Normas ISO 9000 e ISO/IEC 27000 by Jose Miguel Chocoj Garcia

UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA EXTENSIÓN DE LA ANTIGUA GUATEMALA FACULTAD DE CIENCIAS ECONÓMICAS CONTADURÍA PÚBLICA Y AUDITORIA AUDITORIA EN SISTEMAS DE INFORMACION LIC. PABLO SANDOVAL

ISO 9000, ISO/IEC

INTEGRANTES: NOMBRE José Miguel ChocojGarcía Antonia Rivera Hernández Iliana Marisol MonzónSánchez Alba Lourdes Pérez Baeza Astrid BetzabeOcoxRac

CARNE 3214-12-11145 3214-12-12168 3211-10-8794 3211-12-2867 3211-10-11532

LA ANTIGUA GUATEMALA SEPTIEMBRE 2016

INDICE

INTRODUCCION

OBJETIVOS 1 1.

General

Específicos

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

¿Qué es ISO?

1.1

Objetivo de la Seguridad de la Información 6

1.2

Normas ISO 9000

1.2.1

Definición

1.2.2

Objetivo

1.3

Normas ISO que se involucran en los proyectos de T.I. ISO 9000 7

INTERNATIONAL ELECTROTECHNICAL COMMISSION

¿Qué es IEC?

2.1

ISO/IEC JTC1

2.2

Dominios de Seguridad de la información

2.3

Controles de Seguridad

2.3.1

Políticas Seguridad 11

2.3.2

Una estructura típica de los documentos de políticas podría ser:

2.3.3

Aspectos Organizativos SI

2.3.4

Seguridad Ligada a los Recursos Humanos 13

2.3.5

Gestión Activos

2.3.6

Control de Accesos 15

2.3.7

Cifrado

2.3.8

Seguridad Física y Ambiental

2.3.9

Seguridad en la Operativa 17

2.3.10

Seguridad en las Telecomunicaciones

2.3.11

Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información 18

2.3.12

Relaciones con Suministradores

2.3.13

Gestión de Incidentes

2.3.14

Aspectos de la SI en la Gestión de la Continuidad de Negocio

2.3.15

Cumplimiento

Diferencias entre ISO 27001 e ISO 27002

3.1

¿Qué es un SGSI?

3.2

Fundamentos:

CONCLUSIONES

RECOMENDACIONES 31

ANEXOS

E-GRAFIA

INTRODUCCION Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos. El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. La importancia de ISO/IEC 27002:2013 en actualidad está plenamente ligado a los procesos diarios en que se desenvuelve el entorno de la entidad, pero ¿Cómo la aplico en la entidad en la que me desenvuelvo? ¿Cuáles son los requisitos?, es precisamente estos y más conocimientos los que adquiriremos con el presente informe.

Que trata del ISO/IEC 27002:2013 el cual se compone por 14 dominios, 35 objetivos de control y por 114 controles.

OBJETIVOS

General Qué los estudiantes de Contaduría Pública y Auditoría conozca estándares de seguridad de sistemas de tecnología de información.

Específicos Desarrollar aspectos generales para proteger adecuadamente la información para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. Describir los Estándares Internacionales para el Sistema Gestión y Seguridad de la Información incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y medición, y el lineamiento de implementación del sistema de gestión de seguridad de la información.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION Esta Norma Internacional está diseñado para que las organizaciones utilizan como referencia para la selección de los controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO / IEC 27001o como un documento guía para organizaciones que implementan comúnmente aceptado controles de seguridad de la información. Esta norma también es para uso en el desarrollo y la industria, organización, teniendo en cuenta su entorno de seguridad de la información específica de riesgos Organizaciones de todos los tipos y tamaños (incluyendo sector público y privado, comercial y sin fines de lucro) recopilar, procesar, almacenar y transmitir información en muchas formas, incluyendo electrónica, física y verbal (por ejemplo, conversaciones y presentaciones). El valor de la información va más allá de las palabras escritas, números e imágenes: conocimientos, conceptos, ideas y las marcas son ejemplos de formas intangibles de información. En un mundo interconectado, la información y procesos relacionados, sistemas, redes y personal que participan en su operación, manejo y protección son activos que, al igual que otros activos comerciales importantes, son valiosas para los negocios y de una organización por consiguiente, merecen o que requieren protección contra diversos riesgos. Los activos son sometidos a amenazas deliberadas o accidentales mientras que los procesos relacionados, sistemas, redes y la gente tiene vulnerabilidades inherentes. Los cambios en los procesos de negocio y sistemas, otros cambios externos (tales como nuevas leyes y reglamentos) pueden crear nuevos riesgos de seguridad de la información. Por lo tanto, dada la multitud de maneras en las que las amenazas podrían tomar ventaja de las vulnerabilidades de dañar la organización, los riesgos de seguridad de la información están siempre presentes. Seguridad de la información eficaz reduce estos riesgos mediante

