NORMA ISO/IEC 17799
SEGURIDAD INFORMATICA NORMA ISO/IEC 27002 - 2005
�
INDICE
Contenido
1
Pág.
Introducción
03
Definiciones
04
1.1.
Que es ISO
04
1.2.
Que es IEC
04
1.3.
Que es ISO/IEC JTC 1
04
2.
Que es ISO/IEC 17799 - ISO/IEC 27002-2005
05
2.1.
Relación con la norma ISO / IEC 27001
06
2.2.
Estructura y formato de la norma ISO / IEC 27002
06
3.
Historia
07
4.
Estructura (Dominios de Control)
09
4.1.
Política de Seguridad
12
4.2.
Organización de la Seguridad de la Información
13
4.3.
Gestión de Activos
14
4.4.
Recursos Humanos de Seguridad
14
4.5.
Seguridad Física y Ambiental
15
4.6.
Comunicaciones y Gestión de Operaciones
16
4.7.
Control de Accesos
17
4.8.
Desarrollo y Mantenimiento de Sistemas
18
4.9.
Gestión de Incidentes en la Seguridad de Información
19
4.10.
Gestión de Continuidad del Negocio
19
4.11.
Cumplimiento
20
Conclusiones
22
Recomendaciones
23
Sitios de Consulta
24
�
INTRODUCCION Actualmente la tendencia de la gran mayoría de las empresas dedicadas o r elacionadas con las tecnologías de información, es enfocar sus procesos a transacciones y operaciones en red. La seguridad informática siempre ha sido importante, desde los inicios de las computadoras, pero ahora se ha agudizado más la importancia de contar con buenos mecanismos de seguridad debido a que los riesgos y amenazas no solamente consisten en que personas que se encuentren en el área geográfica donde están las computadoras, roben información, sino que ahora también existen riesgos de robo o accesos no autorizados a información mediante la s diferentes redes que interconectan a las computadoras o a cualquier equipo tecnológico utilizado para transmitir información digital. Y es así que surge la Norma internacional de Seguridad Informática denominada ISO/IEC 17799, que posteriormente fue modificada por los mismos requerimientos comerciales, industriales y empresariales del mundo entero convir tiéndose en la norma internacional de seguridad ISO/IEC 27002, la cual es una guía de buenas prácticas que describe los objetivos de control y contr oles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer para mejorar la seguridad de la información. Aunque muchas empresas le restan valor o importancia al aspecto de seguridad, no se puede dudar que las pérdidas por la falta de seguridad informática pueden ser tremendamente caras, tanto en materia económica como en cuanto a prestigio, nivel de ventas, problemas legales, daños a empleados de la organización o a terceros, etc. En vista de la importancia que tiene la seguridad en las tecnologías de información, se afirma que estudiar no solamente buenas prácticas y consejos sabios de personas que llevan una gran trayectoria en el área de la informática, sino que más aún, Normas Internacionales certificables, es un beneficio de grandes magnitudes para cualquier organización. Por ello se analizamos que el estudio de la Norma Internacional ISO/IEC 27002 es totalmente necesario para cualquier organización que tenga que ver de alguna forma con aspectos relacionados a tecnologías de información. He aquí la importancia que sustenta el siguiente trabajo:
�
1. DEFINICIONES 1.1.
QUE ES ISO
ISO es el acrónimo de International Organization for Standardization. Aunque si se observan las iniciales para el acrónimo, el nombre debería ser IOS, los fundadores decidieron que fuera ISO, derivado del griego " isos", que significa "igual". Por lo tanto, en cualquier país o en cualquier idioma, el nombre de la institución es ISO, y no cambia de acuerdo a la traducción de "International Organization for Standardization" que corresponda a cada idioma. Se trata de la organización desarrolladora y publicadora de Estándares Internacionales más grande en el mundo. ISO es una red de instituciones de estándares nacionales de 157 países, donde hay un miembro por país, con una Secretaría Central en Geneva, Suiza, que es la que coordina el sistema. ISO es una organización no gubernamental que for ma un puente entre los sectores públicos y privados. Respecto al origen de la organización ISO, oficialmente comenzó sus operaciones el 23 de febrero de 1947 en Geneva, Suiza. Nació con el objetivo de "facilitar la coordinación internacional y la unificación de los estándares industriales."
