t i Ooooooo Ooooooooo
of 12
description
dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
Transcript of t i Ooooooo Ooooooooo
Responsabilidad Social VIII Uladech Tingo Maria
I. INTRODUCCINActualmente la tendencia de la gran mayora de las empresas dedicadas o relacionadas con las tecnologas de informacin, es enfocar sus procesos a transacciones y operaciones en red. La seguridad informtica siempre ha sido importante, desde los inicios de las computadoras, pero ahora se ha agudizado ms la importancia de contar con buenos mecanismos de seguridad debido a que los riesgos y amenazas no solamente consisten en que personas que se encuentren en el rea geogrfica donde estn las computadoras, roben informacin, sino que ahora tambin existen riesgos de robo o accesos no autorizados a informacin mediante las diferentes redes que interconectan a las computadoras o a cualquier equipo tecnolgico utilizado para transmitir informacin digital.
Actualmente se cuenta con Estndares Internacionales muy bien aceptados, que proporcionan mecanismos de seguridad que han sido estudiados detenidamente y que se han puesto a prueba, concluyendo en que los resultados que ofrecen son los ideales y que deberan ser implementados por todas las organizaciones relacionadas a las tecnologas de la informacin.
En este documento se habla especficamente del Estndar Internacional ISO/IEC 27002, el cual trata especficamente sobre aspectos de seguridad en las tecnologas de informacin.II. ESTNDAR INTERNACIONALES2.1 Objetivo general
Conocer qu es y para qu sirve el Estndar Internacional ISO/IEC 27002.2.3 Objetivos especficos
Estudiar qu son las normas ISO.Conocer qu es el comit IEC.Comprender qu es y para qu fue creado el ISO/IEC.
Analizar y comprender cada uno de los captulos que componen el documento del Estndar Internacional ISO/IEC.2.4 Justificacin
Aunque muchas empresas le restan valor o importancia al aspecto de seguridad, no se puede dudar que las prdidas por la falta de seguridad pueden ser tremendamente caras, tanto en materia econmica como en cuanto a prestigio, nivel de ventas, problemas legales, daos a empleados de la organizacin o a terceros, etc.
En vista de la importancia que tiene la seguridad en las tecnologas de informacin, se afirma que estudiar no solamente buenas prcticas y consejos sabios de personas que llevan una gran trayectoria en el rea de la informtica, sino que ms an, Normas Internacionales certificables, es un beneficio de grandes magnitudes para cualquier organizacin. Por ello se justifica que el estudio de la Norma Internacional ISO/IEC 27002 es totalmente necesario para cualquier organizacin que tenga que ver de alguna forma con aspectos relacionados a tecnologas de informacin.2.5 ISOISO es el acrnimo de International Organization for Standardization. Aunque si se observan las iniciales para el acrnimo, el nombre debera ser IOS, los fundadores decidieron que fuera ISO, derivado del griego isos, que significa igual. Por lo tanto, en cualquier pas o en cualquier idioma, el nombre de la institucin es ISO, y no cambia de acuerdo a la traduccin de International Organization for Standardization que corresponda a cada idioma. Se trata de la organizacin desarrolladora y publicadora de Estndares Internacionales ms grande en el mundo. 2.6 IECIEC es el acrnimo de International Electrotechnical Commission. Esta es una organizacin sin fines de lucro y tambin no gubernamental. Se ocupa de preparar y publicar estndares internacionales para todas las tecnologas elctricas o relacionadas a la electrnica.
IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estndares globales a las industrias electrotcnicas mundiales. Aunque como se acaba de decir, IEC naci en el Reino Unido, en el ao de 1948 movieron su sede a Geneva, Suiza, ciudad en la que tambin se encuentra la sede de ISO.2.7 AlcanceEste Estndar Internacional va orientado a la seguridad de la informacin en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, dao o prdida de informacin se minimicen al mximo.III. CUALIDADES Y ASPECTOS IMPORTANTES EN LAS EMPRESAS U ORGANIZACIONES3.1 Evaluacin de los riesgos de seguridad
Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a cada uno de los riesgos, aplicando medidas adecuadas de control para reducir la probabilidad de que ocurran consecuencias negativas al no tener una buena seguridad.La reduccin de riesgos no puede ser un proceso arbitrario y regido por la voluntad de los dueos o administradores de la empresa, sino que adems de seguir medidas adecuadas y eficientes, se deben tener en cuenta los requerimientos y restricciones de la legislacin y las regulaciones nacionales e internacionales, objetivos organizacionales, bienestar de clientes y trabajadores, costos de implementacin y operacin.