la protección de la organización contra las amenazas y vulnerabilidades, y luego reduce los impactos de sus activos. Seguridad de la información se logra mediante la implementación de un conjunto adecuado de controles, incluyendo las políticas, los procesos, procedimientos, estructuras organizativas y funciones de software y hardware. Estos controles necesitan establecer, aplicación, seguimiento, revisar y mejorar, cuando sea necesario, para garantizar que él cumple los objetivos de seguridad y de negocios específicos de la organización. Un SGSI, como la prevista en el ISO / IEC 27001 tiene una visión integral y coordinado de los riesgos de seguridad de la información de la organización, Para implementar un conjunto completo de controles de seguridad de la información en el marco general de un sistema de gestión coherente. Muchos sistemas de información no han sido diseñados para ser seguro en el sentido de la norma ISO / IEC 27001 y esto estándar. La seguridad de que se puede lograr a través de medios técnicos es limitada y debe ser apoyado por la administración y los procedimientos apropiados. La identificación de los controles deben ser en su lugar requiere una cuidadosa planificación y atención al detalle. Un SGSI exitosa requiere el apoyo de todos los empleados de la organización. También puede requerir la participación de los accionistas, proveedores u otras partes externas. Asesoramiento especializado de las partes externas también puede ser necesario. En un sentido más general, seguridad de la información eficaz también asegura la gestión y otras partes interesadas que los activos de la organización son razonablemente seguros y protegidos contra daños En 1995 el British Standard Institute publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información. En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en 2002.

Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información. Aplicable por toda organización, con independencia de su tamaño. Flexible e independiente de cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología. En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

¿Qué es ISO?

ISO es el acrónimo de International OrganizationforStandardization. Aunque si se observan las iníciales para el acrónimo, el nombre debería ser IOS, los fundadores decidieron que fuera ISO, derivado del griego "isos", que significa "igual". Por lo tanto, en cualquier país o en cualquier idioma, el nombre de la institución es ISO, y no cambia de acuerdo a la traducción de "International OrganizationforStandardization" que corresponda a cada idioma. Se trata de la organización desarrolladora y publicadora de Estándares Internacionales más grande en el mundo. ISO es una red de instituciones de estándares nacionales de 157 países, donde hay un miembro por país, con una Secretaría Central en Ginebra, Suiza, que es la que coordina el sistema. ISO es una organización no gubernamental que forma un puente entre los sectores públicos y privados. Respecto al origen oficialmente comenzó sus operaciones el 23 de febrero de 1947 en Ginebra, Suiza. Nació con el objetivo de "facilitar la coordinación internacional y la unificación de los estándares industriales." Está diseñado para ser utilizado por las organizaciones que pretenden: Seleccionar los controles dentro del proceso de implementación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO / IEC 27001; implementar controles de seguridad de la información generalmente aceptadas; desarrollar sus propias directrices de gestión de seguridad de la información.

1.1

Objetivo de la Seguridad de la Información

El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. La seguridad de la información se define como la preservación de: 

Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos



autorizados a tener acceso Integridad: Garantía de la exactitud y totalidad de la información y de los métodos de



procesamiento. Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y a los recursos relacionados.

Todo esto, según el nivel requerido para los objetivos de negocio de la empresa. 1.2

Normas ISO 9000

1.2.1

Definición

Se define como la Organización Internacional para la Normalización (ISO por sus siglas en Ingles), la cual consiste en una serie de procedimientos y directrices que permiten homogenizar lenguajes y bases técnicas a nivel mundial, con la finalidad de seleccionar y mejorar procesos.

1.2.2

Objetivo

El objetivo perseguido por las normas ISO es asegurar que los productos y/o servicios alcanzan la calidad deseada. Para las organizaciones son instrumentos que permiten minimizar los costos, ya que hacen posible la reducción de errores y sobre todo favorecen el incremento de la productividad.

Los estándares internacionales ISO son clave para acceder a mercados nacionales e internacionales y de este modo, estandarizar el comercio en todos los países favoreciendo a los propios organismos públicos: a) Reduciendo los costos: Permitiendo una optimización de las operaciones. b) Incrementando la satisfacción de clientes: Colaboran a mejorar la calidad de los productos y/o servicios cumpliendo con las exigencias de los usuarios. c) Abre acceso a nuevos mercados: Reduciendo barreras al comercio internacional. d) Incrementando las cuotas de comercio: Aportan una ventaja competitiva.

1.3

Normas ISO que se involucran en los proyectos de T.I. ISO 9000

La Norma ISO 9000 ha sido preparada por el Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que participan representantes de los organismos nacionales de normalización y representantes del sector empresarial de distintos países. Consiste en una serie de normas inherentes a la calidad y a la administración continua de la calidad, que se aplica en las organizaciones, cualquiera que sea su naturaleza, que están dedicadas a la producción de bienes y de servicios. Establece detalladamente el modo en el cual una empresa deberá trabajar los estándares correspondientes para aportarle calidad a aquello que producen, indican los plazos de distribución y los niveles que debe observar el servicio.

INTERNATIONAL ELECTROTECHNICAL COMMISSION 2.

¿Qué es IEC?