1.2.
QUE ES IEC
IEC es el acrónimo de International Electr otechnical Commission. Esta es una organización sin fines de lucro y también no gubernamental. Se ocupa de preparar y publicar estándares internacionales para todas las tecnologías eléctricas o relacionadas a la electrónica. IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estándares globales a las industrias electrotécnicas mundiales. Aunque como se acaba de decir, IEC nació en el Reino Unido, en el año de 1948 movieron su sede a Geneva, Suiza, ciudad en la que también se encuentra la sede de ISO.
1.3.
ISO/IEC JTC1
ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de tecnología de la información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías de información. Dicho subcomité ha venido desarrollando una familia de Estándares Internacionales para el Sistema Gestión y Seguridad de la Información. La familia incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y medición, y el lineamiento de implementación del sistema de gestión de seguridad de la información. Esta familia adoptó el esquema de numeración utilizando las series del número 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones del ISO/IEC 17799 se encuentran bajo el esquema de numeración con el nombre ISO/IEC 27002.
�
2. QUE ES ISO/IEC 17799 – ISO/IEC 27002-2005 ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. La seguridad de la información se define co mo la preservación de:
Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso.
Integridad. Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento.
Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus a ctivos asociados.
Al igual que la gobernanza y la gestión de riesgos, gestión de seguridad de la información es un tema muy amplio, con ramificaciones a través de todas las organizaciones. Seguridad de la información, y por lo tanto la norma ISO / IEC 27002, es relevante para todos los tipos de organizaciones, incluyendo las empresas comerciales de todos los tamaños (desde un solo hombre-bandas hasta gigantes multinacionales), sin fines de lucro, organizaciones benéficas, los departamentos gubernamentales y cuasi-autónomo cuerpos - de hecho cualquier organización que maneja y depende de la información. Los requisitos de riesgos de seguridad de la información y de control específicos pueden diferir en detalle, pero hay un montón de puntos en común, por ejemplo, la mayoría de las organizaciones tienen que hacer frente a los riesgos de seguridad de la información en relación con sus empleados, además de los contratistas, los consultores y los proveedores externos de servicios de información. El estándar se refiere explícitamente a la información de seguridad, lo que significa la seguridad de todas las formas de información (por ejemplo, datos informáticos, la documentación, el conocimiento y la propiedad intelectual) y no sólo de TI / seguridad de sistemas o "ciberseguridad", como es la moda de la época.
�
2.1.
Relación con la norma ISO / IEC 27001
ISO / IEC 27001 define formalmente los requisitos o bligatorios para un Sistema de Gestión de Seguridad de la Información (SGSI). Utiliza la norma ISO / IEC 27002 para indicar los controles de seguridad de información adecuados dentro de los SGSI, pero como la norma ISO / IEC 27002 es más que un código de conducta / directriz en lugar de una norma de certificación, las organizaciones tienen la libertad de seleccionar e implementar otros controles, o incluso adoptar alternativa suites completas de los controles de seguridad de la información como mejor les parezca. ISO / IEC 27001 incorpora un resumen (un poco más que los títulos de las secciones, de hecho) de los controles de la norma ISO / IEC 27002 en el Anexo A. En la práctica, la mayoría de las organizaciones que adoptan la norma ISO / IEC 27001 también adoptan la norma ISO / IEC 27002.
2.2.
