ESTANDARES INTERNACIONALES DE SEGURIDAD INFORMÁTICA
Bs 17799
¿QUÉ ES?
BS 17799 es un código de prácticas o de orientación o
documento de referencia se basa en las mejores prácticas de seguridad de la
información, esto define un proceso para evaluar, implementar, mantener y
administrar la seguridad de la información.
¿CUANDO
SURGE?
Desde su publicación por parte de la Organización Internacional de Normas en diciembre de 2000, ISO 17799 surge como la norma técnica de seguridad de la información reconocida a nivel mundial. ISO 17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas de seguridad de la información".
En diciembre de 2000, la Organización Internacional de Normas Técnicas (ISO) adoptó y publicó la primera parte de su norma BS 7799 bajo el nombre de ISO 17799. Alrededor de la misma época, se adoptó un medio formal de acreditación y certificación para cumplir con la norma técnica. Los problemas Y2K y EMU y otros similares se habían solucionado o reducido a 2000 y la calidad total de la norma técnica había mejorado considerablemente. La adopción por parte de ISO de la Parte 1 - los criterios de la norma técnica - de BS 7799 recibió gran aceptación por parte del sector internacional y fue en este momento que un grupo de normas técnicas de seguridad tuvo amplio reconocimiento.
OBJETIVO:
El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.
La correcta clasificación de los
controles es una tarea que requiere del apoyo de especialistas en seguridad informática
o de alguien capacitado de manera similar, con conocimientos adquiridos en
circunstancias de diversas índoles (experiencia) en la implementación de
la (ya tan afamada y renombrada) ISO 17799; ya que cuando éstos se
establecen de forma inadecuada o incorrecta pueden generar un marco de trabajo
demasiado estricto y poco cómodo para las operaciones (eventos desempeñados) de
la organización y de los que habitan en ella.
ALCANCEZ:
Aumento
de la seguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoría interna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoría interna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.
EJEMPLO:
La Norma ISO/IEC 17799 establece diez dominios de control que
cubren (casi) por completo la Gestión de la Seguridad de la Información:
1.
Políticas de seguridad: el estándar define como obligatorias las políticas de seguridades
documentadas y procedimientos internos de la organización que permitan su
actualización y revisión por parte de un Comité de Seguridad.
2.
Aspectos organizativos: establece el marco formal de seguridad que debe integrar una
organización.
3.
Clasificación y control de activos: el análisis de riesgos generará el inventario de activos que
deberá ser administrado y controlado con base en ciertos criterios de
clasificación y etiquetado de información, es decir, los activos serán
etiquetados de acuerdo con su nivel de confidencialidad.
4.
Seguridad ligada al personal: contrario a lo que uno se puede imaginar, no se orienta a la seguridad
del personal desde la óptica de protección civil, sino a proporcionar controles a
las acciones del personal que opera con los activos de información. Su objetivo
es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, o sea, establecer claras responsabilidades
por parte del personal en materia de seguridad de la información.
5.
Seguridad física y del entorno: identificar los perímetros de seguridad, de forma
que se puedan establecer controles en el manejo de equipos, transferencia de información
y control de los accesos a las distintas áreas con base en el tipo de seguridad
establecida.
6.
Gestión de comunicaciones y operaciones: integrar los procedimientos de operación de la
infraestructura tecnológica y de controles de seguridad documentados, que van
desde el control de cambios en la configuración de los equipos, manejo de
incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
7.
Control de accesos: habilitar los mecanismos que permitan monitorear el acceso a los
activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o
perfiles de seguridad y el control de acceso a las aplicaciones.
8.
Desarrollo y mantenimiento de sistemas: la organización debe disponer de procedimientos
que garanticen la calidad y seguridad de los sistemas desarrollados para tareas
específicas de la organización.
9.
Gestión de continuidad del negocio: el sistema de administración de la seguridad debe integrar los
procedimientos de recuperación en caso de contingencias, los cuales deberán ser
revisados de manera constante y puestos a prueba con la finalidad de determinar
las limitaciones de los mismos.
10.
Cumplimiento o conformidad de la legislación: la organización establecerá los requerimientos de
seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán
formalizados en los contratos o convenios.
Serie ISO 27000
EJEMPLO:
Obtener aprobación de la gerencia de los riesgos
remanentes propuestos.
