Norma Iso 27002

 

NORMA ISO 27002: BUENAS PRACTICAS EN LA GESTION DE LA SEGURIDAD DE LA INORMACION Anteriormente denominada denominada ISO 17799, es un estándar para la seguridad de la información. Es una guía de buenas prácticas que describe los obje objetivos tivos de control y controles rrecomendable ecomendabless en cuanto a sseguridad eguridad de la información. No es certificable. Contiene 39 objetivos de control, agrupados en 11 dominios. La norma ISO/IEC 27002:2005 es una herramienta sencilla que permitirá establecer políticas, y controles bajo el objetivo de disminuir los riesgos que tienen los activos de la organización. En primer lugar, obtenemos una reducción de riesgos debido al establecimiento establecimiento y seguimiento de controles sobre ellos. Con ello lograremos reducir las amenazas hasta alcanzar un nivel asumible por nuestra organización. De este modo si se produce una incidencia, los daños se minimizan y la continuidad del negocio está asegurada. En segundo lugar se produce un ahorro de costes derivado de una racionalizació racionalización n de los recursos. Se eliminan las inversion inversiones es innecesarias e ineficientes como las producidas por desestimar o sobrestimar riesgos. En tercer lugar, la seguridad se considera y se convierte en una actividad de gestión. La seguridad deja de ser un conjunto de actividades más o menos organizadas y pasa a transformarse en un ciclo de vida metódico y controlado, en el participa toda la organización organización.. En cuarto lugar, la organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos y costes innecesarios. La entidad se asegura del cumplimiento del marco legal que protege a la empresa de aspectos que probablemente no se habían tenido en cuenta anteriormente. Por último, pero no por ello menos importante, la certificación del sistema de gestión de seguridad de la información contribuye a mejorar la competitividad en el mercado, diferenciando a las empresas que lo han conseguido y haciéndoles más fiables e incrementando su prestigio.

La seguridad de la información se refiere a la protección de una gama de amenazas para salvaguardar la continuidad de las operaciones del negocio sean estas ocasionadas dentro o fuera de la organización, disminuyendo los daños que estas amenazas causarían a la organización y aumentar las oportunidades de negocios. En los sistemas de información es donde la mayor parte de la información procesada o no procesada es resguardada, ya sea en equipos informáticos, informáticos, soportes de almacenamiento y redes de datos. Estos sistemas de información son activos que están sujetos a vulnerabilidades y amenazas que pueden influir desde personal de la propia organización o del exterior. Existen un sin número de riesgos físicos como incendios, inundaciones, terremotos o terrorismos que al explotar una amenaza pueden afectar la disponibilidad de nuestra información y recursos al no estar preparados contra cualquier probabilidad de ocurrencia del riesgos y no contar con un plan de continuidad del negocio nos afectaría significantemente. Es por eso que se debe realizar una evaluación de riesgos de forma periódica estableciendo un punto de equilibrio en relación de costo – beneficio. Además de los riesgos físicos, también nos encontramos con los riesgos lógicos relacionados con la tecnología y, que como se citó anteriormente aumentan día a día, estos pueden ser hackers, robos de identidad, accesos no autorizados, spam, virus, robos de información y espionaje industrial, estos afectan directamente con la confidencialidad que la organización transmite a sus clientes y al verse comprometida la confidencialidad afecta a nuestra imagen en el mercado.

PILARES FUNDAMENTALES DE SEGURIDAD DE LA INFORMACIÓN.   

Confidencialidad: Certificar que solo los usuarios con accesos autorizados puedan acceder a la información. La seguridad que se implementará debe asegurar que solo las personas tengan acceso a la información que fueron autorizados.

 

Integridad: Certificar la protección de la información en cuanto a la exactitud y totalidad de los datos y los métodos de procesamiento ingresados por los usuarios con acceso autorizado. La pérdida de integridad en la información puede deberse a errores humanos, modificaciones intencionales, o alguna

 

contingencia por métodos inusuales y al modificar estos datos inapropiadamente, estos se convierten en defectuosos, y en ocasiones peligrosos para el negocio y la toma de decisiones.  