Estructura y formato de la norma ISO / IEC 27002
ISO / IEC 27002 es un código de prácticas - un documento de asesoramiento genérico, no una especificación formal, como la norma ISO / IEC 27001 Recomienda controles de seguridad de información que abordan los objetivos de control de seguridad de información que surgen de los riesgos para la confidencialidad, integridad y disponibilidad de la información. Las organizaciones que adoptan la norma ISO / IEC 27002 deben evaluar su s propios riesgos de seguridad de la información, aclarar sus objetivos de control y aplicar controles adecuados (o incluso otras formas de tratamiento de riesgos) utilizando el estándar para la orientación. La norma se estructura lógicamente torno a grupos de contr oles de seguridad relacionados. Muchos controles podrían haber sido puestos en varias secciones, pero, para evitar la duplicación y de conflicto, se les asignó arbitrariamente a uno y, en algunos casos, con referencias cruzadas de otros lugares. Por ejemplo, un sistema de acceso de control de la tarjeta para, por ejemplo, una sala de ordenadore s o archivo / bóveda es a la vez un control de acceso y un control físico que implica procedimientos y políticas tecnológicas más la gestión / administración asociada y uso. Esto se ha traducido en unos pocos rarezas ( como la sección 6.2 en los dispositivos móviles y el teletrabajo formar parte de la sección 6 de la organización de seguridad de la información), pero es al menos una estructura razonablemente completo. Puede que no sea perfecto, pero es lo suficientemente bueno.
�
.
3. HISTORIA En 1995 el British Standard Institute publica la norma BS7799, un código de buenas prácticas para la gestión de la seguridad de la información. En 1998, también el BSI pública la norma BS7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en 2002. Tras una revisión de ambas partes de BS7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada I SO/IEC 17799:
Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información.
Aplicable por toda organización, con independencia de su tamaño.
Flexible e independiente de cualquier solución de recomendaciones neutrales con respecto a la tecnología.
seguridad
concreta:
En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe e quivalente ISO).
�
La ISO 27002 es una guía para, en distintos ámbitos, conocer qué se puede hacer para mejorar la seguridad de la información. Expone, en distintos campos, una serie de apartados a tratar en relación a la seguridad, Los objetivos de seguridad a perseguir, una serie de consideraciones (controles) a tener en cuenta para cada objetivo y un conjunto de "sugerencias" para cada uno de esos controles. Sin embargo, la propia norma ya indica que no existe ningún tipo de priorización entre controles, y que las "sugerencias" que realiza no tienen por qué ser ni siquiera convenientes, en función del caso en cuestión. Esta Norma Internacional está diseñado para que las organizaciones utilizan como referencia para la selección de los controles en el proceso de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO / IEC 27001 o como un documento de orientación para las organizaciones que efectúan controles de seguridad de la información generalmente aceptadas. Esta norma también es para uso en el desarrollo de directrices de gestión de seguridad de la información y la industriaespecíficas de la organización, teniendo en cuenta su entorno de riesgo seguridad de la información específica (s). Los activos están sujetos a las amenazas deliberadas o accidentales, mientras que los relacionados con los procesos, los sistemas, las redes y las personas tienen vulnerabilidades inherentes. Los cambios en los procesos de negocio y sistemas u otros cambios externos (por ejemplo, nuevas leyes y reglamentos) pueden crear nuevos riesgos de seguridad de la información. Por lo tanto, dada la multiplicidad de formas en que las amenazas podrían aprovecharse de las vulnerabilidades para dañar a la organización, los riesgos de seguridad de la información están siempre presentes. Seguridad de la información eficaz reduce estos riesgos mediante la protección de la organización contra las amenazas y vulnerabilidades, y luego reduce los impactos de sus activos. Seguridad de la información se logra mediante la implementación de un conjunto adecuado de controles, incluidas las políticas, procesos, procedimientos, estructuras organizativas y de software y funciones de hardware. Estos controles se deben establecer, implementar, supervisar, revisar y mejorar, cuando sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y de negocios de la organización. Un SGSI como el que se especifica en la norma ISO / IEC 27001 tiene una visión holística, coordinada de los riesgos de seguridad de la información de la organización con el fin de poner en práctica un conjunto completo de controles de seguridad de la información en el marco general de un sistema de gestión coherente. Muchos sistemas de información no han si do diseñados para ser seguro en el sentido de la norma ISO / IEC 27001 y este estándar. La seguridad de que se puede lograr a través de medios técnicos es limitada y debe ser apoyada por la administración y los procedimientos apropiados. La identificación que controla debe estar en su lugar requiere una cuidadosa planificación y atención al detalle. Un éxito SGSI requiere el apoyo de todos los empleados en la organización.