IEC es el acrónimo de International ElectrotechnicalCommission. Esta es una organización sin fines de lucro y también no gubernamental. Se ocupa de preparar y publicar estándares internacionales para todas las tecnologías eléctricas o relacionadas a la electrónica. IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estándares globales a las industrias electrotécnicas mundiales. Aunque como se acaba de decir, IEC nació en el Reino Unido, en el año de 1948 movieron su sede a Ginebra, Suiza, ciudad en la que también se encuentra la sede de ISO. 2.1

ISO/IEC JTC1

ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC

JointTechnicalCommittee).

Este

comité

trata

con

todos

los

asuntos

de tecnología de la información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías de información. Dicho subcomité ha venido desarrollando una familia de Estándares Internacionales para el Sistema Gestión y Seguridad de la Información incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y medición, y el lineamiento de implementación del sistema de gestión de seguridad de la información.

Esta familia adoptó el esquema de numeración utilizando las series del número 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones del ISO/IEC 17799 se encuentran bajo el esquema de numeración con el nombre ISO/IEC 27002.

2.2

Dominios de Seguridad de la información

Debido a que la información es un activo no menos importante

que

otros activos comerciales,

esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información. La información puede existir en muchas formas, por ejemplo puede estar impresa o escrita en

papel,

almacenada

electrónicamente,

transmitida

por

correo

utilizando medios electrónicos, hablada en una conversación, etc. Sea cual sea la forma en la que se tenga la información, debe estar en todo caso protegida. La seguridad de la información se logra implementando un conjunto adecuado de controles, políticas, procesos, procedimientos, estructuras organizacionales,

otras acciones que hagan que la información pueda ser accedida sólo por aquellas personas que están debidamente autorizadas para hacerlo. Es importante y necesario para las empresas realizar una evaluación de riesgos para identificar amenazas para los activos, así como también para conocer y analizar la vulnerabilidad y la probabilidad de ocurrencia de accesos, robo o alteración de la información, y el impacto potencial que esto llegaría a tener. Una vez se hayan identificado los riesgos, se procede a seleccionar controles apropiados a implementar para asegurar que los riesgos se reduzcan a un nivel aceptable. Vulnerabilidad Es una debilidad o agujero en la seguridad de la información, que se puede dar por causas como las siguientes, entre muchas otras:   

Falta de mantenimiento Personal sin los conocimientos adecuados o necesarios Desactualización de los sistemas críticos 9

Amenaza Es una declaración intencionada de hacer un daño, como por ejemplo mediante un virus, un acceso no autorizado o robo. Pero no se debe pensar que únicamente personas pueden ser los causantes de estos daños, pues existen otros factores como los eventos naturales, que son capaces de desencadenar daños materiales o pérdidas inmateriales en los activos, y son también consideradas como amenazas. Ataque Es una acción intencional e injustificada (desde el punto de vista del atacado). Consiste en un intento por romper la seguridad de un sistema o de un componente del sistema. Riesgo Es una potencial explotación de una vulnerabilidad de un activo de información por una amenaza. Se valora como una función del impacto, amenaza, vulnerabilidad y de la probabilidad de un ataque exitoso. Atacante Es alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad. Los atacantes pueden ser internos (que pertenecen a la organización) o externos (que no pertenecen a la organización). Respecto a los atacantes internos, son difíciles de detener porque la organización está en muchas maneras forzada a confiar en ellos. Estos conocen cómo trabaja el sistema y cuáles son sus debilidades. Quizás el error más común de seguridad es gastar considerables recursos combatiendo a los atacantes externos, ignorando las amenazas internas.

2.3

Controles de Seguridad

2.3.1

Políticas Seguridad

Un documento denominado "política" es aquel que expresa una intención e instrucción global en la manera que formalmente ha sido expresada por la Dirección de la organización. El contenido de las políticas se basa en el contexto en el que opera una organización y suelen ser considerados en su redacción los fines y objetivos de la organización, las estrategias adoptadas para alcanzar sus objetivos, la estructura y los procesos adoptados por la organización, los objetivos generales y específicos relacionados con el tema de la política y requisitos de las políticas procedentes de niveles más superiores (legales de obligado cumplimiento, del sector al que pertenece la organización, de la propia organización de niveles superiores o más ámplios, ...) relacionadas. 2.3.2 

Una estructura típica de los documentos de políticas podría ser: Resumen: Política Resumen - Visión general de una extensión breve; una o dos frases y que pueden aparecer fusionadas con la introducción.



Introducción: Breve explicación del asunto principal de la política.



Ámbito de aplicación: Descripción de los departamentos, áreas o actividades de una organización a las que afecta/aplica la política. Cuando es relevante en este apartado se mencionan otras políticas relevantes a las que se pretende dar cobertura desde ésta.



Objetivos: Descripción de la intención de la política.



Principios: Descripción de las reglas que conciernen a acciones o decisiones para alcanzar los objetivos. En algunos casos puede ser de utilidad identificar previamente los procesos clave asociados con el asunto principal de la política para pasar posteriormente a identificar las reglas de operación de los procesos.