Preparar una declaración de aplicabilidad.
Monitorear y revisar el SASI.
Mantener y mejorar el SASI.
Preparar una declaración de aplicabilidad.
Monitorear y revisar el SASI.
Mantener y mejorar el SASI.
¿CUANDO
SURGE?
Publicada el 1 de Mayo de
2009, revisada con una segunda edición de 01 de Diciembre de 2012 y una tercera
edición de 14 de Enero de 2014.
¿QUÉ ES?
Es un vocabulario estandard para el SGSI. Se encuentra en
desarrollo actualmente.
OBJETIVO:
Esta norma
proporciona una visión general de las normas que componen la serie 27000,
indicando para cada una de ellas su alcance de actuación y el propósito de su
publicación. Recoge todas las definiciones para la serie de normas 27000 y
aporta las bases de por qué es importante la implantación de un SGSI, una
introducción a los Sistemas de Gestión de Seguridad de la Información, una
breve descripción de los pasos para el establecimiento, monitorización,
mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo
Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para
la mejora continua). Exiten versiones traducidas al español aunque hay que
prestar atención a la versión descargada.
ALCANCEZ:
La serie contiene las mejores prácticas recomendadas en
Seguridad de la información para desarrollar, implementar y mantener
Especificaciones para los Sistemas de Gestión de la Seguridad de la Información
(SGSI). La mayoría de estas normas se encuentran en preparación e incluyen:
Es la certificación que deben obtener las organizaciones.
Norma que especifica los requisitos para la implantación del SGSI. Es la norma
más importante de la familia. Adopta un enfoque de gestión de riesgos y
promueve la mejora continua de los procesos. Fue publicada como estándar
internacional en octubre 2005.
Cubre todos los tipos de organizaciones.
También especifica los requerimientos a establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y mejorando la documentación del Sistema de Administración en la Seguridad de la Información (ISMS), dentro del contexto de la totalidad de los riesgos del negocio.
Aplicación
El conjunto de requerimientos precisados en este estándar internacional son genéricos y se piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño y naturaleza.
También especifica los requerimientos a establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y mejorando la documentación del Sistema de Administración en la Seguridad de la Información (ISMS), dentro del contexto de la totalidad de los riesgos del negocio.
Aplicación
El conjunto de requerimientos precisados en este estándar internacional son genéricos y se piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño y naturaleza.
–ISO 27001
EJEMPLO:
Procedimiento
para autorización y registro de Utilitarios de Sistema
1. Objetivo
Establecer el procedimiento para la autorización y el registro de utilitarios del sistema a
Alcance
Es aplicable a las siguientes áreas de la institución:
· Gerencia.
· Compras.dssddddd
· Ventas
· Área administrativa.
· Almacén.
2. Responsabilidades
Gobierno de EGTI (Encargado de Gobierno de TI)
Administrador de Sistema:
Debe realizar un análisis de la información del software utilitario: ventajas y desventajas, identificar las posibles amenazas, puntos débiles y nivel de rendimiento del software utilitario.
Gerente:
Debe realizar un análisis de la información otorgada por el administrador de sistema, sobre el software utilitario y decidir su aplicación.
3. Documentos Relacionados
· Formulario para petición de autorización de software utilitario.
· Documento de cambio de o actualización de software utilitario.
· Documento de autorización de uso software utilitario.
· Documento con la declaración de niveles de acceso al utilitario por tipo de usuario.
1. Objetivo
Establecer el procedimiento para la autorización y el registro de utilitarios del sistema a
Alcance
Es aplicable a las siguientes áreas de la institución:
· Gerencia.
· Compras.dssddddd
· Ventas
· Área administrativa.
· Almacén.
2. Responsabilidades
Gobierno de EGTI (Encargado de Gobierno de TI)
Administrador de Sistema:
Debe realizar un análisis de la información del software utilitario: ventajas y desventajas, identificar las posibles amenazas, puntos débiles y nivel de rendimiento del software utilitario.
Gerente:
Debe realizar un análisis de la información otorgada por el administrador de sistema, sobre el software utilitario y decidir su aplicación.
3. Documentos Relacionados
· Formulario para petición de autorización de software utilitario.
· Documento de cambio de o actualización de software utilitario.
· Documento de autorización de uso software utilitario.