�
4. ESTRUCTURA (Dominios de Control) La norma UNE-ISO/IEC 17799 establece diez dominios completo la Gestión de la Seguridad de la I nformación:
de control que cubren por
1) Política de seguridad. 2) Aspectos organizativos para la seguridad. 3) Clasificación y control de activos. 4) Seguridad ligada al personal. 5) Seguridad física y del entorno. 6) Gestión de comunicaciones y operaciones. 7) Control de accesos. 8) Desarrollo y mantenimiento de sistemas. 9) Gestión de continuidad del negocio. 10) Conformidad con la legislación.
De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).
�
ISO / IEC 27002: 2005 establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de seguridad de la información en una organización. Los objetivos trazados proporcionan una guía general sobre los objetivos comúnmente aceptados de gestión de la seguridad de la información. ISO / IEC 27002: 2005 contiene las mejores prácticas de los o bjetivos de control y controles en las sigui entes áreas de gestión de seguridad de la informaci ón: 1) Política de seguridad; 2) Organización de la seguridad de la información; 3) Gestión de activos; 4) Recursos humanos de seguridad; 5) Seguridad física y ambiental; 6) Comunicaciones y gestión de operaciones; 7) Control de acceso; 8) Los sistemas de información de adquisición, desarrollo y mantenimiento; 9) Información de gestión de incidentes de seguri dad; 10) Gestión de la continuidad del negocio; 11) Cumplimiento. Los objetivos de control y controles en la norma ISO / IEC 27002: 2005 están destinados a ser implementado para satisfacer las necesidades identificadas por la evaluación del riesgo. ISO / IEC 27002: 2005 pretende ser una base común y guía práctica para el desarrollo de estándares de seguridad de la organización y las prácticas eficaces de gesti ón de la seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales. Esta norma cuenta con 11 dominios, 39 objetivos de control y 133 Controles , dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica asimismo una guía para su implantación.
��
��
4.1.
POLÍTICA DE SEGURIDAD
Dirigir y dar soporte a la gestión de la seguridad de la información. La alta dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el pers onal implicado en la seguridad de la información. La política se constituye en la base de todo el sistema de seguridad de la información. La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía. Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información." Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes.
4.1.
POLÍTICA DE SEGURIDAD
Dirigir y dar soporte a la gestión de la seguridad de la información. La alta dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el pers onal implicado en la seguridad de la información. La política se constituye en la base de todo el sistema de seguridad de la información. La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía. Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información." Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes. El Documento de la Política de Seguridad de la Información debe contar con un claro lineamiento de implementación, y debe contener partes tales como una definición de seguridad de la información, sus objetivos y alcances generales, importancia, intención de la gerencia en cuanto al tema de seguridad de la información, estructuras de evaluación y gestión de riesgos, explicación de las políticas o principios de la organización, definición de las responsabilidades individuales en cuanto a la seguri dad, etc. Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues si se distribuye fuera de la organización, no debería divulgar información confidencial que afecte de alguna manera a la organización o a personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar sus datos personales, etc.)
��
4.2.
ORGANIZACIÓN DE LA SEGURIDAD DE LA INFROMACION La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros. En cuanto a la organización interna, se tiene como objetivo manejar la seguridad de la información dentro de la organización.
Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organización. La gerencia debe invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas veces la seguridad requiere inversión económica, y parte del compromiso de la gerencia implica tener un presupuesto especial para seguridad, por supuesto de una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo, implementar un método carísimo de seguridad podría ser de gran beneficio, pero representar un costo demasiado elevado. Es fundamental también asignar responsabilidades. Es típica una tendencia humana el echarle la culpa a otros. Entonces cuando la seguridad es atacada, casi siempre las personas dentro de la organización tratan de buscar un culpable y quedar libres de todo cargo. Por esa razón se deben asignar claramente responsabilidades para que cuando se den los problemas, cada quien responda por sus actos y por lo que estaba bajo su cargo. La asignación de responsabilidades no solamente tiene que ser verbal, sino que escrita y en muchas ocasiones, incluso bajo un contrato legal. Deben también existir acuerdos de confidencialidad. También se debe tener en cuenta mantener los contactos apropiados con las autoridades relevantes, por ejemplo con la policía, departamento de bomberos, etc. También se debe saber en qué casos se debe contactar a estas instituciones. También se deben mantener contactos apropiados con grupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales, así como contar con capacitaciones en materia de seguridad. La organización en materia de seguridad de la información debe también considerarse respecto a terceros. El objetivo de esto es mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Para ello se debe comenzar por la identificación de los riesgos relacionados con los grupos externos. Se debe estudiar cómo a raíz de procesos comerciales que involucran a grupos externos se les puede estar otorgando acceso que afecte la seguridad. Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con terceros, para no afectar la seguridad de la información.
