UNIVERSIDAD TECNOLÓGICA DE SANTIAGO
(UTESA)
ASIGNATURA:
Seguridad Informática
TEMA:
Norma
ISO 27002
PROFESOR:
Juan José Díaz Nerio
SUSTENTANTES:
Marcos
O. Pérez Pérez
Marlenis
Isabel Morales Melenciano
Ronald
Tejeda Guzmán
Stanley
Dolne
Wisguen Dinat
NORMA
ISO 27002
Es
una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.
Surgimiento
ISO/IEC
27002: El Estándar Internacional nace bajo la coordinación de dos
organizaciones:
·ISO:
International Organization for Standardization.
·IEC:
International Electrotechnical Commission.
ISO
e IEC
han establecido un comité técnico conjunto denominado ISO/IEC
JTC1
(ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de
tecnología de información. La mayoría del trabajo de ISO/IEC
JTC1
es hecho por subcomités que tratan con un campo o área en particular.
Específicamente el subcomité SC 27 es el que se encarga de las técnicas de
seguridad de las tecnologías
de información,
que es en esencia de lo que trata el Estándar Internacional ISO/IEC 27002
(antiguamente llamado ISO/IEC
17799,
pero a partir de julio
de 2007,
adoptó un nuevo esquema de numeración y actualmente es ISO/IEC 27002.
Alcance
El
Estándar Internacional ISO/IEC 27002 va orientado a la seguridad
de la información
en las empresas
u organizaciones,
de modo que las probabilidades de ser afectados por robo, daño o pérdida de
información se minimicen al máximo.
Estructura
El
Estándar Internacional ISO/IEC 27002 contiene un número de categorías de
seguridad principales, entre las cuales se tienen once cláusulas:
· Política
de seguridad.
· Aspectos
organizativos de la seguridad de la información.
· Gestión
de activos.
· Seguridad
ligada a los recursos humanos.
· Seguridad
física y ambiental.
· Gestión
de comunicaciones y operaciones.
· Control
de acceso.
· Adquisición,
desarrollo y mantenimiento de los sistemas de información.
· Gestión
de incidentes en la seguridad de la información.
· Gestión
de la continuidad del negocio.
· Cumplimiento.
Evaluación de los Riesgos de Seguridad
La reducción de riesgos no puede ser un proceso arbitrario y regido por la voluntad de los dueños o administradores de la empresa, sino que además de seguir medidas adecuadas y eficientes, se deben tener en cuenta los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales, objetivos organizacionales, bienestar de clientes y trabajadores, costos de implementación y operación. Se debe saber que ningún conjunto de controles puede lograr la seguridad completa, pero que sí es posible reducir al máximo los riesgos que amenacen con afectar la seguridad en una organización.
Política de seguridad
Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información".
Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes. Las políticas de seguridad de la información no pueden quedar estáticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se dé.
Aspectos Organizativos de la Seguridad de la Información
La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros.
• Organización interna: se tiene como objetivo manejar la seguridad de la información dentro de la organización.
• Organización con respecto a terceros: El objetivo de esto es mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados, o manejados por grupos externos. Para ello se debe comenzar por la identificación de los riesgos relacionados con los grupos externos. Se debe estudiar cómo a raíz de procesos comerciales que involucran a grupos externos se les puede estar otorgando acceso que afecte la seguridad. Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con terceros, para no afectar la seguridad de la información.
Gestión de Activos
Se deben asignar responsabilidades por cada uno de los activos de la organización, así como poseer un inventario actualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de todos los activos.
Seguridad ligada a los Recursos Humanos
El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas para concientizar y proporcionar formación y procesos disciplinarios relacionados a la seguridad y responsabilidad de los recursos humanos en este ámbito.
Seguridad Física y Ambiental
• La seguridad física y ambiental se divide en áreas seguras y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento de información.
• Se debe también contar con controles físicos de entrada, tales como puertas con llave, etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazas externas y de origen ambiental, como incendios terremotos, huracanes, inundaciones, atentados terroristas, etc.
• Se debe controlar la temperatura adecuada para los equipos, seguridad del cableado, mantenimiento de equipos, etc. Para todo esto se requerirá de los servicios de técnicos o ingenieros especializados en el cuidado y mantenimiento de cada uno de los equipos, así como en la inmediata reparación de los mismos cuando sea necesario. La ubicación de los equipos también debe ser adecuada y de tal manera que evite riesgos.
Gestión de Comunicaciones y Operaciones
El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información.
Se deben tener en cuenta los siguientes aspectos:
• Los procedimientos de operación deben estar bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia.
• Llevar a cabo la gestión de cambios. Un cambio relevante no se debe hacer jamás sin documentarlo, además de la necesidad de hacerlo bajo la autorización pertinente y luego de un estudio y análisis de los beneficios que traerá dicho cambio.
• Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorización o detección.
• Es completamente necesario tener un nivel de separación entre los ambientes de desarrollo, de prueba y de operación, para evitar problemas operacionales.
Control de Acceso
• Se debe contar con una política de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda.
