ESTANDARES INTERNACIONALES DE SEGURIDAD INFORMÁTICA

Bs 17799

¿QUÉ ES?

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

¿CUANDO SURGE?

Desde su publicación por parte de la Organización Internacional de Normas en diciembre de 2000, ISO 17799 surge como la norma técnica de seguridad de la información reconocida a nivel mundial. ISO 17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas de seguridad de la información".

En diciembre de 2000, la Organización Internacional de Normas Técnicas (ISO) adoptó y publicó la primera parte de su norma BS 7799 bajo el nombre de ISO 17799. Alrededor de la misma época, se adoptó un medio formal de acreditación y certificación para cumplir con la norma técnica. Los problemas Y2K y EMU y otros similares se habían solucionado o reducido a 2000 y la calidad total de la norma técnica había mejorado considerablemente. La adopción por parte de ISO de la Parte 1 - los criterios de la norma técnica - de BS 7799 recibió gran aceptación por parte del sector internacional y fue en este momento que un grupo de normas técnicas de seguridad tuvo amplio reconocimiento.

 

OBJETIVO:
El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.

La correcta clasificación de los controles es una tarea que requiere del apoyo de especialistas en seguridad informática o de alguien capacitado de manera similar, con conocimientos adquiridos en circunstancias de diversas índoles (experiencia) en la implementación de la (ya tan afamada y renombrada) ISO 17799; ya que cuando éstos se establecen de forma inadecuada o incorrecta pueden generar un marco de trabajo demasiado estricto y poco cómodo para las operaciones (eventos desempeñados) de la organización y de los que habitan en ella.

ALCANCEZ:

Aumento de la seguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoría interna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.

EJEMPLO:

La Norma ISO/IEC 17799 establece diez dominios de control que cubren (casi) por completo la Gestión de la Seguridad de la Información:

1.    Políticas de seguridad: el estándar define como obligatorias las políticas de seguridades documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad.

2.    Aspectos organizativos: establece el marco formal de seguridad que debe integrar una organización.

3.    Clasificación y control de activos: el análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.

4.    Seguridad ligada al personal: contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información. Su objetivo es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, o sea, establecer claras responsabilidades por parte del personal en materia de seguridad de la información.

5.    Seguridad física y del entorno: identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.

6.    Gestión de comunicaciones y operaciones: integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.

7.    Control de accesos: habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.

8.    Desarrollo y mantenimiento de sistemas: la organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización.

9.    Gestión de continuidad del negocio: el sistema de administración de la seguridad debe integrar los procedimientos de recuperación en caso de contingencias, los cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos.

10.  Cumplimiento o conformidad de la legislación: la organización establecerá los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los contratos o convenios.

Serie ISO 27000

EJEMPLO:

Obtener aprobación de la gerencia de los riesgos remanentes propuestos.
Preparar una declaración de aplicabilidad.
Monitorear y revisar el SASI.
Mantener y mejorar el SASI.

¿CUANDO SURGE?

Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de 2014.

¿QUÉ ES?

Es un vocabulario estandard para el SGSI. Se encuentra en desarrollo actualmente.

OBJETIVO:

Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para la mejora continua). Exiten versiones traducidas al español aunque hay que prestar atención a la versión descargada.

ALCANCEZ:

La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría de estas normas se encuentran en preparación e incluyen:

Es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre 2005.

Cubre todos los tipos de organizaciones.
También especifica los requerimientos a establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y mejorando la documentación del Sistema de Administración en la Seguridad de la Información (ISMS), dentro del contexto de la totalidad de los riesgos del negocio.
Aplicación
El conjunto de requerimientos precisados en este estándar internacional son genéricos y se piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño y naturaleza.

–ISO 27001

EJEMPLO:

Procedimiento para autorización y registro de Utilitarios de Sistema

1. Objetivo
Establecer el procedimiento para la autorización y el registro de utilitarios del sistema a


Alcance
Es aplicable a las siguientes áreas de la institución:
· Gerencia.
· Compras.dssddddd
· Ventas
· Área administrativa.
· Almacén.

2. Responsabilidades

Gobierno de EGTI (Encargado de Gobierno de TI)

Administrador de Sistema:
Debe realizar un análisis de la información del software utilitario: ventajas y desventajas, identificar las posibles amenazas, puntos débiles y nivel de rendimiento del software utilitario.

Gerente:
Debe realizar un análisis de la información otorgada por el administrador de sistema, sobre el software utilitario y decidir su aplicación.