Responsabilidades: Descripción de quién es responsable de qué acciones para cumplir con los requisitos de la política. En algunos casos, esto puede incluir una descripción de los mecanismos organizativos, así como las responsabilidades de las personas con roles designados.



Resultados clave: Descripción de los resultados relevantes para las actividades de la organización que se obtienen cuando se cumplen los objetivos.



Políticas relacionadas: Descripción de otras políticas relevantes para el cumplimiento de los objetivos, usualmente se indican detalles adicionales en relación a temas específicos.

La política de alto nivel (más genérica) habitualmente relacionada con el sistema de gestión para la seguridad de la información (SGSI) suele estar apoyada por políticas de bajo nivel, específicas a aspectos concretos en temáticas como el control de accesos, la clasificación de la información, la seguridad física y ambiental, uso aceptable de activos, escritorio y pantallas libres de información sensible, dispositivos móviles y teletrabajo, backups, protección contra el malware. Partiendo del principio típico en seguridad "lo no está permitido está prohibido" cada organización debería detectar las necesidades de los usuarios y valorar los controles necesarios que fundamenten las políticas aplicable, aplicando la mejor estructura y relaciones entre ellas para su gestión.

2.3.3

Aspectos Organizativos SI

El objetivo del presente dominio es establecer la administración de la seguridad de la información, como parte fundamental de los objetivos y actividades de la organización. Para ello se debería definir formalmente un ámbito de gestión para efectuar tareas tales como la aprobación de las políticas de seguridad, la coordinación de la implementación de la seguridad y la asignación de funciones y responsabilidades. Para una actualización adecuada en materia de seguridad se debería contemplar la necesidad de disponer de fuentes con conocimiento y experimentadas para el asesoramiento, cooperación y colaboración en materia de seguridad de la información. Las protecciones físicas de las organizaciones son cada vez más reducidas por las actividades de la organización requiere por parte del personal interno/externo que acceden a información desde el exterior en situación de movilidad temporal o permanente. En estos

casos se considera que la información puede ponerse en riesgo si el acceso se produce en el marco de una inadecuada administración de la seguridad, por lo que se establecerán las medidas adecuadas para la protección de la información.

2.3.4

Seguridad Ligada a los Recursos Humanos

El objetivo del presente dominio es la necesidad de educar e informar al personal desde su ingreso y en forma continua, cualquiera sea su situación de actividad, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad. Es necesario reducir los riesgos de error humano, comisión de actos ilícitos, uso inadecuado de instalaciones y recursos y manejo no autorizado de la información, junto a la definición de posibles sanciones que se aplicarán en caso de incumplimiento. Se requiere explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado, así como, garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad de la organización en el transcurso de sus tareas normales. Suele ser responsabilidad del Área de Recursos Humanos incluir las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados, informar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información, gestionar los Compromisos de Confidencialidad con el personal y coordinar las tareas de capacitación de usuarios respecto a las necesidades actuales en seguridad. El Responsable del Área Jurídica participa en la confección del Compromiso de Confidencialidad a firmar por los empleados y terceros que desarrollen funciones en el organismo, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de

las Políticas en seguridad y en el tratamiento de incidentes de seguridad que requieran de su intervención. 2.3.5

Gestión Activos

El objetivo del presente dominio es que la organización tenga conocimiento preciso sobre los activos que posee como parte importante de la administración de riesgos. Algunos ejemplos de activos son: 

Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad y contingencia, información archivada, etc.



Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo y publicación de contenidos, utilitarios, etc.



Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems), equipos de comunicaciones (routers, PABXs, máquinas de fax, contestadores automáticos, switches de datos, etc.), medios magnéticos (cintas, discos, dispositivos móviles de almacenamiento de datos – pen drives, discos externos, etc.-), otros equipos técnicos (relacionados con el suministro eléctrico, unidades de aire acondicionado, controles automatizados de acceso, etc.), mobiliario, lugares de emplazamiento, etc.



Servicios: servicios informáticos y de comunicaciones, utilitarios generales (calefacción, iluminación, energía eléctrica, etc.). Los activos de información deben ser clasificados de acuerdo a la sensibilidad y criticidad de la información que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha información.

Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente debe mantenerse invariable por siempre, y que ésta puede cambiar de acuerdo con una política predeterminada por la

propia organización. Se debería considerar la cantidad de categorías a definir para la clasificación dado que los esquemas demasiado complejos pueden tornarse engorrosos y antieconómicos o resultar poco prácticos. 2.3.6

Control de Accesos

El objetivo del presente dominio es controlar el acceso por medio de un sistema de restricciones y excepciones a la información como base de todo sistema de seguridad informática.

Para impedir el acceso no autorizado a los sistemas de información se deberían implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento. Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privación final de derechos de los usuarios que ya no requieren el acceso. La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es necesario concientizar a los mismos acerca de sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas y la seguridad del equipamiento.

