UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Asignatura: Integradora II

Ingeniera en

Actividad: ISO 27000

Unidad: 1

Parcial: Auditorias De Sistemas En Tecnologas De La Informacin

Nombre completo del (los) alumno (s) :

Nombre del Profesor :

M.T.I. Roberto Jess Estrada Benavidez

16-9-2013

Grupo : Fecha de entrega :

T.S.U Omar Barrera Valentn T.S.U Pablo Olayo Jaimes T.S.U Jorge Tecoapa Salazar T.S.U Daniel Daz Castrejn T.S.U Juan Carlos Loza Santacruz 1002 27 de Septiembre de 2013

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
ndice

Ingeniera en

INTRODUCCIN ORIGEN LA SERIE 27000 BENEFICIOS CMO ADAPTARSE? ARRANQUE DEL PROYECTO PLANIFICACIN IMPLEMENTACIN SEGUIMIENTO MEJORA CONTINUA CONCLUSIN BIBLIOGRAFA

3 4 5 9 10 11 12 14 15 17 19 20

16-9-2013

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Introduccin

Ingeniera en

La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin. Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. ISO/IEC 27000 es un conjunto de estndares desarrollados o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.

16-9-2013

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como: BS 5750. Publicada en 1979. Origen de ISO 9001 BS 7750. Publicada en 1992. Origen de ISO 14001 BS 8800. Publicada en 1996. Origen de OHSAS 18001 La norma BS 7799 de BSI apareci por primera vez en 1995, con objeto de proporcionar a cualquier empresa britnica o no un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se public por ISO, con algunos cambios, como estndar ISO 27000. Al tiempo se revis y actualiz ISO 17799. Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin. En Marzo de 2006, posteriormente a la publicacin de ISO 27000:2005, BSI public la BS 7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin. Asimismo, ISO ha continuado, y contina an, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretacin e implementacin de ISO/IEC 27000, que es la norma principal y nica certificable dentro de la serie.

Ingeniera en

16-9-2013

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
La Serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos momentos. ISO 27000 Es un conjunto de estndares desarrollados o en fase de desarrollo por ISO e IEC que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. Sus rangos de numeracin reservados abarcan desde ISO 27000 a 27019 y de 27030 a 27044. A semejanza de otras normas, ISO 27000 es realmente una serie de estndares. La ISO 27000 proporciona una visin general de las normas que componen la serie 27000, una introduccin a los sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del proceso Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000. La ISO 27001, es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. ISO/IEC 27002 Es el nombre de ISO 17799:2005, es una gua de buenas prcticas que describen los objetivos de control y controles recomendables en cuanto a seguridad de la informacin.

Ingeniera en

16-9-2013

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
ISO/IEC 27003 Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. ISO/IEC 27004 Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. ISO/IEC 27005 Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. ISO/IEC 27006 Esta especifica los requisitos para la acreditacin de entidades que operan certificacin de sistemas de gestin de seguridad de la informacin. Ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001. ISO/IEC 27007 Consiste en una gua de auditoria de un SGSI, con complemento especificado en ISO 19011. ISO/IEC 27008 Consiste en una auditoria de los seleccionados en el marco de implantacin de un SGSI.

Ingeniera en

16-9-2013

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
ISO/IEC 27010 Es una norma en 2 partes, que consistir en una gua para la gestin de la seguridad de la informacin en comunicaciones inter-sectoriales. ISO/IEC 27011 Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. ISO/IEC 27012 Consiste en un conjunto de requisitos y directrices de gestin de seguridad de la informacin en organizaciones que proporcionen servicios de Administracin. ISO/IEC 27013 Consiste en una gua de implementacin integrada de ISO/IEC 27001. ISO/IEC 27014 Consiste en una gua de gobierno corporativo de la seguridad de la informacin. ISO/IEC 27015 Consiste en una gua de SGSI para organizaciones del sector financiero y de seguros. ISO/IEC 27031 Consiste en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones.

Ingeniera en

Consiste en una gua relativa a la ciberseguridad.

16-9-2013

ISO/IEC 27032

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
ISO/IEC 27033 Norma dedicada a la seguridad en redes, consiste en 7 partes: 27033-1, conceptos generales, 27033-3, escenarios de redes de referencia, 27033-4, aseguramiento de las comunicaciones entre redes mediante Gateway de seguridad, 27033-7, redes inalmbricas. ISO/IEC 27034 Consiste en una gua de seguridad de outsourcing. ISO/IEC 27037 Consiste en una gua de identificacin, recopilacin y preservacin de evidencias digitales. ISO 27799 Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud los pacientes.

Ingeniera en

16-9-2013

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Beneficios
Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

Ingeniera en

16-9-2013

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Cmo Adaptarse?

Ingeniera en

Se puede prever, que la certificacin ISO 27000 ser una obligacin de cualquier empresa que desee competir en el mercado, se deben exigir niveles concretos y adecuados de seguridad informtica, sino se podran abrir brechas de seguridad, este estndar apunta a poder exigir dichos niveles y cubrir todas estas posibles brechas, y ya no puede caber duda que las empresas para competir con sus productos en el mercado ciberntico, tienen que exponer sus infraestructuras de informacin, es por esto que ISO 27000 en este sentido es una muy buena y slida solucin. Al aplicar el estndar ISO 27000, se debe dar continuidad, pues ISO ao tras ao publica nuevas modificaciones a estos estndares, para as asegurar una correcta gestin de la informacin de las organizaciones, por lo tanto se debe estar muy pendiente de todas estas nuevas publicaciones para no poner en riesgo la informacin de la organizacin.

