ESCUELA POLITECNICA NACIONAL

09

NORMA ISO27001 SEGURIDAD EN REDES

Andrea Muñoz

NORMA ISO27001:

1. OBJETIVO:

Conocer a cerca de las normas de seguridad de la información y la norma ISO27001

2. RESUMEN DE LA NORMA:

Estándar Internacional ISO/IEC 27001

1. CARACTERÍSTICAS GENERALES

Este es un estándar preparado para proveer un modelo de establecimiento,

implementación, operación, monitoreo, revisión, mantenimiento y mejora de un

Sistema de Gestión de Seguridad de la Información1 documentado; en el contexto de

los riesgos específicos de las actividades de la organización.

El Enfoque a Procesos2 para la gestión de seguridad de información que se presenta

en éste Estándar Internacional enfatiza la importancia de:

Entender los requerimientos de seguridad de una organización y la necesidad

de establecer políticas y objetivos para la seguridad de la información.

Implementar y operar controles para manejar la los riesgos de seguridad de la

información.

Monitorear y revisar el rendimiento del Sistema de Gestión de seguridad de la

Información

Mejoramiento continuo.

Éste estándar adopta un modelo “Planear-Hacer-Revisar-Actuar” que se aplica para

estructurar todos los procesos del SGSI.

2. ALCANCE

Partes

Interesadas

Requerimientos y

Expectativas de la

Seguridad de la

información

Partes

Interesadas

Seguridad de

Información

Gestionada.

Hacer

Establecer

SGSI

Implementar y

Operar el SGSI

Mantener y

Mejorar SGSI

Monitorear y

Revisar SGSI

Planear

Actuar

Revisar

Los requerimientos de éste estándar son genéricos y aplicables a cualquier tipo de

organización. Sin embargo, la exclusión de cualquiera de los requerimientos

especificados en las clausulas 5,6,7, y 8 no es aceptable para la certificación del

estándar.

El documento ISO/IEC 17799:2005 es indispensable para la aplicación de éste

estándar.

3. TÉRMINOS

Recurso: Cualquier cosa que tenga un valor para la organización

Disponibilidad: La propiedad de ser accesible y poder ser usado cuando una entidad

autorizada lo solicite.

Confidencialidad: La propiedad de que la información no está disponible para

individuos, entidades o procesos no autorizados.

Seguridad de Información: Preservación de la confidencialidad, integridad y

disponibilidad de la información.

Evento de Seguridad de Información: Un evento en un sistema, servicio o red que

indica la posibilidad de una brecha en las políticas de seguridad de información o una

falla.

Incidente de Seguridad de Información: Una serie de eventos de seguridad de

información indeseados que tienen alta probabilidad de comprometer las operaciones

del negocio.

Sistema de Gestión de Seguridad de Información: La parte del Sistema de Gestión

basada en una aproximación a los riesgos del negocio para establecer, implementar,

operar, monitorear, revisar, mantener y mejorar la seguridad de la información; que

incluye una estructura organizacional, políticas, actividades de planeación,

responsabilidades, prácticas, procedimientos, procesos y recursos.

Riegos Residual: El riesgo que queda después de haber tratado al riesgo inicial.

Aceptación de Riesgo: Decisión de aceptar el riesgo.

Análisis de Riesgo: Uso sistemático de la información para identificar las fuentes y

estimar el riesgo.

Evaluación de Riesgo: Proceso de comparar los riesgos estimados con cierto criterio

para determinar su importancia.

Gestión de Riesgos: Actividades coordinadas para dirigir y controlar una organización

respecto al riesgo.

Tratamiento del Riesgo: Proceso de selección e implementación de medidas para

modificar el riesgo.

Manifiesto de Aplicabilidad: Manifiesto que describe los objetivos y controles que son

relevantes y aplicables al SGSI de la organización.

4. SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN

Establecer y Monitorear el SGSI

Establecer el SGSI

La organización debe hacer lo siguiente:

a) Definir el alcance y los límites del SGSI en función de las características del

negocio, la organización, su ubicación, bienes y tecnología.

b) Definir una política de SGSI que incluya:

- Una plataforma para establecer objetivos, una dirección general y

principios de acción respecto a la seguridad de información.

- Los requerimientos legales o regulatorios del negocio

- Que se alinee con el contexto de la gestión estratégica del riesgo de la

información, en la que tendrá lugar el establecimiento y mantenimiento

del SGSI

- Establezca criterios para la evaluación del riesgo

- Sea aprobada por la Gerencia.

c) Definir el enfoque de evaluación de riesgos de la organización.

- Identificar una metodología de evaluación de riesgos acorde al SGSI.

- Desarrollar criterios de riesgos aceptables e identificar niveles de riesgo.

d) Identificar los riesgos.