2.3.7

Cifrado

El objetivo del presente dominio es el uso de sistemas y técnicas criptográficas para la protección de la información en base al análisis de riesgo efectuado, con el fin de asegurar una adecuada protección de su confidencialidad e integridad. La aplicación de medidas de cifrado se debería desarrollar en base a una política sobre el uso de controles criptográficos y al establecimiento de una gestión de las claves que sustenta la aplicación de las técnicas criptográficas. 2.3.8

Seguridad Física y Ambiental

El objetivo es minimizar los riesgos de daños e interferencias a la información y a las operaciones de la organización. El establecimiento de perímetros de seguridad y áreas protegidas facilita la implementación de controles de protección de las instalaciones de procesamiento de información crítica o sensible de la organización, contra accesos físicos no autorizados. El control de los factores ambientales de origen interno y/o externo permite garantizar el correcto funcionamiento de los equipos de procesamiento y minimizar las interrupciones de servicio.

La información almacenada en los sistemas de procesamiento y la documentación contenida en diferentes medios de almacenamiento, son susceptibles de ser recuperadas mientras no están siendo utilizados. Es por ello que el transporte y la disposición final presentan riesgos que deben ser evaluados, especialmente en casos en los que el equipamiento perteneciente a la organización estén físicamente fuera del mismo (housing) o en equipamiento ajeno que albergue sistemas y/o preste servicios de procesamiento de información (hosting/cloud).

2.3.9

Seguridad en la Operativa

El objetivo es controlar la existencia de los procedimientos de operaciones y el desarrollo y mantenimiento de documentación actualizada relacionada. Adicionalmente, se debería evaluar el posible impacto operativo de los cambios previstos a sistemas y equipamiento y verificar su correcta implementación, asignando las responsabilidades correspondientes y administrando los medios técnicos necesarios para permitir la segregación de los ambientes y responsabilidades en el procesamiento.

Con el fin de evitar potenciales amenazas a la seguridad del sistema o a los servicios del usuario, sería necesario monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad.

El control de la realización de las copias de resguardo de información, así como la prueba periódica de su restauración permite garantizar la restauración de las operaciones en los tiempos de recuperación establecidos y acotar el periodo máximo de pérdida de información asumible para cada organización. Se deberían definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso y para garantizar la seguridad de los datos y los servicios conectados a las redes de la organización.

Finalmente, se deberían verificar el cumplimiento de las normas, procedimientos y controles establecidos mediante auditorías técnicas y registros de actividad de los sistemas (logs) como base para la monitorización del estado del riesgo en los sistemas y descubrimiento de nuevos riesgos

2.3.10

Seguridad en las Telecomunicaciones

El objetivo es asegurar la protección de la información que se comunica por redes telemáticas y la protección de la infraestructura de soporte.

La gestión segura de las redes, la cual puede abarcar los límites organizacionales, requiere de la cuidadosa consideración del flujo de datos, implicaciones legales, monitoreo y protección. La información confidencial que pasa a través de redes públicas suele requerir de controles adicionales de protección. Los intercambios de información por parte de las organizaciones se deberían basar en una política formal de intercambio y en línea con los acuerdos de intercambio, y debiera cumplir con cualquier legislación relevante}

2.3.11

Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información

El objetivo es asegurar la inclusión de controles de seguridad y validación de datos en la adquisición y el desarrollo de los sistemas de información. Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan. Definir los métodos de protección de la información crítica o sensible.

Aplica a todos los sistemas informáticos, tanto desarrollos propios o de terceros, y a todos los Sistemas Operativos y/o Software que integren cualquiera de los ambientes administrados por la organización en donde residan los desarrollos mencionados.

2.3.12

Relaciones con Suministradores

El objetivo es implementar y mantener el nivel apropiado de seguridad de la información y la entrega de los servicios contratados en línea con los acuerdos de entrega de servicios de terceros.

La organización debe chequear la implementación de los acuerdos, monitorear su cumplimiento con los estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer todos los requerimientos acordados con terceras personas.

2.3.13

Gestión de Incidentes

El objetivo es garantizar que los eventos de seguridad de la información y las debilidades asociados a los sistemas de información sean comunicados de forma tal que se apliquen las acciones correctivas en el tiempo oportuno. Las organizaciones cuentan con innumerables activos de información, cada uno expuesto a sufrir incidentes de seguridad. Resulta necesario contar con una capacidad de gestión de dichos incidentes que permita comenzar por su detección, llevar a cabo su tratamiento y colaborar en la prevención de futuros incidentes similares.

2.3.14

Aspectos de la SI en la Gestión de la Continuidad de Negocio

El objetivo es preservar la seguridad de la información durante las fases de activación, de desarrollo de procesos, procedimientos y planes para la continuidad de negocio y de vuelta a la normalidad.

Se debería integrar dentro de los procesos críticos de negocio, aquellos requisitos de gestión de la seguridad de la información con atención especial a la legislación, las operaciones, el personal, los materiales, el transporte, los servicios y las instalaciones adicionales, alternativos y/o que estén dispuestos de un modo distinto a la operativa habitual. 19

Se deberían analizar las consecuencias de los desastres, fallas de seguridad, pérdidas de servicio y la disponibilidad del servicio y desarrollar e implantar planes de contingencia para asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales, manteniendo las consideraciones en seguridad de la información utilizada en los planes de continuidad y función de los resultados del análisis de riesgos.