3. Documentos Relacionados

· Formulario para petición de autorización de software utilitario.
· Documento de cambio de o actualización de software utilitario.
· Documento de autorización de uso software utilitario.
· Documento con la declaración de niveles de acceso al utilitario por tipo de usuario.

¿CUANDO SURGE?

Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.

La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

¿QUÉ ES?

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.

OBJETIVO:

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

ALCANCEZ:

Puede aportar las siguientes ventajas a la organización:

• Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

• Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.

• Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

• Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

• El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 27002 no logran estas ventaja.

 

–ISO 27002

EJEMPLO:

Aunque muchas empresas le restan valor o importancia al aspecto de seguridad, no se puede dudar que las pérdidas por la falta de seguridad pueden ser tremendamente caras, tanto en materia económica como en cuanto a prestigio, nivel de ventas, problemas legales, daños a empleados de la organización o a terceros (por ejemplo si se divulgara información confidencial luego de un ataque a un sistema), etc.

En vista de la importancia que tiene la seguridad en las tecnologías de información, se afirma que estudiar no solamente buenas prácticas y consejos sabios de personas que llevan una gran trayectoria en el área de la informática, sino que más aún, Normas Internacionales certificables, es un beneficio de grandes magnitudes para cualquier organización. Por ello se justifica que el estudio de la Norma Internacional ISO/IEC 27002 es totalmente necesario para cualquier organización que tenga que ver de alguna forma con aspectos relacionados a tecnologías de información.

 

¿CUANDO SURGE?

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición.

¿QUÉ ES?

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

OBJETIVO:

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.

ALCANCEZ:

Este Estándar Internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.

 

ISO 20000

EJEMPLO:

• Cumplimiento de un estándar internacional para los servicios de gestión de TI
• Reducción de costes en cuanto al conocimiento y resolución de los incidentes de TI
• Gestión efectiva de los suministradores entre el servicio provisto y cualquiera de las terceras partes del servicio en sí mismo
• Asegurar y demostrar el cumplimiento de la función de TI en la entrega de servicios de acuerdo con las mejores practicas de la industria mundialmente aceptadas
• Justificar el coste de la calidad del servicio
• Proporcionar servicios que se adecuen a las necesidades del negocio, del cliente y del usuario

 

¿CUANDO SURGE?

La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el mundo específicamente dirigida a la gestión de los servicios de TI. La ISO 20000 fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios provenientes de un colapso técnico del sistema de TI de las organizaciones.

¿QUÉ ES?

ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz servicios de TI a las organizaciones y a sus clientes. La esperada publicación de la ISO 20000 el 15 de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento internacional y el desarrollo de la certificación de ITSM.

OBJETIVO:

El objetivo de la norma es demostrar que una organización de TI tiene la capacidad suficiente de satisfacer las necesidades y expectativas de sus clientes. Esto se realiza por medio de la certificación.

Puede ser usado:

• Por negocios que oferten sus servicios,
• por negocios que requieren de un enfoque consistente por parte de todos sus proveedores de servicios,
• por proveedores de servicios para medir y comparar su Gestión de Servicios TI,
• como base de una evaluación independiente,
• por una organización que necesite demostrar su capacidad para proveer servicios que cumplan con los requisitos de los usuarios,
• por una organización que busque mejorar servicios, por medio de una aplicación efectiva de procesos para monitorizar y mejorar la calidad de los servicios.

 

ALCANCEZ:

La norma ISO/IEC 20000 está formada por tres partes bajo el mismo título “Tecnología de la información. Gestión del servicio:

• ISO 20000-1: Especificaciones

Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para diseñar, implementar y mantener la gestión de servicios TI. Esta norma ISO 20000 plantea un mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.

• ISO 20000-2: Código de buenas prácticas

Describe las mejoras prácticas adoptadas por la industria en relación con los procesos de gestión del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos acordados, así como asumir un riesgo entendido y aceptable.

• ISO 20000-3: Guía sobre la defición del alcance y aplicabilidad de la norma ISO/IEC 20000-1

Proporciona orientación sobre la definición del alcance, aplicabilidad y la demostración de la conformidad con los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO 20000-1, así como los proveedores de servicios que están planeando mejoras en el servicio con la intención de utilizar la norma como un objetivo de negocio.

Si desea obtener más información sobre el desarrollo de nuevas partes que buscan una mejor alineación con ITSM y con otros estándares ISO, visite la sección de la norma iso 20000.