16-9-2013

10

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Arranque Del Proyecto

Ingeniera en

Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la organizacin. No slo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la Direccin. Planificacin, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

16-9-2013

11

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Planificacin

Ingeniera en

Definir alcance del SGSI: en funcin de caractersticas del negocio, organizacin, localizacin, activos y tecnologa, definir el alcance y los lmites del SGSI Es importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con el exterior del alcance, determinar las terceras partes (proveedores, clientes...) que tienen influencia sobre la seguridad de la informacin del alcance, crear mapas de alto nivel de redes y sistemas, definir las ubicaciones fsicas, disponer de organigramas organizativos, definir claramente los requisitos legales y contractuales relacionados con seguridad de la informacin, etc. Definir poltica del SGSI: que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, est alineada con la gestin de riesgo general, establezca criterios de evaluacin de riesgo y sea aprobada por la especie de "declaracin de intenciones" de la Direccin. Direccin. La poltica del SGSI es normalmente un documento muy general, una

16-9-2013

12

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Definir el enfoque de evaluacin de riesgos: definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable. Inventario de activos: todos aquellos activos de informacin que tienen algn valor para la organizacin y que quedan dentro del alcance del SGSI. Identificar amenazas inventario. Identificar los impactos: los que podra suponer una prdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos de informacin. Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los niveles definidos previamente) o requiere tratamiento. Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing). y vulnerabilidades: todas las que afectan a los activos del

Ingeniera en

16-9-2013

13

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Implementacin

Ingeniera en

Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados. Implementar los controles: todos los que se seleccionaron en la fase anterior. Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de la informacin. Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones. Gestionar las operaciones del SGSI y todos los recursos que se le asignen. Implantar procedimientos y controles de deteccin y respuesta a incidentes de seguridad.

16-9-2013

14

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Seguimiento

Ingeniera en

Ejecutar procedimientos y controles de monitorizacin y revisin: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la informacin estn desarrollndose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces. Revisar regularmente la eficacia del SGSI: en funcin de los resultados de auditoras de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados. Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad. Revisar regularmente la evaluacin de riesgos: los cambios en la organizacin, tecnologa, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.

16-9-2013

15

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Realizar regularmente auditoras internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27000, el entorno legal y los requisitos y objetivos de seguridad de la organizacin, estn implementados y mantenidos con eficacia y tienen el rendimiento esperado. Revisar regularmente el SGSI por parte de la Direccin: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la poltica de seguridad o a los objetivos de seguridad de la informacin. Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorizacin y las revisiones. Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

Ingeniera en

16-9-2013

16

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Mejora Continua

Ingeniera en

Acciones correctivas: para solucionar no conformidades detectadas. Acciones preventivas: para prevenir potenciales no conformidades. Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier accin, medida o cambio debe comprobarse siempre. Factores de xito La concienciacin del empleado por la seguridad. Principal objetivo a conseguir. Realizacin de comits a distintos niveles (operativos, de direccin, etc.) con gestin continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos...

continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).

16-9-2013

Creacin de un sistema de gestin de incidencias que recoja notificaciones

17

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. La seguridad no es un producto, es un proceso. La seguridad no es un proyecto, es una actividad continua y el programa de proteccin requiere el soporte de la organizacin para tener xito. La seguridad debe ser inherente a los procesos de informacin y del negocio. Riesgos Exceso de tiempos de implantacin: con los consecuentes costes

Ingeniera en

descontrolados, desmotivacin, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas. Discrepancias en los comits de direccin. Delegacin de todas las responsabilidades en departamentos tcnicos. No asumir que la seguridad de la informacin es inherente a los procesos de negocio. Planes de formacin y concienciacin inadecuados. Calendario de revisiones que no se puedan cumplir. Definicin poco clara del alcance. Exceso de medidas tcnicas en detrimento de la formacin, concienciacin y medidas de tipo organizativo. Falta de comunicacin de los progresos al personal de la organizacin.

16-9-2013

18

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Conclusin

Ingeniera en

Los estndares ISO 27000 son aplicables a cualquier tipo de organizacin, independientemente de la magnitud que sea, si es grande este estndar tiene todo el nivel de detalle que se necesita y se es pequea, ISO 27000 nos permite sacar adelante un verdadero SGSI.

Es interesante saber o tener en cuenta que papel toman los estndares ISO en este caso, ya que ISO 27000, es un estndar basado a la seguridad informtica como lo son otros estndares los cuales no solo se basan en la seguridad informtica, sino que se basan en otros enfoques, ya que en conclusin de acuerdo a lo que nos da a entender este estndar es que es una serie de estndares que est conformado por una familia entera basada en la seguridad informtica y como se menciona no es necesario especificar el tamao de la organizacin a la cual se le implementara este estndar, ya que es de mucha ayuda para la seguridad de datos de estas organizaciones que estn regidas bajo este estndar.

Es bueno tambin saber que especificaciones o recomendaciones nos dan de estos estndares durante su aplicacin en nuestra organizacin, ya que si no se siguen las reglas de estos pueden causar un mal uso de los estndares de seguridad provocando as la perdida de informacin y una mala seguridad informtica de nuestra organizacin.

16-9-2013

19

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

Tecnologas de la Informacin
Bibliografa

Ingeniera en

www.iso27000.es www.27000.org/ www.iso.org/iso/catalogue_detail?csnumber=4193

http://www.iso27000.es/download/doc_iso27000_all.pdf http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm http://www.worldamerican.com/spanish_pages/site/quality/iso.html http://www.iso27000.es/iso27000.html#section3b http://www.itsecurity.es/2010/01/origen-y-breve-historia-de-la-familia.html http://www.iso27000.es/download/doc_iso27000_all.pdf

16-9-2013

20