Deberían llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros, pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de la dirección en los planes y (c) familiarizar a los empleados relevantes con sus funciones y responsabilidades bajo condiciones de desastre.

Minimizar los efectos de las posibles interrupciones de las actividades normales de la organización asociadas a desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas u otros hechos, protegiendo los procesos críticos mediante una combinación de controles preventivos y acciones de recuperación.

Instruir al personal involucrado en los procedimientos de reanudación y recuperación en relación a los objetivos del plan, los mecanismos de coordinación y comunicación entre equipos (personal involucrado), los procedimientos de divulgación en uso, los requisitos de la seguridad, los procesos específicos para el personal involucrado y responsabilidades individuales.

2.3.15

Cumplimiento

El diseño, operación, uso y administración de los sistemas de información están regulados por disposiciones legales y contractuales. Los requisitos normativos y contractuales pertinentes a cada sistema de información deberían estar debidamente definidos y documentados.

El objetivo es cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones administrativas a la organización y/o a los empleados que incurran en responsabilidad

civil

penal

como

resultado

incumplimientos.

Se debe revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas de información.

Estas relaciones han cambiado con la publicación de la nueva versión ISO/IEC 27001:2013 según la reorganización de las publicaciones ISO en la nueva estructura de Anexo SL que, junto a los cambios en los contenidos, ha desencadenado la actualización de las normas de la serie 27000. A continuación se muestra un diagrama de relación de la reorganización de las cláusulas principales de la versión 2005 a la publicada en 2013.

Alcance

Este Estándar Internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.

La norma ISO/IEC 27002:2013 Se compone por 14 dominios, 35 objetivos de control y por 114 controles 1. Políticas de Seguridad 1.1 Directrices de la dirección en seguridad de la información 1.1.1 Conjunto de políticas para la seguridad de la información. 1.1.2 Revisión de las políticas para la seguridad de la información. 21

2. Aspectos Organizativos de la Seguridad de la Información 2.1 Organización Interna 2.1.1 Asignación de responsabilidades para la seguridad de la información 2.1.2 Segregación de tareas 2.1.3 Contacto de las autoridades 2.1.4 Contacto con grupos de interés especial 2.1.5 Seguridad de la información en la gestión de proyectos 2.2 Dispositivos para movilidad y teletrabajo 2.2.1 Política de uso de dispositivos para movilidad 2.2.2 Teletrabajo 3. Seguridad Ligada a los Recursos Humanos 3.1 Antes de la contratación 3.1.1 Investigación de antecedentes 3.1.2 Términos y condiciones de contratación 3.2 Durante la contratación 3.2.1 Responsabilidades de gestión 3.2.2 Concienciación, educación y capacitación en seguridad de la información 3.2.3 Proceso disciplinario 3.3 Cese o cambio de puesto de trabajo 3.3.1 Cese o cambio de puesto de trabajo 4. Gestión de Activos 4.1 Responsabilidad sobre los activos 4.1.1 Inventario de activos 4.1.2 Propiedad de los activos 4.1.3 Uso aceptable de los activos 4.1.4 Devolución de activos 4.2 Clasificación de la información 4.2.1 Directrices de clasificación 4.2.2 Etiquetado y manipulado de la información 4.2.3 Manipulación de activos 4.3 Manejo de los Soportes de Almacenamiento 4.3.1 Gestión de soportes extraíbles 4.3.2 Eliminación de soportes 4.3.3 Soportes físicos en tránsito 5. Control de accesos 5.1 Requisitos de negocios para el control de accesos 5.1.1 Política de control de accesos 5.1.2 Control de acceso a las redes y servicios asociados 5.2 Gestión de acceso de usuario 5.2.1 Gestión de altas bajas en el servicio de usuarios 5.2.2 Gestión de los derechos de acceso asignados a los usuarios 5.2.3 Gestión de los derechos de acceso con privilegios especiales 5.2.4 Gestión de información confidencial de autenticación de usuarios 5.2.5 Revisión de los derechos de acceso de los usuarios 5.2.6 Retirada o adaptación de los derechos de acceso 5.3 Responsabilidades del usuario 5.3.1 Uso de información confidencial para la autenticación

