualquier organización certificada en ISO27001 debe cumplir también con los requisitos de la norma ISO27006.
El proceso de certificación consiste en auditar el SGSI para el cumplimiento de ISO 27001. Los auditores de certificación solo tienen interés pasajero en los controles reales de seguridad de información que están siendo administrados por el sistema de gestión. Se supone que cualquier empresa con una queja del SGSI es, ha de gestionar sus riesgos de seguridad de información con diligencia.
Esta norma se publicó en 2007 y se revisó en 2011.
La próxima versión es probable que sea diferente debido a los cambios relevantes en las normas en las que se basa.
Los requisitos generales a los que hace referencia son:
· Orientación específica del SGSI en relación con la imparcialidad.
· Listado del trabajo que pudiera estar en conflicto.
· Inclusión de una lista de todas las actividades que se pueden realizar fuera.
Norma ISO 27007
Consiste en una guía para las entidades encargadas de auditar SGSI.
El estándar acoge:
· La gestión del programa de auditoría del SGSI: establecer qué, cuándo y cómo se debe auditar, asignar auditores apropiados, gestionar los riesgos de auditoría, mantenimiento de los registros de la misma, mejora continúa del proceso…
· Ejecución de la auditoría relativa al SGSI, ésta incluye el proceso de auditoría, la planificación, la realización de actividades clave, trabajo de campo, análisis, presentación de informes y seguimiento.
· Gestión de los auditores del SGSI: competencias, atributos, habilidades, evaluación…
Esta guía tiene los siguientes fines:
· Confirmar que los controles de seguridad de la información mitigan de forma correcta los riesgos de la organización.
· Verificar que los controles de seguridad en relación con la contabilidad general o de los sistemas y procesos de contratación son correctas para que los auditores corroboren los datos.
· Ratificar que las obligaciones contractuales de los proveedores son satisfactorias en relación a la seguridad de la información.
· Revisar por la dirección, sin olvidar las operaciones rutinarias que forman parte del SGSI de una organización, para asegurarnos que todo está en orden.
· Auditar tras incidentes de seguridad de la información como parte del análisis y generar acciones correctivas.
Norma ISO 27799:2008
Es una norma aplicable en el sector sanitario que interpreta y aplica las ya conocidas ISO 27001 y 27002. Son un conjunto de técnicas y métodos únicamente utilizados en el ámbito sanitario, definiendo las reglas necesarias para su implementación.
A través de la adopción de esta norma internacional, las empresas del sector sanitario podrán asegurar un nivel mínimo de seguridad adecuado a las circunstancias de su organización. Además, va a permitir la integridad, disponibilidad y confidencialidad de la información de los pacientes.
Norma ISO 27035:2011
ISO 27035 explica un enfoque de mejores prácticas destinado a la gestión de la información de incidentes de la seguridad.
Los controles de la seguridad de la información no son perfectos debido a que pueden fallar, pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no están en funcionamiento. Debido a esto, los incidentes pasan debido que los controles preventivos no son totalmente eficaces o fiables.
La gestión de incidentes da lugar a que existan controles de detección y correctivas que estarán destinadas a reducir los impactos desfavorables y aprender las lecciones sobre mejoras en el SGSI.
La norma proporciona un enfoque estructurado para:
· Identificar, comunicar y evaluar los incidentes de la seguridad de la información
· Contestar, gestionar los incidentes de la seguridad de la información
· Identificar, examinar y gestionar las vulnerabilidades de seguridad de la información
· Aumentar la mejora de la continuidad de la seguridad de la información y de la gestión de los incidentes, como respuesta a la gestión de incidentes de la seguridad de la información y de las vulnerabilidades.
La orientación de la seguridad de la información en ISO-27035 se puede aplicar a todas las organizaciones, ya sean pequeñas, medianas o grandes. Además, se da orientación de forma específica para las empresas que presten servicios de gestión de incidentes de seguridad de información.
ISO-27035 constituye un proceso con cinco etapas que son claves:
· Preparase para enfrentarse a los incidentes.
· Reconocer los incidentes de seguridad de la información.
· Examinar los incidentes y tomar las decisiones sobre la forma en que se han llevado a cabo las cosas.
· Dar respuesta a los incidentes, lo que quiere decir, investigarlos y resolverlos.
· Aprender de las lecciones.
Conclusión
En conclusión, las normas que se emiten por
la ISO son necesarias para cualquier organización y su correcto uso depende de
la persona encargada porque requiere de mucha preparación y de un constante
seguimiento para evaluar su funcionamiento, tomando las respectivas
correcciones si se llegan a presentar dado el caso que se hayan omitido algunos
controles cruciales.CIBERGRAFIA
https://es.wikipedia.org/wiki/ISO/IEC_27000-series
http://www.iso27000.es/download/doc_iso27000_all.pdf
http://es.slideshare.net/nestorjgp/norma-27000
http://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-la-implementacion-de-un-sistema-de-gestion-de-seguridad-de-la-informacion/
http://www.pmg-ssi.com/2014/01/isoiec-27004-medicion-de-la-seguridad-de-la-informacion/
http://www.criptored.upm.es/guiateoria/gt_m292j.htm
http://www.pmg-ssi.com/2014/02/isoiec-27006-guia-para-la-certificacion-del-sgsi/
http://www.pmg-ssi.com/2014/02/isoiec-27007-guia-para-auditar/
No hay comentarios:
Publicar un comentario