��
4.3.
GESTION DE ACTIVOS Se deben asignar responsabilidades por cada uno de los activos de la organización, así como poseer un inventario actualizado de todos los activ os que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de todos los activos. Para esto el departamento de contabilidad tendrá que hacer un buen trabajo en cuanto a esta clasificación y desglose de activos, y el departamento de leyes de la empresa también tendrá que ser muy metódico en estos procesos, ya que los activos son todos los bienes y recursos que posee una empresa, incluyendo bienes muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia.
Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información. Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización.
4.4.
RECURSOS HUMANOS DE SEGURIDAD
El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas para concientizar y proporcionar formación y procesos disciplinarios relacionados a la seguridad y responsabilidad de los recursos humanos en este ámbito. Las implicaciones del factor humano en la seguridad de la información son muy elevadas. Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. También se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de trabajo, para que la persona no se vaya simplemente y deje a la organización afectada de alguna manera en materia de seguridad.
��
4.5.
SEGURIDAD FÍSICA Y AMBIENTAL
La seguridad física y ambiental se divide en áreas seguras y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento de información. Se debe también contar con controles físic os de entrada, tales como puertas con llave, etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazas externas y de origen ambiental, como incendios (para los cuales deben haber extintores adecuados y en los lugares convenientes), terrem otos, huracanes, inundaciones, atentados terroristas, etc. Deben también haber áreas de acceso público de carga y descarga, parqueos, áreas de visita, entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas como antideslizantes y barras de apoyo sobre la pared para sujetarse. En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los equipos, seguridad del cableado, mantenimiento de equipos, etc. Para todo esto se r equerirá de los servicios de técnicos o ingenieros especializados en el cuidado y mantenimiento de cada uno de los equipos, así como en la inmediata reparación de los mismos cuando sea necesario. La ubicación de los equipos también debe ser adecuada y de tal manera que evite riesgos. Por ejemplo si algún equipo se debe estar trasladando con frecuencia, quizá sea mejor dejarlo en la primera planta, en vez de dejarlo en la última planta de un edificio, pues el traslado podría aumentar los r iesgos de que se caiga y dañe, especialmente si no se cuenta con un ascensor. Se debe igualmente verificar y controlar el tiempo de vida útil de los equipos para que trabajen en condiciones óptimas. Las áreas de trabajo de la organización y sus activ os deben ser clasificadas y protegidas en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio...).
��
4.6.
COMUNICACIONES Y GESTION DE OPERACIONES
El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información. En primer lugar, es necesario que los procedimientos de operación estén bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia.
A la hora de aceptar un nuevo sistema, se debe tener especial cuidado, verificando primeramente las capacidades y contando con evaluadores capacitados para determin ar la calidad o falta de calidad de un sistema nuevo a implementar. Se tienen que establecer criterios de aceptación de los sistemas de información, actualizaciones o versiones nuevas, y se deben realizar pruebas adecuadas a los sistemas durante su desarrollo y antes de su aceptación. La protección contra el código malicioso y descargable debe servir para proteger la integridad del software y la integración con los sistemas y tecnologías con que ya se cuenta. Se deben también tener controles de detección, prevención y recuperación para proteger contra códigos maliciosos, por ejemplo antivirus actualizados y respaldos de información. De hecho, los respaldos de información son vitales y deben realizarse con una frecuencia razonable, pues de lo contrario, pueden existir pérdidas de información de gran impacto negativo. En cuanto a las redes, es necesario asegurar la protección de la información que se transmite y la protección de la infraestructura de soporte. Los servicios de red tienen que ser igualmente seguros, especialmente consi derando cómo la tendencia de los últimos años se encamina cada vez más a basar todas las tecnologías de la información a ambientes en red para transmitir y compartir la información efectivamente. Los sistemas tienen que estar muy bien documentados, detalle a detalle, incluyendo por supuesto la arquitectura de red con la que se cuenta. Asegurar la operación correcta y segura de los recursos de tratamiento de información. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la información. Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación. Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo. Evitar daños a los activos e interrupciones de actividades de la organización. Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones. Se debe garantizar la seguridad de las comunicaciones y de la operación de los sistemas críticos para el negocio.