Se debe saber que ningn conjunto de controles puede lograr la seguridad completa, pero que s es posible reducir al mximo los riesgos que amenacen con afectar la seguridad en una organizacin.3.2 Poltica de seguridad
Su objetivo es proporcionar a la gerencia la direccin y soporte para la seguridad de la informacin, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organizacin. Se debe redactar un Documento de la poltica de seguridad de la informacin. Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes.El Documento de la Poltica de Seguridad de la Informacin debe contar con un claro lineamiento de implementacin, y debe contener partes tales como una definicin de seguridad de la informacin, sus objetivos y alcances generales, importancia, intencin de la gerencia en cuanto al tema de seguridad de la informacin, estructuras de evaluacin y gestin de riesgos, explicacin de las polticas o principios de la organizacin, definicin de las responsabilidades individuales en cuanto a la seguridad, etc. Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues si se distribuye fuera de la organizacin, no debera divulgar informacin confidencial que afecte de alguna manera a la organizacin o a personas especficas (por ejemplo que afecte la intimidad de alguien al divulgar sus datos personales, etc.)Las polticas de seguridad de la informacin no pueden quedar estticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnolgicos o cualquier tipo de cambio que se d. Por ejemplo, si aparece un nuevo virus o nuevas tecnologas que representen riesgos, las polticas de seguridad podran cambiar o ser mejoradas de acuerdo a las necesidades actuales. Un caso prctico sera el aparecimiento de las memorias USB. Antiguamente esa tecnologa no exista, entonces no se esperaba que existieran robos de informacin a travs de puertos USB. Ahora las memorias USB son de uso global y por lo tanto, las polticas de seguridad deberan considerar bloquear puertos USB o algo por el estilo, para no permitir que se extraiga informacin de esa manera de forma ilcita o por personas no autorizadas.3.3 Aspectos organizativos de la seguridad de la informacinLa organizacin de la seguridad de la informacin se puede dar de dos formas: organizacin interna y organizacin con respecto a terceros.
En cuanto a la organizacin interna, se tiene como objetivo manejar la seguridad de la informacin dentro de la organizacin. Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organizacin.La gerencia debe invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas veces la seguridad requiere inversin econmica, y parte del compromiso de la gerencia implica tener un presupuesto especial para seguridad, por supuesto de una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo, implementar un mtodo carsimo de seguridad podra ser de gran beneficio, pero representar un costo demasiado elevado.Es fundamental tambin asignar responsabilidades. Es tpica una tendencia humana el echarle la culpa a otros. Entonces cuando la seguridad es atacada, casi siempre las personas dentro de la organizacin tratan de buscar un culpable y quedar libres de todo cargo. Por esa razn se deben asignar claramente responsabilidades para que cuando se den los problemas, cada quien responda por sus actos y por lo que estaba bajo su cargo. La asignacin de responsabilidades no solamente tiene que ser verbal, sino que escrita y en muchas ocasiones, incluso bajo un contrato legal.
Deben tambin existir acuerdos de confidencialidad. Tambin se debe tener en cuenta mantener los contactos apropiados con las autoridades relevantes, por ejemplo con la polica, departamento de bomberos, etc. Tambin se debe saber en qu casos se debe contactar a estas instituciones. Tambin se deben mantener contactos apropiados con grupos de inters especial u otros foros de seguridad especializados y asociaciones profesionales, as como contar con capacitaciones en materia de seguridad.La organizacin en materia de seguridad de la informacin debe tambin considerarse respecto a terceros. El objetivo de esto es mantener la seguridad de la informacin y los medios de procesamiento de informacin de la organizacin que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Para ello se debe comenzar por la identificacin de los riesgos relacionados con los grupos externos. Se debe estudiar cmo a raz de procesos comerciales que involucran a grupos externos se les puede estar otorgando acceso que afecte la seguridad. Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con terceros, para no afectar la seguridad de la informacin.3.4 Gestin de activosSe deben asignar responsabilidades por cada uno de los activos de la organizacin, as como poseer un inventario actualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificacin de todos los activos. Para esto el departamento de contabilidad tendr que hacer un buen trabajo en cuanto a esta clasificacin y desglose de activos, y el departamento de leyes de la empresa tambin tendr que ser muy metdico en estos procesos, ya que los activos son todos los bienes y recursos que posee una empresa, incluyendo bienes muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia.3.5 Seguridad ligada a los recursos humanosEl objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. Tambin deben existir capacitaciones peridicas para concientizar y proporcionar formacin y procesos disciplinarios relacionados