Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenido
Glosario ......................................................................................................................................................... 3 Seguridad ...................................................................................................................................................... 4 Seguridad Informatica............................................................................................................................... 4 Qu es la Seguridad de la Informacin? ................................................................................................. 5 Definicin ISO 17799 ..................................................................................................................................... 5 Normas ISO 17799 ........................................................................................................................................ 6 Resumen de los Controles ISO 17799 ....................................................................................................... 7 ISO 17799 Normativa - Estndar |SEGURIDAD DE LA INFORMACIN .................................................. 7 Recomendaciones. ................................................................................................................................ 8 Secciones:.............................................................................................................................................. 8 Qu es la ISO17799? ................................................................................................................................. 10 Bajo la norma ISO.................................................................................................................................... 10 Las mejores prcticas se mencionan: ..................................................................................................... 10 Proceso de Implementacin. ...................................................................................................................... 11 Implementacin bajo la norma ISO. ....................................................................................................... 11 Ventajas - Desventajas ............................................................................................................................ 12 Antecedentes sobre el Proyecto ISO 17799 ........................................................................................... 12 Cmo se las organizaciones se benefician? .......................................................................................... 13 Cmo se las organizaciones se benefician? .......................................................................................... 13 Cambios De La Norma................................................................................................................................. 13 ISO/IEC 27002 ............................................................................................................................................. 13 Empresas Certificados BS 7799-2 / ISO/IEC 27001 ..................................................................................... 14 Certificacin ISO/IEC 27001. ....................................................................................................................... 14 Certificaciones Actuales Que Poseen Las Empresas De Software Dominicanas ........................................ 15 Certificaciones que desean obtener las empresas de software dominicanas ............................................ 15 Referencias.................................................................................................................................................. 17
Glosario Poltica. Reglas generales que todos deben seguir, debe ser corto, claro. Estndar. Coleccin de sistema de los requisitos especficos que deben cumplirse. Directrices. Coleccin de sugerencias especficas del sistema de las mejores prcticas. No son necesarios, pero se recomienda encarecidamente Procedimientos. Una serie de pasos para realizar una tarea
Seguridad Disponibilidad: se refiere a la seguridad que la informacin pueda ser recuperada en el momento que se necesite, esto es, evitar su prdida o bloqueo, bien sea por ataque doloso, mala operacin accidental o situaciones fortuitas o de fuerza mayor Integridad: Garanta de la exactitud de la informacin frente a la alteracin, prdida o destruccin, ya sea de forma accidental o fraudulenta. Confidencialidad: Caracterstica o atributo de la informacin por el que la misma slo puede ser revelada a los usuarios autorizados en tiempo y forma determinados.
Seguridad Informatica
La seguridad informtica, consiste en asegurar (mediante controles de proteccin, mtodos, tcnicas, etc.) que los recursos de los sistemas de informacin (Equipos tecnolgicos, software, datos, procesos) de una organizacin sean utilizados de la manera que se decidi, a fin de prevenir amenazas accidentales y deliberadas que pudieran resultar en una prdida de confidencialidad, integridad y disponibilidad.
Qu es la Seguridad de la Informacin?
La informacin es un activo Valor. Proteccin de la Informacin - Asegurar la continuidad de negocio, minimizar los daos, los requisitos legales Formularios de Informacin - Papel Electrnico, que hablo, y etc. Preservacin de la informacin Confidencialidad - La informacin no es revelada a los sujetos no autorizados Integridad - La precisin y la exhaustividad de la informacin y slo se modifica por los sujetos autorizados Disponibilidad - personas autorizadas se conceden evaluar a la informacin. (SLA) Controles de Seguridad de la Informacin - Las polticas, procedimientos, prcticas, estructura organizacional, y HW / SW.
Definicin ISO 17799 Es un estndar internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. Define la informacin como un activo que posee valor para la organizacin y requiere una proteccin adecuada.
Gestin de comunicaciones y operaciones. Control de Acceso Desarrollo de Sistemas y Mantenimiento Gestin de la Continuidad. Conformidad.