Disponibilidad:

Certificar que los usuarios previamente autorizados a la informació información n y sus activos asociados tengan acceso cuando lo requieran. Los recursos deben estar disponibles cuando se necesite usarlos.

ESTRUCTURA DE ESTE ESTÁNDAR Esta norma ISO 27002 contiene 11 dominios de control y controles de seguridad de la información, los cuales contienen un total de 39 sub dominios principales de seguridad.

  DOMINIOS 



Debe incluir: ob jetivos y alcance generales de seguridad apoyo expreso de la direcc cciión breve explicación de los valores de seguridad de la organización  definición de las responsabilidades generales y específicas en materia d  de e gestión  de la seguridad i n f  o r ma c i ón referencias do c umentos  que puedan de la   a respaldar la polí tica 

Es política de la compañía:  

“Cada dominio contiene un número de dominios de seguridad. Estos 11 dominios son:” 

Ef icacia:  1.  2.  3.  4.  5.  6.  7. 

Política de seguridad (1 control) Organizando la seguridad de informació información n (2 controles) Gestión de activos (2 controles) Seguridad ligada a recursos humanos (3 controles) Seguridad física y ambiental (2 controles) Gestión de comunicaciones y operaciones (10 controles) Control de acceso (7 controles)

 

8. Adquisición, información (6desarrollo controles) y mantenimiento de sistemas de 9.  Gestión de incidentes de los sistemas de información (2 controles) 10.  Gestión de la continuidad del negocio (1 control) 11.  Cumplimento

Los dominios de control de ISO 27002:2005 

1.  Política de seguridad (1 control) Nivel gerencial debe:    aprobar y publicar la política de seguridad    comunicarlo a todos  los empleados 

Garantizar que toda la información utilizada es necesaria y útil para el desarrollo desarrollo de los negocios.

Eficiencia: Asegurar que el procesamiento de la información se realice mediante una óptima utilización de los recursos humanos y materiales.

Confiabilidad: Garantizar que los sistemas informáticos brindan información correcta para ser utilizada en la operatoria de cada uno de los procesos.

Integridad: Asegurar que sea procesada toda la información necesaria y suficiente para la marcha de los negocios en cada uno de los sistemas informáticos y procesos transaccionales.

 

Exactitud: Asegurar que toda la información se encuentre libre de errores y Io irregularidades de cualquier tipo.

2.  Organizando la seguridad de información (2 controles)   Infraestructura de seguridad de la información:   Debe establecerse un marco gerencial para iniciar y

Disponibilidad: Garantizar que la información y la capacidad de su procesamiento manual y automático, sean resguardadas y recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de los negocios.

controlar la implementación.   

t

ti

l c r

gersa cada ón de eignen Deben es ab se  adecuados foros de pa seguridad quee asignen as responsabilidades usuario en la organización.  uente  de asesoramiento   Se debe establecer  una f uen especializado en materia  de seguridad y contactos con organizaciones externas 

Legalidad: Asegurar que toda la información y los medios físicos que la contienen, procesen y Io transporte, cumplan con las regulaciones legales vigentes en cada ámbito.

Foros de Gestión:  Comité  de Seguridad    aprobar la política de seguridad de la inf ormación asignar funciones de seguridad   

Confidencialidad: Garantizar que toda la información está protegida del uso no autorizado, revelaciones accidentales, espionaje industrial, violación de la privacidad y otras acciones similares de accesos de terceros no permitidos.

Autorización:

ct

li

r

t

c

i

a ua za se  an e  amb os coordinar la implementación    definir metodologías  y procesos específicos de seguridad    monitorear  incidentes  de seguridad    lidera el proceso de concientización de usuarios 

Principales Roles y Funciones

Garantizar que todos los accesos ac cesos a datos y Io transacciones que los utilicen cumplan con los niveles de autorización correspondientes para su utilización y divulgación.