a la seguridad y responsabilidad de los recursos humanos en este mbito.Tambin se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de trabajo, para que la persona no se vaya simplemente y deje a la organizacin afectada de alguna manera en materia de seguridad.3.6 Seguridad fsica y ambientalSe divide en reas seguras y seguridad de los equipos. Respecto a las reas seguras, se refiere a un permetro de seguridad fsica que cuente con barreras o lmites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las reas que contienen informacin y medios de procesamiento de informacin.Se debe tambin contar con controles fsicos de entrada, tales como puertas con llave, etc. Adems de eso, es necesario considerar la seguridad fsica con respecto a amenazas externas y de origen ambiental, como incendios (para los cuales deben haber extintores adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones, atentados terroristas, etc. Deben tambin haber reas de acceso pblico de carga y descarga, parqueos, reas de visita, entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas como antideslizantes y barras de apoyo sobre la pared para sujetarse. En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los equipos, seguridad del cableado, mantenimiento de equipos, etc. Para todo esto se requerir de los servicios de tcnicos o ingenieros especializados en el cuidado y mantenimiento de cada uno de los equipos, as como en la inmediata reparacin de los mismos cuando sea necesario. La ubicacin de los equipos tambin debe ser adecuada y de tal manera que evite riesgos. Por ejemplo si algn equipo se debe estar trasladando con frecuencia, quiz sea mejor dejarlo en la primera planta, en vez de dejarlo en la ltima planta de un edificio, pues el traslado podra aumentar los riesgos de que se caiga y dae, especialmente si no se cuenta con un ascensor. Se debe igualmente verificar y controlar el tiempo de vida til de los equipos para que trabajen en condiciones ptimas.3.7 Gestin de comunicaciones y operacionesEl objetivo de esto es asegurar la operacin correcta y segura de los medios de procesamiento de la informacin. En primer lugar, es necesario que los procedimientos de operacin estn bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estn autorizados por la gerencia.Otro aspecto fundamental es la gestin de cambios. Un cambio relevante no se debe hacer jams sin documentarlo, adems de la necesidad de hacerlo bajo la autorizacin pertinente y luego de un estudio y anlisis de los beneficios que traer dicho cambio. Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorizacin o deteccin. Para ello debe haber una bitcora de accesos, con las respectivas horas y tiempos de acceso, etc.
Debe haber un continuo monitoreo para detectar actividades de procesamiento de informacin no autorizadas. Las auditoras son tambin necesarias.Las fallas deben ser inmediatamente corregidas, pero tambin registradas y analizadas para que sirvan en la toma de decisiones y para realizar acciones necesarias.
Los relojes de todos los sistemas de procesamiento de informacin relevantes dentro de una organizacin o dominio de seguridad deben estar sincronizados con una fuente que proporcione la hora exacta acordada. Asimismo, todo acceso a la informacin debe ser controlado3.8 Control de accesoEn primer lugar, se debe contar con una poltica de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al mximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestin de privilegios, autenticacin mediante usuarios y contraseas, etc.Aparte de la autenticacin correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la proteccin apropiada, como por ejemplo la activacin automtica de un protector de pantalla despus de cierto tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contrasea conocida por quien estaba autorizado para utilizar la mquina desatendida.
Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la informacin. Para todo esto deben existir registros y bitcoras de acceso.
3.9 Adquisicin, desarrollo y mantenimiento de los sistemas de informacinContemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen.Debe existir una validacin adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes.La gestin de claves debe ser tal que ofrezca soporte al uso de tcnicas criptogrficas en la organizacin, utilizando tcnicas seguras.Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe controlar el acceso a los archivos del sistema y el cdigo fuente del programa, y los proyectos de tecnologas de informacin y las actividades de soporte se deben realizar de manera segura.
Deben establecerse procedimientos para el control de la instalacin del software en los sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias.3.10 Gestin de incidentes en la seguridad de la informacinLa comunicacin es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la informacin, asegurando una comunicacin tal que permita que se realice una accin correctiva oportuna, llevando la informacin a travs de los canales gerenciales apropiados lo ms rpidamente posible. De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los empleados, contratistas y terceros de los sistemas y servicios de informacin tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios.Asegurar que se aplique un enfoque consistente y efectivo a la gestin de los incidentes en la seguridad de la informacin es elemental.
