AUDITORÍA DE SISTEMAS
RESUMEN NORMA ISO 27000
Presentado Por: Juan Carlos Olio Torres J!onatan Ro"!a Ro#a Jor$e %& 'oo(er Cede)o
Do"ente: Maria Claudia *on+ante
CORPORACI,N UNI-ERSITARIA RA.AE% N/E1& .a"ultad de In$eniera de siste3as Carta$ena De Indias A)o 2045 IIP
NORMA ISO 27000
INTRODUCCION Es un conjunto de estándares desarrollados o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información, utilizale para cualquier tipo de organización! "ulicada el # de $a%o de &'', reisada con una segunda edición de '# de *iciemre de &'#& % una tercera edición de #+ de Enero de &'#+! Esta norma proporciona una isión general de las normas que componen la serie &''', indicando para cada una de ellas su alcance de actuación % el propósito de su pulicación! -ecoge todas las definiciones para la serie de normas &''' % aporta las ases de por qu. es importante la implantación de un S/SI, una introducción a los Sistemas de /estión de Seguridad de la Información, una ree descripción de los pasos para el estalecimiento, monitorización, mantenimiento % mejora de un S/SI (la 0ltima edición no aorda %a el ciclo "lan1*o1Chec21 3ct para eitar conertirlo en el 0nico marco de referencia para la mejora continua)! E4iten ersiones traducidas al espa5ol aunque ha% que prestar atención a la ersión descargada
6PARA UE SE UTI%I1A8 • • •
•
Estalecer una metodolog6a de gestión de la seguridad clara % estructurada! -educir el riesgo de p.rdida o roo de información! *ar confianza a los clientes % socios estrat.gicos por la garant6a de calidad % confidencialidad comercial! *ar la posiilidad de integrarse con otros sistemas de gestión (ISO ''#, ISO #+''#, 7)!*ar una imagen de la empresa a niel internacional! -educir los costes % mejorar los procesos % sericios! 3umentar la motiación % satisfacción del personal!
IMP%ANTACI,N 8a norma ISO 27004 (la principal de la familia) es certificale por una entidad de certificación e4terna % su implantación puede tardar de 9 a #& meses dependiendo del niel de se$uridad de la in+or3a"i9n % del alcance de la empresa en la que se implante % es preferile realizar el proceso con a%uda de alguna consultor6a e4terna a la organización!
ORIEN El origen de ISO1&''# se puede rastrear hasta una pulicación del *epartamento de Comercio e Industria (*:I, *epartment of :rade and Industr%) en el -eino ;nido, documento que dio origen en #< a la norma =S1#, que estalec6a un código de mejores prácticas para la administración de la seguridad de la información! Como su nomre lo indica, sólo proporcionaa una serie de recomendaciones pero no defin6a certificación alguna ni los mecanismos para lograrla! "osteriormente la norma fue eolucionando de la siguiente manera> •
En #? se lieró la segunda parte, =S1&, que estaleció la especificación
para implantar un sistema de gestión de seguridad de la información (S/SI)! •
En el a5o &''', la Organización Internacional para la Estandarización (ISO,
Internacional Organization for Standarization) tomó la norma ritánica =S1# % la conirtió en el estándar ISO#@=S1#! •
"or su parte en el -eino ;nido, la =SI (=ritish Standards Institution) pulicó la
norma =S1&>&''&, que prepara a las organizaciones para que recian la acreditación de seguridad a tra.s de una auditor6a realizada por una entidad certificadora! Aue ajo esta norma que las empresas pioneras se certificaron, no sólo en el -eino ;nido sino incluso en otros pa6ses! •
En &''< la ISO pulicó, con ase en la norma ritánica =S1&>&''&, el
estándar internacional ISO@IEC &''#>&''<, que es el que nos ocupa en el presente art6culo! Ese mismo a5o huo una ligera actualización de la ISO1#! •
Ainalmente, en &'', la ISO1# se renomró para conertirse en ISO1
&''&>&''
*ENE.ICIOS: /arant6a de los controles internos % cumplimiento de requisitos de gestión corporatia % de continuidad de la actiidad comercial! "one de manifiesto el respeto a las le%es % normatias que sean de aplicación! Aiailidad de cara al cliente demostrar que la información está segura! Identificación, ealuación % gestión de riesgos! Ealuaciones periódicas que a%udan a superisar el rendimiento % las posiles mejoras! Se integra con otros sistemas de gestión -educción de costes % mejora de procesos 3umento de la motiación % satisfacción del personal al contar con unas directrices claras! •
• • • • • • •
%A SERIE 27000: 3 semejanza de otras normas ISO, la &''' es realmente una serie de estándares! 8os rangos de numeración reserados por ISO an de &''' a &'# % de &'B' a &'++
ISO 27000> contiene conceptos t.cnicos % de gestión! ISO 27004> requisitos del sistema de gestión de la seguridad de la información! ISO 27002> ojetios de control % controles recomendales! ISO 2700;> gu6a de implementación de S/SI % modelo "*C3! ISO 27005> m.tricas % t.cnicas de medida en S/SI! ISO 2700<> directrices para la gestión de riesgo! ISO 2700=> requisitos para la acreditación de entidades de auditor6a! ISO 27007> Consiste en una gu6a de auditor6a de un S/SI! ISO 270;2> Consiste en una gu6a relatia a la cier seguridad! ISO 270;;> Es una norma consistente en partes> gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gatea%s, acceso remoto, aseguramiento de comunicaciones en redes mediante D"s % dise5o e implementación de seguridad en redes!
CONTENIDO NORMA ISO 27004: 200< Introdu""i9n: generalidades e introducción al m.todo "*C3! O>#eto ? "a3@o de a@li"a"i9n: se especifica el ojetio, la aplicación % el tratamiento de e4clusiones!
Nor3as @ara "onsulta: otras normas que siren de referencia! Tr3inos ? de+ini"iones: ree descripción de los t.rminos más usados en la norma! Siste3a de $esti9n de la se$uridad de la in+or3a"i9n: cómo crear, implementar, operar, superisar, reisar, mantener % mejorar el S/SIF requisitos de documentación % control de la misma!
Res@onsa>ilidad de la dire""i9n: en cuanto a compromiso con el S/SI, gestión % proisión de recursos % concienciación, formación % capacitación del personal!
Auditoras internas del SSI: cumplimiento!
cómo realizar las auditor6as internas de control %