Protección Física: Garantizar que todos los medios de procesamiento yIo conservación de información cuentan con medidas de protección física que eviten el acceso y Io utilización indebida por personal personal no autorizado.

Propiedad: Asegurar que todos los derechos de propiedad sobre la información utilizada por todos sus empleados en el desarrollo de sus tareas, estén adecuadamente establecidos a favor de la compañía.

Seguridad frente al acceso por parte  de t erceros:  l t rc r r rt   E   acceso por pa

controlado. 

e  de

e

e os  debe se

 

Debe llevarse a cabo una evaluación de riesgos:   determinar   las incidencias en la seguridad y los requerimientos de  d e control.   

Los controles  deben ser acordados y def inidos en un contrato con la tercera parte. 

Tipos de terceros: 

 



 



 



Personal de mantenimiento y soporte de hardware y software pasantías de de estudiantes y otras designaciones contingentes de corto cort o plazo consultores.

3.  Gestión de activos  



Hacer un Inventario

   

Información Designar a un propietario para cada uno de ellos Hacer la Clasificaci Clasificación ón de la información



de los Activos de

 

Designar al responsable de cada recurso o proceso de seguridad y se deben documentar  los detalles de esta responsabilidad.    Los niveles de autorización  deben ser claramente  def inidos y documentados. 

Clasificación de la inf ormación:    Garantizar  que los recursos de información reciban un apropiado nivel de protecci cción.  Se debe utilizar un sistema de clasificación de la inf ormación para definir un con junto  apropiado de cciión  y comunicar la necesidad de niveles de protecc medidas de tratamiento especial.    La información debe ser clasificada para señalar: la necesidad, las prioridades y el grado de protecc cciión.   

Pautas d  de e clasif icación:   

Inventario: “Cada activo debe ser claramente identificado y su propietario y clasificación en cuanto a seguridad deben ser acordados y documentados, ¡unto con la ubicación vigente del mismo” 

Ejemplos: Recursos de información: bases

de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos procedimientos operativos o de soporte, planes de continuidad, información archivada;

     

 

Recursos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo y utilitarios;

Designar a un propietario  para cada recurso de inf ormación: Identificarse claramente  los diversos recursos y procesos de seguridad relacionados con cada uno de los sistemas. 

Considerar las necesidades de la empresa con respecto a la distribución (uso compartido) o restricción de la información, e incidencia de dichas necesidades en las actividades de la organización. La información deja de ser sensible o crítica después de un cierto período de tiempo. La clasificación por exceso puede traducirse en gastos adicionales innecesarios para la organización. La información y las salidas de los sistemas que administran datos clasificados deben ser rotuladas según su valor y grado de sensibilidad para la organización. Se debe considerar considerar el nú número mero de categorías de clasificación. La responsabilidad por la definición de la clasificación debe ser asignada al propietario designado de la información.

4.  Seguridad de los recursos humanos  

Seguridad en la definición de puestos  de traba jo  y la asignación de recursos    Las responsabilidades en materia  de seguridad deben ser: 

 

  explicitadas en la etapa  de reclutamiento,



 

   

   

incluidas en los contratos y monitoreadas  durante  el desempeño como empleado.    Capacitación  del usuario  Garantizar  que los usuarios están  al corriente de las amenazas e incumbencias en materia  de seguridad de la información, y están  capacitados para respaldar la política de seguridad de la organización en el transcurso  de sus tareas normales.  Respuesta  a incidentes  y anomalías en materia de seguridad  Minimizar el daño producido por incidentes  y anomalías en materia  de seguridad, y monitorear dichos incidentes y aprender de los mismos.  Proceso disciplinario  Debe existir un proceso disciplinario formal para los empleados que violen las políticas y procedimientos de seguridad de la organización. 