- Identificar los recursos y sus propietarios

- Identificar las amenazas de estos recursos

- Identificar las vulnerabilidades que pueden ser explotadas por estas

amenazas.

- Identificar el impacto que perdidas de confidencialidad, integridad y

disponibilidad pueden tener en los recursos.

e) Analizar y evaluar los riesgos.

- Determinar el impacto de fallas de seguridad en el negocio, consecuencia

de pérdidas de confidencialidad, integridad o disponibilidad de los

recursos.

- Determinar la probabilidad de que ocurran fallas en la seguridad tomando

en cuenta las amenazas y controles presentes.

- Estimar el nivel de los riesgos.

- Determinar si los riesgos son aceptables

f) Identificar y evaluar opciones para el manejo de los riesgos

g) Elegir objetivos de control y controles para el tratamiento de riesgos

Los objetivos y controles del Anexo A deben ser elegidos como parte de éste

proceso para cubrir los requisitos identificados, se puede incluir objetivos y

controles adicionales a los incluidos en el Anexo A.

h) Obtener aprobación para la gestión de los riesgos residuales propuestos.

i) Obtener aprobación para la implementación y operación del SGSI.

j) Preparar un Manifiesto de Aplicabilidad.

Este manifiesto debe incluir los objetivos de control, controles elegidos y su

justificación. Los objetivos y controles implementados actualmente y la

exclusión de cualquier objetivo o control del Anexo A y la justificación de la

misma.

Implementar y Operar el SGSI

La Organización debe hacer lo siguiente:

a) Formular un plan de tratamiento de riesgos que identifique las acciones de

gestión apropiadas.

b) Implementar el plan de tratamiento de riesgos, lo que incluye la

consideración de ubicar y crear roles y responsabilidades.

c) Implementar controles elegidos que se apliquen a los objetos de control

d) Definir una manera de medir la efectividad de los controles elegidos y

especificar la forma en que se usarán para producir resultados comparables

y medibles.

e) Implementar programas de entrenamiento y concientización.

f) Administrar la operación del SGSI

g) Administrar los recursos para el SGSI

h) Implementar procedimientos y otros controles capaces de habilitar

detección temprana de eventos de seguridad y respuesta a incidentes de

seguridad. ¿

Monitorear y revisar el SGSI

La organización hará lo siguiente:

a) Ejecutar monitoreo y revisión de procedimientos y otros controles para

detectar a tiempo errores en los resultados, brechas e incidentes de seguridad

o si las actividades de seguridad se están llevando a cabo como se esperaba.

b) Llevar a cabo revisiones regulares de la efectividad del SGSI.

c) Medir la efectividad de los controles para verificar si se han cumplido los

requerimientos de seguridad.

d) Revisar los riesgos a intervalos planeados y los niveles de riesgo aceptado,

tomando en cuenta los cambios en la organización, la tecnología, los objetivos

del negocio y sus procesos, las amenazas identificadas, la efectividad de los

controles implementados y eventos externos.

5. REQUERIMIENTOS DE LA DOCUMENTACIÓN:

La documentación debe incluir los registros de las decisiones de la gestión de la red, es

importante que tenga la evaluación de riesgos y la política y los objetivos de SGSI, mas una

serie de ítems especificados en la norma.

Los documentos que son requeridos por el SGSI se encuentran protegidos y controlados para

lo cual se emite un documento donde se especifican los datos concernientes al SGSI y su

control.

6. RESPONSABILDAD DE MANDO:

La dirección debe proveer evidencia de su compromiso con el establecimiento,

implementación, operación, seguimiento, revisión, mantenimiento y mejora del SGSI. Entre los

más relevantes están las políticas de gestión de riesgos y velar por que se proteja la

información.

Se debe gestionar todo lo pertinente con el personal para que este bien calificado y cumpla

con las habilidades necesarias para mantener el SGSI, así como la capacitación necesaria.

7. AUDITORIAS SGSI INTERNAS:

Se beben realizar auditorías internas en intervalos planificados de tiempo para garantizar que

se cumplan el control, objetivos, controles, procesos y procedimientos de su SGSI. Para ello

debe seguir una serie de pasos determinados por la norma que se esta analizando.

8. EXAMEN DE LA GESTION DEL SGSI:

De deberá revisar la organización de la SGSI en intervalos planificados de tiempo, de por lo

menos una vez al año, para garantizar su adecuación y eficacia. Este estudio debe incluir la

política de seguridad de la información y los objetivos de dicha seguridad. Los resultados de

este análisis deberán estar adecuadamente documentados.

9. MEJORA CONTINUA:

La organización deberá mejorar continuamente la SGSI a través del uso de las políticas de

seguridad de la información, los objetivos de seguridad de la información, resultados de

auditorías, análisis de los eventos de seguimiento, correctivas y de acciones preventivas y

revisión de la gestión.

10. LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN:

Su objetivo es proporcionar orientación y apoyo a la gestión de seguridad de la información de

acuerdo con las empresas requisitos y las leyes y reglamentos pertinentes.

La documentación concerniente con la política de seguridad de la información deberá ser

publicada y comunicado a todos los empleados y las partes externas interesadas.

10.1. LAS PARTES EXTERNAS

Su objetivo es mantener la seguridad de la información de la organización y las instalaciones

de procesamiento de la información, tratamiento, comunicada a, o gestionados por terceros.

11. Seguridad de los recursos humanos

Previo a la contratación.- Para garantizar que los empleados, contratistas y terceros usuarios

entiendan sus responsabilidades y funciones que se consideran para ellos, y para reducir el

riesgo de robo, fraude o uso indebido de las instalaciones, se define Roles, Responsabilidades,

Proyección, Términos y condiciones de Trabajo.

Durante el Trabajo.- Para garantizar que todos los empleados, contratistas y terceros usuarios

son conscientes de las amenazas de seguridad de la información y preocupaciones, sus

responsabilidades y obligaciones, y que están equipados para apoyar la política de seguridad

de la organización en el curso de su trabajo normal, y para reducir el riesgo de error humano,

utilizando una gestión de responsabilidades, información de seguridad y entrenamiento y

realizando un proceso disciplinario.

Terminación o cambio de trabajo.- Para garantizar que los empleados, contratistas y terceros

usuarios que salen de una organización o cambien de empleo de una manera ordenada.

12. La seguridad física y ambiental

Áreas seguras.- Proceso para prevenir el acceso físico no autorizado, daño e interferencia a las

premisas e información de la organización. Definiendo un perímetro físico de seguridad,

controles de entrada, seguridad de oficinas, protección externa, control de acceso público.

Seguridad del Equipamiento.- Para evitar la pérdida, daño, robo o compromiso de los activos y

la interrupción de las actividades de la organización.

13. Gestión de operaciones y comunicaciones

Procedimientos operacionales y responsabilidades.- garantizar el funcionamiento correcto y

seguro de las instalaciones de procesamiento de la información.

Gestión tripartida del servicio de entrega.- implementar y mantener el nivel adecuado de

seguridad de la información y la prestación de servicios en línea con los acuerdos de tercera

parte de entrega de servicios.

la planificación del sistema y la aceptación.- minimizar el riesgo de fallos en los sistemas.

Protección contra código malicioso y móvil.- proteger la integridad del software y la

información.

Respaldos.- para mantener la integridad y disponibilidad de la información y del acceso a ella.

Monitoreo.- para detectar el acceso a información no autorizada o a procesos no autorizados.

14. Control de Acceso

Requisito de Negocios para control de acceso.- Para controlar el acceso a la información.

Gestión de acceso de usuario.- Garantizar el acceso de usuarios autorizados y para evitar el

acceso no autorizado a los sistemas de información.

Responsabilidades de los usuarios.- Impedir el acceso de usuarios no autorizados, y el

compromiso o robo de información y de las instalaciones de procesamiento de la información.

A.11.4 Control de Acceso de Red

Objetivo: Prevenir el acceso no autorizado a los servicios de red.

A.11.4.1 Política de uso de los servicios de red

A.11.4.2 Autenticación de usuario para conexiones externas

A.11.4.3 Identificación de equipos en las redes

A.11.4.4 Diagnóstico remoto y configuración de protección de puerto

A.11.4.5 Segregación en las redes

A.11.4.6 Control de conexiones de red

A.11.4.7 Control de encaminamiento de red

A.11.5 Control de Acceso al Sistema Operativo

Objetivo: Prevenir el acceso no autorizado a los sistemas operativos.

A.11.5.1 Procedimientos de registro seguros

A.11.5.2 Identificación de usuario y autenticación

A.11.5.3 Sistema de administración de contraseñas

A.11.5.4 Uso de utilidades del sistema

A.11.5.5 Tiempo de espera de la sesión

A.11.5.6 Limitación del tiempo de conexión

A.11.6 Control de Acceso de Información y Aplicaciones

Objetivo: Prevenir el acceso no autorizado a la información sostenida en sistemas de

aplicación.

A.11.6.1 Restricción de acceso de información

A.11.6.2 Aislamiento del sistema sensible

A.11.7 La informática móvil y el teletrabajo

Objetivo: Garantizar la seguridad de la información cuando se utiliza la informática

móvil y las facilidades del teletrabajo.

A.11.7.1 Informática móvil y comunicaciones

A.11.7.2 Teletrabajo

A.12 ADQUISICIÓN DE LOS SISTEMAS DE INFORMACIÓN, DESARROLLO Y

MANTENIMIENTO

A.12.1 Requerimientos de seguridad de los sistemas de información

Objetivo: Garantizar que la seguridad es una parte integral de los sistemas de

información.