• Los usuarios deben asegurar que el equipo desatendido tenga la protección apropiada, como por ejemplo la activación automática de un protector de pantalla después de cierto tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contraseña.
• Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información.
• Deben existir políticas que contemplen adecuadamente aspectos de comunicación móvil, redes inalámbricas, control de acceso a ordenadores portátiles, y teletrabajo, en caso que los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la organización.
Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información
Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen.
•La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas criptográficas en la organización, utilizando técnicas seguras.
• Deben establecerse procedimientos para el control de la instalación del software en los sistemas operacionales.
• Se debe restringir el acceso al código fuente para evitar robos, alteraciones, o la aplicación de ingeniería inversa por parte de personas no autorizadas.
• Contar con un control de las vulnerabilidades técnicas ayudará a tratar los riesgos de una mejor manera.
Gestión de Incidentes en la Seguridad de la Información
• Se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible.
• Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información es elemental.
• Se deben establecer mecanismos para permitir cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información, siempre con la idea de no volver a cometer los errores que ya se cometieron, y mejor aún, aprender de los errores que ya otros cometieron.
Gestión de la Continuidad del Negocio
Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización.
• Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la información. Estos planes no deben ser estáticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluación.
• Junto a la gestión de riesgos, debe aparecer la identificación de eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información.
Cumplimiento
Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad.
• Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general.
• El cumplimiento de los requisitos legales se aplica también a la protección de los documentos de la organización, protección de datos y privacidad de la información personal, prevención del uso indebido de los recursos de tratamiento de la información, y a regulaciones de los controles criptográficos.
• Las actividades y requerimientos de auditoría que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.
Pasos Para Obtener la Certificación ISO 27002
La certificación es un documento emitido por una organización competente que asegura que el sistema de calidad de una empresa cumple con los requisitos de la norma ISO.
Paso 1. Elección del organismo de certificación.
La organización ISO solo desarrolla las normas, pero no realiza la certificación; una variedad de organizaciones se dedican a esta etapa del proceso. Por eso es recomendable realizar una pequeña investigación para conocer las opciones antes de la selección. Al realizar este análisis debemos poder responder:
• ¿Cuál es el prestigio que tiene en el mercado? (ya que su respaldo es el principal beneficio para la imagen de tu empresa).
• ¿Sus auditores tienen conocimiento de tu sector empresarial? ¿Operan en tu zona o región?
• ¿Cuál es el costo de la certificación?
• ¿Y de las auditorías posteriores?
Paso 2. Revisión de documentación.
Una vez elegido el organismo, el auditor enviado se reunirá con la gerencia para conocer los distintos procesos de la empresa. Revisará principalmente el manual de seguridad de la información para verificar que el mismo cumpla con los requisitos que plantea la norma. En caso de inconsistencias, hará las recomendaciones necesarias y esperará a que la empresa realice los cambios o acciones correctivas.
Paso 3. Auditoría de las instalaciones.
Una vez que se verificó la documentación, la empresa y el auditor deciden en conjunto el momento en el que se realizará la auditoría de las instalaciones. Antes de comenzar, el auditor junto con su equipo de trabajo explica el procedimiento que se va a realizar: observar las actividades, inspeccionar los distintos procedimientos, analizar si los registros se realizan correctamente, por ejemplo: si se registra cada acceso de un empleado al centro de datos, además de la observación, puede efectuar entrevistas con el personal o generar algún muestreo.
Paso 4. Informe de la auditoría.
El auditor debe comparar la información que recabó mediante la auditoría, con la documentación de La política de seguridad de la información que planteó la empresa; con la finalidad de encontrar las inconsistencias. Este informe se entrega a la gerencia, especificando cada una de las "no conformidades" con la norma, y clasificándolas de acuerdo a su grado de importancia.
Paso 5. ¡Certificación!
Dependiendo del grado de importancia de las inconsistencias, es posible que deba realizarse una nueva auditoría previa a la certificación. Pero una vez que las acciones correctivas ya fueron realizadas y existe conformidad, el organismo otorga la certificación. Este documento tiene por lo general una validez de tres años.
Paso 6. Auditorías de seguimiento.
Aunque el certificado es válido por el período total, deben realizarse auditorías periódicas de mantenimiento, que dependiendo del organismo certificador, pueden ser anuales o semestrales, siempre acordando la fecha previamente con la empresa.
¿Quien otorga la certificación ISO en República Dominicana?
• Instituto Dominicano Para la Calidad (INDOCAL).
El INDOCAL cuenta con La Dirección de Evaluación de la Conformidad, que ofrece servicios de certificación a nivel nacional, con posibilidad de ofrecerlos a nivel internacional, en las modalidades de certificación de productos, procesos y servicios y certificación de sistemas de gestión.
La evaluación de la conformidad, es la "demostración de que se cumplen los requisitos especificados relativos a un producto, proceso, sistema, persona u organismo".
• European Quality Assurance (EQA).
EQA cuenta con el servicio de certificación ISO para varias de sus normas, entre las cuales se encuentran la ISO 27001 sobre la seguridad de la información y Sistema de calidad ISO 9001 .