Para garantizar la exactitud de las operaciones y seguridad de redes / comunicaciones. Para poner en prctica los principios de control de acceso. Para garantizar que la seguridad se considera en conjunto con el desarrollo de sistemas. Para garantizar la continuidad de las empresas en caso de fallas mayores o desastres. Para garantizar el cumplimiento normativo.
1. 2. 3. 4. 5. 6. 7. 8. 9. 1.
Poltica de Seguridad Organizacin de Seguridad Clasificacin y Control de Activos Aspectos humanos de la seguridad Seguridad Fsica y Ambiental Gestin de Comunicaciones y Operaciones Sistema de Control de Accesos Desarrollo y Mantenimiento de Sistemas Plan de Continuidad del Negocio 10.Cumplimiento
Para realizar la Gestin de Seguridad de la Informacin. Permite la implantacin y evaluacin de las medidas de seguridad en TI. Es un paso para establecer un SGSI (Sistema de Gestin de Seguridad de Informacin). Son 11 dominios para derivar los: o Objetivos de Control: Resultados a alcanzar. o Controles: procedimientos, mtodos, herramientas.
Secciones: 1. Polticas de seguridad. Proporciona las directivas y el soporte de la direccin general de la empresa para la seguridad de la informacin. 2. Organizacin de la Seguridad de la Informacin Gestionar (administrar y mantener) la seguridad de la informacin: Recursos, activos, tercerizacin, etc. Mantener la seguridad de la informacin de los servicios de procesamiento de informacin de la organizacin a los cuales tiene acceso externos o que son procesados o usados por stas. 3. Clasificacin y control de activos. Deber mantenerse la proteccin adecuada de los activos corporativos y garantizar que los activos informticos reciban un nivel adecuado de proteccin 4. Seguridad del personal. Reducir el riesgo de error humano, robo, fraude, abuso de la informacin, sistemas y equipos. Asegurarse que el personal est consciente de las amenazas a la informacin y sus implicaciones. 4. Seguridad fsica y ambiental. Previene el acceso no autorizado a las instalaciones para evitar prdida, robo, dao de los bienes o interrupcin de las actividades productivas Normas ISO 17799 6. Gestin de Comunicaciones y Operaciones. Integrar los procedimientos de operacin de la infraestructura tecnolgica y de controles de seguridad documentados, que van desde el control de cambios en la configuracin de los
ISO 17799 - 27002 equipos, manejo de incidentes, administracin de aceptacin de sistemas, hasta el control de cdigo malicioso. Respaldo de informacin, gestin de la seguridad de las redes, intercambio de informacin y monitoreo Evita al mximo el riesgo de fallas en el sistema, incluido el hardware y software 7. Sistemas de control de acceso. Control del acceso a la informacin; previene los accesos no autorizados a sistemas de informacin (Sistemas operativos, aplicaciones de negocios, etc) Garantiza la proteccin de servicios de red; impide los accesos no autorizados a las computadoras; detecta actividades no autorizadas; salvaguarda la informacin cuando se utiliza cmputo mvil o remoto. 8. Adquisicin, Desarrollo y Mantenimiento de sistemas. Garantiza que la seguridad del sistema est construida dentro de la aplicacin para prevenir prdidas, abusos y modificaciones de los datos, si es necesario usando controles criptogrficos. Seguridad en los procesos de desarrollo y mantenimiento 9. Gestin de incidentes de la seguridad de informacin Reporte de los eventos y debilidades de la seguridad de la informacin, gestionando los incidentes y mejoras en la seguridad de la informacin 10. Plan de continuidad del negocio. El objetivo es estar preparado para evitar las interrupciones de las actividades crticas del negocio, en el caso se presenten fallas importantes o desastres en los sistemas de informacin, asegurando la recuperacin oportuna. 11. Cumplimiento Legal. Cumplimiento de los requisitos legales, de las polticas y las normas de seguridad y cumplimiento tcnico, as como las consideraciones de la auditora de sistemas de informacin.