A.12.1.1 Análisis y especificación de los requerimientos de seguridad

A.12.2 Correcto procesamiento en las aplicaciones

Objetivo: Prevenir errores, pérdidas, modificaciones no autorizadas o mal uso de la

información en las aplicaciones.

A.12.2.1 Validación de datos de entrada

A.12.2.2 Control del procesamiento interno

A.12.2.3 Integridad de los mensajes

A.12.2.4 Validación de datos de salida

A.12.3 Controles criptográficos

Objetivo: Proteger la confidencialidad, autenticidad e integridad de la información por

medio de la criptografía.

A.12.3.1 Políticas en el uso de controles criptográficos

A.12.3.2 Administración de llaves

A.12.4 Seguridad del sistema de archivos

Objetivo: Garantizar la seguridad del sistema de archivos.

A.12.4.1 Control del Software operacional

A.12.4.2 Protección del sistema de prueba de datos

A.12.4.3 Control de acceso al código fuente del programa

A.12.5 Seguridad en el desarrollo y soporte de procesos

Objetivo: Mantener la seguridad del sistema de software de la aplicación y la

información.

A.12.5.1 Cambiar los procedimientos de control

A.12.5.2 Revisión técnica de las aplicaciones luego de cambios de operación del sistema

A.12.5.3 Restricciones en los cambios de los paquetes de software

A.12.5.4 Fuga de información

A.12.5.5 Desarrollo de software externo

A.12.6 Administración de vulnerabilidades técnicas

Objetivo: Reducir los riesgos resultantes de la explotación de la publicación de las

vulnerabilidades técnicas.

A.12.6.1 Control de vulnerabilidades técnicas

A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

A.13.1 Informes de los eventos y las debilidades de la seguridad de la información

Objetivo: Garantizar que los eventos y las debilidades de la seguridad de la

información asociados con los sistemas de información están comunicados de una

forma que permita tomar acciones correctivas precisas.

A.13.1.1 Informes de eventos de seguridad de información

A.13.1.2 Informes de las debilidades de la seguridad

A.13.2 Administración de las mejores y los incidentes de la seguridad de la información

Objetivo: Garantizar que un enfoque consistente y efectivo es aplicado en la

administración de los incidentes de seguridad de información.

A.13.2.1 Responsabilidades y procedimientos

A.13.2.2 Aprendizaje desde los incidentes de seguridad de la información

A.13.2.3 Recolección de la evidencia

A.14 ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO

A.14.1 Aspectos de la seguridad de información de la administración de la continuidad de

negocios.

Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los

procesos críticos de negocio de los efectos de los fallos principales de los sistemas de

información o de los desastres y de garantizar su oportuna reanudación.

A.14.1.1 Incluir la seguridad de la información en la administración del proceso de la

continuidad del negocio

A.14.1.2 Continuidad del negocio y evaluación de riesgo.

A.14.1.3 Desarrollo e implementación de planes de continuidad incluyendo seguridad

de información

A.14.1.4 Planificación del sistema de continuidad de negocio

A.14.1.5 Pruebas, mantenimiento y re-evaluación de los planes de continuidad de

negocio

A.15 CONFORMIDAD

A.15.1 Conformidad con los requerimientos legales

Objetivo: Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación

contractual, y de cualquier requisito legal.

A.15.1.1 Identificación de la legislación aplicable

A.15.1.2 Derechos de propiedad intelectual

A.15.1.3 Protección de los registros organizacionales

A.15.1.4 Protección de datos y privacidad de la información personal

A.15.1.5 Prevención del mal uso de las facilidades de procesamiento de la información

A.15.1.6 Regulación de los controles criptográficos

A.15.2 Conformidad con las políticas y los estándares de seguridad, y conformidad técnica

Objetivo: Garantizar la obediencia de los sistemas de acuerdo a las políticas y

estándares de seguridad organizacional.

A.15.2.1 Conformidad de acuerdo a las políticas y estándares de seguridad

A.15.2.2 Chequeo de obediencia técnica

A.15.3 Consideraciones de auditoría de los sistemas de información

Objetivo: Maximizar la eficacia y minimizar la interferencia desde/hasta los procesos

de auditoría de los sistemas de información.

A.15.3.1 Controles de auditoría de los sistemas de información

A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información

3. CONCLUSIONES:

Las políticas de información son muy importantes en una empresa ya que definen lo

que se puede hacer y lo que está prohibido dentro de un sistema de información.

Estas reglas establecen responsables en una compañía lo cual es de mucha

importancia.

La norma ISO27001 establece los parámetros a considerar y la estructura de la

documentación para las normas de seguridad de la información en una organización.