· Documento con la declaración de niveles de acceso al utilitario por tipo de usuario.
¿CUANDO
SURGE?
Publicada el
15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma
principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó
anulada) y es la norma con arreglo a la cual se certifican por auditores
externos los SGSIs de las organizaciones.
La revisión más reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera
revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS
7799-2.
¿QUÉ ES?
La seguridad
de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización.
OBJETIVO:
ISO 27001 puede ser implementada en
cualquier tipo de organización, con o sin fines de lucro, privada o pública,
pequeña o grande. Está redactada por los mejores especialistas del mundo en el
tema y proporciona una metodología para implementar la gestión de la seguridad
de la información en una organización. También permite que una empresa sea
certificada; esto significa que una entidad de certificación independiente
confirma que la seguridad de la información ha sido implementada en esa
organización en cumplimiento con la norma ISO 27001.
ALCANCEZ:
Puede aportar las siguientes ventajas a la
organización:
- Demuestra la garantía independiente de los controles internos y
cumple los requisitos de gestión corporativa y de continuidad de la
actividad comercial.
- Demuestra independientemente que se respetan las leyes y normativas
que sean de aplicación.
Proporciona una ventaja competitiva al cumplir
los requisitos contractuales y demostrar a los clientes que la seguridad de su
información es primordial.
- Verifica independientemente que los riesgos de la organización
estén correctamente identificados, evaluados y gestionados al tiempo que
formaliza unos procesos, procedimientos y documentación de protección de
la información.
- Demuestra el compromiso de la cúpula directiva de su organización
con la seguridad de la información.
- El proceso de evaluaciones periódicas ayuda a supervisar
continuamente el rendimiento y la mejora.
Nota: las organizaciones que simplemente cumplen
la norma ISO/IEC 27001 o las recomendaciones de la norma del código
profesional, ISO/IEC 27002 no logran estas ventaja.
–ISO 27002
EJEMPLO:
Aunque muchas empresas le restan valor o importancia al
aspecto de seguridad, no se puede dudar que las pérdidas por la falta de
seguridad pueden ser tremendamente caras, tanto en materia económica como en
cuanto a prestigio, nivel de ventas, problemas legales, daños a
empleados de la organización o a terceros
(por ejemplo si se divulgara información confidencial luego de un ataque a un sistema), etc.
En vista de la importancia que tiene la seguridad en las tecnologías de
información, se afirma que estudiar no solamente buenas prácticas y consejos
sabios de personas que llevan una gran trayectoria en el área de la
informática, sino que más aún, Normas Internacionales
certificables, es un beneficio de grandes magnitudes para cualquier
organización. Por ello se justifica que el estudio de la Norma Internacional
ISO/IEC 27002 es totalmente necesario para cualquier organización que tenga que
ver de alguna forma con aspectos relacionados a tecnologías de información.
¿CUANDO
SURGE?
Desde el 1 de
Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año
de edición.
¿QUÉ ES?
ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar
para la seguridad de la información publicado por primera vez como ISO/IEC
17799:2000 por la International Organization for Standardization
y por la Comisión Electrotécnica Internacional en el
año 2000, con el título de Information
technology - Security techniques - Code of practice for information security
management. Tras un periodo de revisión y actualización de los contenidos
del estándar, se publicó en el año 2005 el
documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799
tiene su origen en el British Standard BS 7799-1 que fue publicado por primera
vez en 1995.
OBJETIVO:
Es una guía de buenas prácticas que describe los objetivos
de control y controles recomendables en cuanto a seguridad de la información.
No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados
en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma
ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.
ALCANCEZ:
Este Estándar Internacional va orientado a la
seguridad de la información en las empresas u organizaciones,
de modo que las probabilidades de ser afectados por robo, daño o pérdida de
información se minimicen al máximo.
ISO 20000
EJEMPLO:
- Cumplimiento
de un estándar internacional para los servicios de gestión de TI
- Reducción
de costes en cuanto al conocimiento y resolución de los incidentes de TI
- Gestión
efectiva de los suministradores entre el servicio provisto y cualquiera de
las terceras partes del servicio en sí mismo
- Asegurar
y demostrar el cumplimiento de la función de TI en la entrega de servicios
de acuerdo con las mejores practicas de la industria mundialmente
aceptadas
- Justificar
el coste de la calidad del servicio
- Proporcionar
servicios que se adecuen a las necesidades del negocio, del cliente y del
usuario
¿CUANDO
SURGE?