Qu es la ISO17799? Es un conjunto completo de controles que incluye las mejores prcticas en: En La Seguridad De La Informacin Los Controles Basados En Polticas Medibles Certificables Gestin De Riesgos Basado En Reconocidos Internacionalmente
Las mediciones basadas en los requisitos legales son: Proteccin y confidencialidad de los datos personales Proteccin de la informacin interna Proteccin de los derechos de propiedad intelectual
Informacin de la poltica de seguridad La asignacin de la responsabilidad de seguridad de la informacin Problema escalada Negocios de gestin de continuidad
10
Proceso de Implementacin.
11
Ventajas - Desventajas
Adquirir un canal de comunicacin y publicidad de alcance masivo. Conseguir una forma de acceso a los evitando a sus intermediarios actuales. Establecer empresas virtuales o virtualizar las existentes. Vender y prestar servicios, como asesoramiento, relaciones postventas, etc. Sustituir las actuales mercancas por su equivalente digital. Una mayor tecnificacin de la empresa. Nuevas y ms estrechas relaciones entre cliente y proveedor. Adems de otro sin nmero de efectos colaterales. Procedimientos en lnea con disposiciones de tipo gubernamental. (Reconocimiento Internacional) Mejor proteccin a la confidencialidad, integridad y disponibilidad de la informacin. Mitigar riesgo a diferentes ataques Rpida y eficiente forma de recuperarse ante posibles amenazas. Cumplimiento con disposiciones legales.
12
Cambios De La Norma
Varias organizaciones britnicas tambin particip BS 7799:1995, seguridad de la informacin de gestin, el cdigo de prcticas para la seguridad de la informacin sistemas de gestin BS 7799-2:1998, de gestin de seguridad, las especificaciones para los sistemas de gestin de seguridad Revisin, BS 7799-1:1999, BS 7799-2:1999 Muchos pases adoptaron BS 7799 En diciembre de 2000, ISO / IEC 17799:2000, Cdigo de buenas prcticas para la gestin de seguridad de la informacin
ISO/IEC 27002
ISO / IEC 27002 es un estndar de seguridad de la informacin publicada por la Organizacin Internacional de Normalizacin (ISO) y la Comisin Electrotcnica Internacional (IEC), titulada Tecnologa de la informacin - Tcnicas de seguridad - Cdigo de buenas prcticas para la gestin de seguridad de la informacin. BRA ISO / IEC 27002:2005 se ha desarrollado a partir de BS7799, publicado a mediados de la dcada de 1990. La norma britnica fue adoptada por la norma ISO / IEC como ISO / IEC 17799:2000,
13
ISO 17799 - 27002 revisada en 2005, y pasa a ser (pero por lo dems sin cambios) en 2007 para alinearse con la otra la norma ISO / IEC 27000 de la serie de normas. ISO / IEC 27002 proporciona recomendaciones de mejores prcticas en la gestin de seguridad de la informacin para su utilizacin por los responsables de iniciar, implementar o mantener la seguridad de la informacin Sistemas de Gestin de la Informacin (ISMS). Seguridad de la informacin se define en el estndar en el contexto de la trada de la CIA: La preservacin de la confidencialidad (asegurando que la informacin es accesible slo para aquellos autorizados a tener acceso), integridad (proteccin de la exactitud e integridad de la informacin y los mtodos de procesamiento) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y los activos asociados cuando sea necesario).
14
70%
Un 70% de las empresas no se ha certificado ni evaluado en alguna norma o modelo, mientras que el 30% por ciento restante se divide equitativamente entre la norma ISO 9001:2000, ISO / IEC 27001 y CMMI.
0.70 60% 0.60 50% 0.50 40% 0.40 0.30 0.20 0.10 0% 0.00 Norma ISO 9001: 2008 Norma ISO/IEC 27001 CMMI Ninguna
15
16
Referencias
ISO/IEC 17799:2000(E) CISSP:Certified Information Systems Security Professional Study Guide, Ed Tittel OWASP ISO 17799 Project http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManageme nt/ContentDisplay.cfm&ContentID=26409 http://rickyboeykens.spaces.live.com/blog/cns!7EE40084F422EFB2!142.entry http://17799-news.the-hamster.com/issue10-news11.htm http://www.17799.com/papers/iso17799scope.pdf http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/AligningCOB IT,ITIL.pdf
17