��
4.7.
CONTROL DE ACCESOS Controlar los accesos a la información. Evitar accesos no autorizados a los sistemas de información. Evitar el acceso de usuarios no autorizados. Protección de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la información contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo.
Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. En primer lugar, se debe contar con una política de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas, etc. Aparte de la autenticación correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la protección apropiada, como por ejemplo la activación automática de un protector de pantalla después de cierto tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contraseña conocida por quien estaba autorizado para utilizar la máquina desatendida. Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información. Para todo esto deben existir registros y bitácoras de acceso. Deben también existir políticas que contemplen adecuadamente aspectos de comunicación móvil, redes inalámbricas, control de acceso a ordenadores portátiles, y teletrabajo, en caso que los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la organización.
��
4.8.
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen. Debe existir una validación adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes. La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas criptográficas en la organización, utilizando técnicas seguras. Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe controlar el acceso a los archivos del sistema y el código fuente del programa, y los proyectos de tecnologías de información y las actividades de soporte se deben realizar de manera segura.
Deben establecerse procedimientos para el control de la instalación del software en los sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias. Se debe restringir el acceso al código fuente para evitar robos, alteraciones, o la aplicación de ingeniería inversa por parte de personas no autorizadas, o para evitar en general cualquier tipo de daño a la propiedad de có digo fuente con que se cuente. La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios, revisiones técnicas de aplicaciones tras efectuar cambios en el sistema operativo y también restricciones a los cambios en los paquetes de software. No se tiene que permitir la fuga ni la filtración de informaci ón no requerida. Contar con un control de las vulnerabilidades téc nicas ayudará a tratar los riesgos de una mejor manera. Asegurar que la seguridad está incluida dentro de los sistemas de información. Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la información. Asegurar que los proyectos de Tecnología de la Información y las actividades complementarias son llevados a cabo de una forma segura. Mantener la seguridad del software y la información de la aplicación del sistema. Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software en una organización: especificación de requisitos, desarrollo, explotación, mantenimiento.
��
4.9.
GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
La comunicación es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerencial es apropiados lo más rápidamente posible. De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los empleados, contratistas y terceros de los sistemas y servicios de información tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios. Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información es elemental. Aprender de los errores es sabio. Por ello, se deben establecer mecanismos para permitir cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información, siempre con la idea de no volver a cometer los errores que ya se cometieron, y mejor aún, aprender de los errores que ya otros cometieron. A la hora de recolectar evidencia, cuando una acci ón de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra una acción legal (ya sea civil o criminal); se debe recolectar, mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdicción(es) relevante(s).
4.10. GESTIÓN DE CONTINUIDAD DEL NEGOCIO Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización. Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la información. Estos planes no deben ser estáticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluación.
��
Junto a la gestión de riesgos, debe aparecer la identificación de eventos que pueden causar interrupciones a los procesos comerciales, j unto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información. Por supuesto se requieren planes alternativos y de acción ante tales eventos, asegurando siempre la protección e integridad de la información y tratando de poner el negocio en su estado de operación normal a la mayor brevedad posible. Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres. Todas las situaciones que puedan provocar la interrupción de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. Los planes de contingencia deben ser probados y revisados periódicamente. Se deben definir equipos de recuperación ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miem bro en caso de desastre.
4.11. CUMPLIMIENTO Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimient o de seguridad. La identificación de la legislación aplicable debe estar bien definida. Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general. Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado. El cumplimiento de los requisitos legales se aplica también a la protección de los documentos de la organización, protección de datos y privacidad de la información personal, prevención del uso indebido de los recursos de tratamiento de la información, y a regulaciones de los controles criptográficos. Los sistemas de información deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar el cumplimiento de los estándares de implementación de la seguridad. En cuanto a las auditorías de los sistemas de información, se tiene que maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoría del sistema de información. Durante las auditorías de los sistemas de información deben existir controles para salvaguardar los sistemas operacionales y herramientas de auditoría. También se requiere protección para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoría.