5.4 Control de acceso a sistemas y aplicaciones 5.4.1 Restricción del acceso a la información 5.4.2 Procedimientos seguros de inicio de sesión 5.4.3 Gestión de contraseñas de usuarios 5.4.4 Uso de herramienta de administración de sistemas 5.4.5 Control de acceso al código fuente de los programas 6. Cifrado 6.1 Controles criptográficos 6.1.1 Política de uso de los controles criptográficos 6.1.2 Gestión de claves 7. Seguridad Física y Ambiental 7.1 Áreas seguras 7.1.1 Perímetro de seguridad física 7.1.2 Controles físicos de entrada 7.1.3 Seguridad de oficinas, despachos y recursos 7.1.4 Protección contra las amenazas externas y ambientales 7.1.5 El trabajo en áreas seguras 7.1.6 Áreas de acceso público, carga y descarga 7.2 Seguridad de los equipos 7.2.1 Emplazamiento y protección de equipos 7.2.2 Instalaciones de suministro 7.2.3 Seguridad del cableado 7.2.4 Mantenimiento de los equipos 7.2.5 Salida de activos fuera de las dependencias de la empresa 7.2.6 Seguridad de los equipos y activos fuera de las instalaciones 7.2.7 Reutilización o retirada segura de dispositivos de almacenamiento 7.2.8 Equipo informático de uso desatendido 7.2.9 Política depuesto de trabajo despejado y bloqueo de pantalla 8. Seguridad en la Operativa 8.1 Responsabilidades y procedimientos de operación 8.1.1 Documentación de procedimientos de operación 8.1.2 Gestión de cambios 8.1.3 Gestión de capacidades 8.1.4 Separación de entornos de desarrollo, prueba y producción 8.2 Protección contra código malicioso 8.2.1 Controles contra el código malicioso 8.3 Copias de seguridad 8.3.1 Copias de seguridad de la información 8.4 Registro de actividad y supervisión 8.4.1 Registro y gestión de eventos de actividad 8.4.2 Protección de los registros de información 8.4.3 Registro de actividad del administrador y operador del sistema 8.4.4 Sincronización de relojes 8.5 Control del software en explotación 8.5.1 Instalación del software en sistemas en producción 8.6 Gestión de la vulnerabilidad técnica 8.6.1 Gestión de las vulnerabilidades técnicas 23

8.6.2 Restricciones en la instalación del software 8.7 Consideraciones de las auditorias de los sistemas de información 8.7.1 Controles de auditorías de los sistemas de información 9. Seguridad en las Telecomunicaciones 9.1 Gestión de la seguridad en las redes 9.1.1 Controles de red 9.1.2 Mecanismos de seguridad asociados a servicios en red 9.1.3 Segregación de redes 9.2 Intercambio de información con partes externas 9.2.1 Políticas y procedimientos de intercambio de información 9.2.2 Acuerdos de intercambios 9.2.3 Mensajería electrónica 9.2.4 Acuerdos de confidencialidad y secreto 10. Adquisición, desarrollo y mantenimiento de los sistemas de información 10.1 Requisitos de seguridad de los sistemas de información 10.1.1 Análisis y especificación de los requisitos de seguridad 10.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas 10.1.3 Protección de las transacciones por redes telemáticas 10.2 Seguridad en los procesos de desarrollo y soporte 10.2.1 Política de desarrollo seguro de software 10.2.2 Procedimientos de control de cambios en los sistemas 10.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo 10.2.4 Restricciones a los cambios en los paquetes de software 10.2.5 Uso de principios de ingeniería en la protección de sistemas 10.2.6 Seguridad en entornos de desarrollo 10.2.7 Externalización del desarrollo del software 10.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas 10.2.9 Pruebas de aceptación 10.3 Datos de Prueba 10.3.1 Protección de los datos utilizados en pruebas 11. Relaciones con Suministradores 11.1 Seguridad de la información en las relaciones con suministradores 11.1.1 Políticas de seguridad de la información para suministradores 11.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores 11.1.3 Cadena de suministros en tecnologías de la información comunicaciones 11.2 Gestión de la prestación del servicio por suministradores 11.2.1 Supervisión y revisión de los servicios prestados por terceros 11.2.2 Gestión de cambios en los servicios prestados por terceros 12. Gestión de Incidentes en la Seguridad de la Información 12.1 Gestión de incidentes de seguridad de la información y mejoras 12.1.1 Responsabilidades y procedimientos 12.1.2 Notificación de los eventos de seguridad de la información

12.1.3 Notificación de puntos débiles de la seguridad 12.1.4 Valoración de eventos de seguridad de la información y toma de decisiones 12.1.5 Respuestas a los incidentes de seguridad 12.1.6 Aprendizaje de los incidentes de seguridad de la información 12.1.7 Recopilación de evidencias 13. Aspectos de Seguridad de la Información en la Gestión de la continuidad del negocio 13.1 Continuidad de la seguridad de la información 13.1.1 Planificación de la continuidad de la seguridad de la información 13.1.2 Implantación de la continuidad de la seguridad de la información 13.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información 13.2 Redundancias 13.2.1 Disponibilidad de instalaciones para el procesamiento de la información 14. Cumplimiento 14.1 Cumplimientos de los requisitos legales y contractuales 14.1.1 Identificación de la legislación aplicable 14.1.2 Derechos de propiedad intelectual (DPI) 14.1.3 Protección de los registros de la organización 14.1.4 Protección de datos y privacidad de la información personal 14.1.5 Regulación de los controles criptográficos 14.2 Revisiones de la Seguridad de Información 14.2.1 Revisión independiente de la seguridad de la información 14.2.2 Cumplimiento de las políticas y normas de seguridad 14.2.3 Comprobación del cumplimiento

Diferencias entre ISO

27001

e ISO 27002

Las normas ISO 27001 y ISO 27002, entre sus diferencias se puede notar que la ISO 27002 es más detallada y más precisa.En ISO 27002 no es posible obtener la certificación porque no es una norma de gestión. Lo cual significa que este tipo de norma define cómo ejecutar un sistema; y en el caso de la ISO 27001, esta norma define el sistema de gestión de seguridad de la información (SGSI). Por lo tanto, la certificación en ISO 27001 sí es posible.