La ISO 20000 fue
publicada en diciembre de 2005 y es la primera norma en el mundo
específicamente dirigida a la gestión de los servicios de TI. La ISO 20000
fue desarrollada en respuesta a la necesidad de establecer procesos y
procedimientos para minimizar los riesgos en los negocios provenientes de un
colapso técnico del sistema de TI de las organizaciones.
¿QUÉ ES?
ISO20000 describe un conjunto integrado de procesos que permiten prestar
en forma eficaz servicios de TI a las organizaciones y a sus clientes. La
esperada publicación de la ISO 20000 el 15 de diciembre de 2005
representa un gran paso adelante hacia el reconocimiento internacional y el
desarrollo de la certificación de ITSM.
OBJETIVO:
El objetivo de la norma es
demostrar que una organización de TI tiene la capacidad suficiente de
satisfacer las necesidades y expectativas de sus clientes. Esto se realiza por
medio de la certificación.
Puede ser usado:
- Por
negocios que oferten sus servicios,
- por
negocios que requieren de un enfoque consistente por parte de todos sus
proveedores de servicios,
- por
proveedores de servicios para medir y comparar su Gestión de Servicios TI,
- como
base de una evaluación independiente,
- por
una organización que necesite demostrar su capacidad para proveer
servicios que cumplan con los requisitos de los usuarios,
- por
una organización que busque mejorar servicios, por medio de una aplicación
efectiva de procesos para monitorizar y mejorar la calidad de los
servicios.
ALCANCEZ:
La norma ISO/IEC 20000 está formada por tres partes bajo el mismo título “Tecnología de la información. Gestión del servicio:
- ISO 20000-1:
Especificaciones
Esta
parte de la norma ISO 20000 establece los requisitos que necesitan las
empresas para diseñar, implementar y mantener la gestión de servicios TI. Esta
norma ISO 20000 plantea un mapa de procesos que permite ofrecer
servicios de TI con una calidad aceptable para los clientes.
- ISO 20000-2:
Código de buenas prácticas
Describe
las mejoras prácticas adoptadas por la industria en relación con los procesos
de gestión del servicio TI, que permite cubrir las necesidades de negocio del
cliente, con los recursos acordados, así como asumir un riesgo entendido y
aceptable.
- ISO 20000-3:
Guía sobre la defición del alcance y aplicabilidad de la norma ISO/IEC
20000-1
Proporciona
orientación sobre la definición del alcance, aplicabilidad y la demostración de
la conformidad con los proveedores de servicios orientados a satisfacer los requisitos
de la norma ISO 20000-1, así como los proveedores de servicios que están
planeando mejoras en el servicio con la intención de utilizar la norma como un
objetivo de negocio.
Si desea obtener más información sobre el desarrollo de nuevas partes que buscan una mejor alineación con ITSM y con otros estándares ISO, visite la sección de la norma iso 20000.
OMG gracias, me sirvio de mucho ^-^ ♥
ResponderEliminarmucha informacion que no sirve de nada .l. vergas de negro
Eliminardeberias de tener sexo con un negro
Eliminarlo tiene ENORME mmmm
TU MAMA ES MI NOVIA Y TU ERES MI HIJA PINCHE PUTA
ResponderEliminarTe callas imbécil... >:v
Eliminarten mas respeto por quien te iso la tarea >:v
Este comentario ha sido eliminado por el autor.
ResponderEliminarquiero ser pedo :v
EliminarEste comentario ha sido eliminado por el autor.
Eliminartons que siempre si me vas a sacar esta o que?
EliminarEste comentario ha sido eliminado por el autor.
Eliminarte saco el chiquion
EliminarEste comentario ha sido eliminado por el autor.
EliminarEste comentario ha sido eliminado por el autor.
EliminarEste comentario ha sido eliminado por el autor.
EliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarVan en el conalep o que jaja
ResponderEliminarvas en el tec o q???
Eliminarmmmmmque rico el pne negro
ResponderEliminarborrar
ResponderEliminarNms puro par de idiotar que comentan a lo pendejo neta, que les caiga un pinche meteorito alch
ResponderEliminar