��
Las actividades y requerimientos de auditoría que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales. Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad. Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas. Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para garantizar la detección de desviaciones con respecto a la política de seguridad de la información.
��
CONCLUSIONES
La norma que es una guía de buenas prácticas, recoge los objetivos de control y los controles recomendables y no es certificable. La certificación se realiza con la norma ISO/IEC 27001, que recoge un resumen de estos controles en su Anexo A, como base para desarrollar los Sistemas de Gestión de la Seguridad de la Información, SGSI, de las organizaciones.
Luego de estudiar el Estándar Internacional ISO/IEC 27002, se puede ver cómo muchos de los aspectos resaltados por este Estándar son aspectos generales que muchas organizaciones los toman en cuenta aún sin tener el certificado ISO/IEC 27002. Pero también existen muchas deficiencias en la gran mayoría de organizaciones en materia de seguridad. Algunos podrían considerar que apegarse a este tipo de estándares es en cierta forma cara y complicada, pero en realidad resulta mucho más caro sufrir las consecuencias que suele traer la falta de seguridad en un importante sistema de información.
El hecho de cumplir a cabalidad con el Estándar Internacional ISO/IEC 27002 no garantiza al 100% que no se tendrán problemas de seguridad, pues la seguridad al 100% no existe. Lo que sí se logra es minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas originados por la falta de seguridad.
El trabajo proporciona una idea bastante clara de cómo se debe t rabajar en materia de seguridad de tecnologías de información al apegarse a un Estándar Internacional (y por lo tanto mundialmente aceptado y conocido) como lo es el ISO/IEC 27002.
��
RECOMENDACIONES
La primera recomendación es precisamente implementar el Estándar Internacional ISO/IEC 27002 a la mayor brevedad posible, o de no ser posible (por aspectos económicos, de infraestructura, etc.), por lo menos estudiar el documento oficial de este Estándar y estar conocedores de todos los elementos que se pueden implementar y de cómo esto podría beneficiar y minimizar la posibilidad de problemas por falta de seguridad.
La segunda recomendación es tener en claro, como ya se dijo, que la seguridad al 100% no existe pero que sí se puede maximizar la seguridad y minimizar los r iesgos por falta de seguridad.
De ser posible, se debería considerar adquirir la certificación de este Estándar Internacional, pues esto representa un gran activo no sólo por los beneficios que de por sí trae el tener excelentes mecanismos de seguridad, sino también por el prestigio de contar con certificaciones internacionales de calidad.
Se recomienda también tener un equipo de analistas que evalúen las condiciones particulares de una organización, pues cada caso es único, y lo que a uno le funcionó, a otro podría no funcionarle debido a los aspectos particulares de cada empresa. Por esa razón, se debe estudiar cada caso en concret o, aunque nunca está de más aprender de los errores o del éxito de otros.
Implantar ISO 27002 requiere de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización concreta.
��
SITIOS DE CONSULTA
http://www.monografias.com/trabajos67/estandar-internacional/estandarinternacional2.shtml#estandaria
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
https://www.google.com.gt/search?hl=es419&site=imghp&tbm=isch&source=hp& biw=1280&bih=923&q=ISO+27002-2005&oq=ISO+27002-2005&gs_
http://seguridadinformacioncolombia.blogspot.com/2010/04/iso-27001-e-iso27002-dominio-11.html
http://www.isaca.org/chapters7/Madrid/Events/Documents/Principales%20Nov edades%20de%20la%20ISO27001ISO%2027002%20-%20Paloma%20Garcia.pdf
http://nimbosystems.com/wp/?p=52
http://seguridadinformacioncolombia.blogspot.com/2010/03/iso-27001-e-iso27002-politica-de_02.html
http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-iso-27001 y-la-iso-27002
http://pdf.usaid.gov/pdf_docs/PA00JRCT.pdf
http://www.iso27001security.com/html/27002.html#Section5
��