3.1

¿Qué es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.

En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. 3.2

Fundamentos:

Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D: 

Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.



Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.



Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

Este sistema de gestión significa que la seguridad de la información debe ser planificada, implementada, supervisada, revisada y mejorada. Significa que la gestión tiene sus responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se deben realizar auditorías internas, etc. Todos esos elementos están establecidos en la ISO 27001, pero no en la ISO 27002. Por último, la diferencia está en que la ISO 27002 no distingue entre los controles que son aplicables a una organización determinada y los que no lo son. Por otro lado, la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para identificar si es necesario disminuir los riesgos y, en caso que sea necesario, hasta qué punto deben aplicarse. La pregunta es: ¿Por qué existen ambas normas en forma separada, por que no han sido integradas utilizando los aspectos positivos de cada una? La respuesta está en la utilidad: si fuera una única norma, sería demasiado compleja y larga como para que sea práctica. Cada norma de la serie ISO 27001 está diseñada con un enfoque preciso: si desea crear la estructura de la seguridad de la información en su organización y definir su encuadre, debería usar la ISO 27001; para implementar controles, debería usar la ISO 27002; si desea realizar la evaluación y tratamiento de riesgos, debería usar la ISO 27005; etc. Para finalizar, se podría decir que sin la descripción proporcionada por la ISO 27002, los controles definidos en el Anexo A de la ISO 27001 no se podrían implementar. Sin embargo, sin el marco de gestión de la ISO 27001, la ISO 27002 sería simplemente un esfuerzo aislado de unos pocos apasionados por la seguridad de la información, sin la aceptación de la alta dirección y, por lo tanto, sin efectos reales sobre la organización.

CONCLUSIONES



Luego de estudiar el Estándar Internacional ISO/IEC 27002, se puede ver cómo varios aspectos resaltados por este Estándar son aspectos generales que las organizaciones los toman en cuenta aún sin tener el certificado ISO/IEC 27002. Pero también existen muchas deficiencias en la gran mayoría de organizaciones en materia de seguridad. Algunos podrían considerar que apegarse a este tipo de estándares es en cierta forma cara y complicada, pero en realidad resulta mucho más caro sufrir las consecuencias que suele traer la falta de seguridad en un importante sistema de información.



El hecho de cumplir a cabalidad con el Estándar Internacional ISO/IEC 27002 no garantiza al 100% que no se tendrán problemas de seguridad, pues la seguridad al 100% no existe. Lo que sí se logra es minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas originados por la falta de seguridad.



Este documento proporciona una idea bastante clara de cómo se debe trabajar en materia de seguridad de tecnologías de información al apegarse a un Estándar Internacional (y por lo tanto mundialmente aceptado y conocido) como lo es el ISO/IEC 27002.

RECOMENDACIONES



Implementar el Estándar Internacional ISO/IEC 27002 a la mayor brevedad posible, o de no ser posible (por aspectos económicos, de infraestructura, etc.), por lo menos estudiar el documento oficial de este Estándar y estar conocedores de todos los elementos que se pueden implementar y de cómo esto podría beneficiar y minimizar la posibilidad de problemas por falta de seguridad.



Tener en claro, como ya se dijo, que la seguridad al 100% no existe pero que sí se puede maximizar la seguridad y minimizar los riesgos por falta de seguridad.



De ser posible, se debería considerar adquirir la certificación de este Estándar Internacional, pues esto representa un gran activo no sólo por los beneficios que de por sí trae el tener excelentes mecanismos de seguridad, sino también por el prestigio de contar con certificaciones internacionales de calidad.



Se recomienda también tener un equipo de analistas que evalúen las condiciones particulares de una organización, pues cada caso es único, y lo que a uno le funcionó, a otro podría no funcionarle debido a los aspectos particulares de cada empresa. Por esa razón, se debe estudiar cada caso en concreto, aunque nunca está de más aprender de los errores o del éxito de otros.

ANEXOS ISO 9000

ISO/IEC

ISO 27002/27002

E-GRAFIA

http://www.iso27000.es/

http://iso27000.es/download/ControlesISO27002-2013.pdf

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm? csnumber=54533

International Organization for Standarization. About ISO. Extraído el 1 de octubre, 2008, de http://www.iso.org/iso/about.htm Wikipedia. IEC JTC1. Extraído el 1 de octubre, 2008, de http://en.wikipedia.org/wiki/ISO/IEC_JTC1 https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-2:v1:en