Aprender de los errores es sabio. Por ello, se deben establecer mecanismos para permitir cuantificar y monitorear los tipos, volmenes y costos de los incidentes en la seguridad de la informacin, siempre con la idea de no volver a cometer los errores que ya se cometieron, y mejor an, aprender de los errores que ya otros cometieron.
3.11 Gestin de la continuidad del negocioLas consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la disponibilidad del servicio debieran estar sujetas a un anlisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudacin oportuna de las operaciones esenciales. La seguridad de la informacin debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organizacin.
Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la informacin. Estos planes no deben ser estticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluacin.
Junto a la gestin de riesgos, debe aparecer la identificacin de eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la informacin. Por supuesto se requieren planes alternativos y de accin ante tales eventos, asegurando siempre la proteccin e integridad de la informacin y tratando de poner el negocio en su estado de operacin normal a la mayor brevedad posible.3.12 CumplimientoEs una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificacin de la legislacin aplicable debe estar bien definida.Se deben definir explcitamente, documentar y actualizar todos los requerimientos legales para cada sistema de informacin y para la organizacin en general.
Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.
El cumplimiento de los requisitos legales se aplica tambin a la proteccin de los documentos de la organizacin, proteccin de datos y privacidad de la informacin personal, prevencin del uso indebido de los recursos de tratamiento de la informacin, y a regulaciones de los controles criptogrficos.
Los sistemas de informacin deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar el cumplimiento de los estndares de implementacin de la seguridad.
En cuanto a las auditoras de los sistemas de informacin, se tiene que maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditora del sistema de informacin. Durante las auditoras de los sistemas de informacin deben existir controles para salvaguardar los sistemas operacionales y herramientas de auditora. Tambin se requiere proteccin para salvaguardar la integridad y evitar el mal uso de las herramientas de auditora.
Las actividades y requerimientos de auditora que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.IV. CONCLUSINLuego de estudiar e haber investigado el Estndar Internacional, se puede ver cmo muchos de los aspectos resaltados por este Estndar son aspectos generales que muchas organizaciones los toman en cuenta an sin tener el certificado. Pero tambin existen muchas deficiencias en la gran mayora de organizaciones en materia de seguridad. Algunos podran considerar que apegarse a este tipo de estndares es en cierta forma cara y complicada, pero en realidad resulta mucho ms caro sufrir las consecuencias que suele traer la falta de seguridad en un importante sistema de informacin.
El hecho de cumplir a cabalidad con el Estndar Internacional no garantiza al 100% que no se tendrn problemas de seguridad, pues la seguridad al 100% no existe. Lo que s se logra es minimizar al mximo las probabilidades de sufrir impactos negativos y prdidas originados por la falta de seguridad.
Este trabajo monogrfico proporciona una idea bastante clara detallada y especifica de cmo se debe trabajar en materia de seguridad de tecnologas de informacin al apegarse a un Estndar Internacional (y por lo tanto mundialmente aceptado y conocido) como lo es el ISO/IEC.V. RECOMENDACIONES La primera recomendacin es precisamente implementar el Estndar Internacional a la mayor brevedad posible, (por aspectos econmicos, de infraestructura, etc.), por lo menos estudiar el documento oficial de este Estndar y estar conocedores de todos los elementos que se pueden implementar y de cmo esto podra beneficiar y minimizar la posibilidad de problemas por falta de seguridad.
La segunda recomendacin es tener en claro, como ya se tiene conocimiento, que la seguridad al 100% no existe pero que s se puede maximizar la seguridad y minimizar los riesgos por falta de seguridad.
De ser posible, se debera considerar adquirir la certificacin de este Estndar Internacional, pues esto representa un gran activo no slo por los beneficios que de por s trae el tener excelentes mecanismos de seguridad, sino tambin por el prestigio de contar con certificaciones internacionales de calidad.
Se recomienda tambin tener un equipo de analistas que evalen las condiciones particulares de una organizacin o empresa, pues cada caso es nico, y lo que a uno le funcion, a otro podra no funcionarle debido a los aspectos particulares de cada empresa. Por esa razn, se debe estudiar cada caso en concreto, aunque nunca est de ms aprender de los errores o del xito de otros.VI. BIBLIOGRAFA
ISO/IEC 17799:2005, Documentacin International standard book numbering (ISBN) International Organization for Standarization. About ISO. Extrado el 1 de octubre, 2008, de http://www.iso.org/iso/about.htm International Organization for Standarization. Discover ISO. Extrado el 1 de octubre, 2008, dehttp://www.iso.org/iso/about/discover-iso_isos-name.htmPgina 12 de 12