5. Protección física y ambiental Impedir accesos no autorizados,  daños e interferencia a:   

Sedes 

  Instalaciones    Inf ormación   

 

 

   

 

  ica Controles de acceso Perímetro  de seguridad f íí s f í  í sico Seguridad  del equipamiento Suministros de energía  Cableado de energía eléctrica y de comunicaciones  Mantenimiento  de equipos  Seguridad  del equipamiento  fuera del ámbito  de la organización  Polí ticas  de escritorios y pantallas  limpias  Retiro de  d e bienes 

E jemplos:  Suministro de energía:  Asegurar el suministro  permanente de corriente eléctrica, instalando  UPS y generadores alternativos.  Asegurar el combustible necesario para dichos generadores. 

Escritorios y pantallas  limpias:  Sobre los escritorios no deben de quedar papeles sensibles. Las pantallas deben quedar protegidas con protectores de pantalla con contraseña.

Retiro de bienes: Establecer políticas de retiros de bienes de la co compañía, mpañía, ya sea por reparación, mantenimiento, trabajos fu fuera era de la oficina, etc.

6. Gestión de operaciones y comunicaciones  

uncionamiento  correcto y seguro de las Garantizar  el f un instalaciones de procesamiento de la inf ormación.  establecer  las   Se deben responsabilidades y procedimientos  para la gestión  y operación de todas  las instalaciones de procesamiento  de inf ormación.    Se debeimplementar la separación de funciones cuando corresponda.  deben documentar  los procedimientos  de Se operación  instalaciones  de desarrollo e   Separación ent re  instalaciones  operati vas   

Deben separarse las instalaciones  de:    Desarrollo Prueba Operaciones    Se deben definir y documentar  las reglas para la transf erencia  de sof tware  desde el estado  de

desarrollo hacia el estado  operativo. 

Procesos I Procedimientos de:   Planificación y aprobación de sistemas 

 

 

cciión  contra  sof tware  malic licioso  Protecc   Administración de  d e la red    Administración  y seguridad de los medios de almacenamiento    Acuerdos de intercambio de informacióny sof tware 

7.- Control de acceso Requerimientos  de negocio para el control de accesos:  Coherencia entre  las políticas de control de acceso y de clasificación de información de los dif erentes  sistemas  y redes 

Administ ración  de accesos de usuarios:    Se deben implementar  procedi mientos formales para controlar la asignación de derechos de acceso  

 

 

 

 

 

 

a los sistemas  y servicios de inf ormación.  Administración de accesos de usuarios  Administración de privilegios  Responsabilidades del usuario  Control  de acceso a la red  Camino  f orzado  Autentic ación de usuarios paraconexiones externas  Monitoreo  del acceso y uso de los sistemas 

E jemplo:  Camino  f orzado:  Forzar   al usuario a seguir una ruta de menú cciión  preestablecida hasta  llegar al recuso y Ia transacc solicitada sin la posibilidad de evitar algún paso previo.  “

”

8.- Adquisición, Desarrollo y Mantenimiento  de Sistemas  de Inf ormación ri

i

t

i t

s s emas.  a Reque m en os  de seguridad losincorporada de es   Asegurar que la seguridad sistemas  de inf ormación. 

los

 

Los requerimientos de seguridad deben ser identif icados  y aprobados antes  del desarrollo de los sistemas  de inf ormación.  lic cación    Seguridad en los sistemas de apli

lic cación, incluyendo Se deben diseñar en los sistemas  de apli controles  las aplicaciones realizadas por el usuario, apropiados y pistas  de auditoria o registros  de actividad,  incluyendo:   

la validación de datos  de entrada, procesamiento  interno,  y salidas. 

9.- Gestión de incidentes de seguridad seguridad dela informacion  

 

 

 

 

Garantizar  que los eventos  de seguridad de la información y las debilidades asociadas a los sistemas  de información sean comunicados para que puedan ser corregidos en tiempo  y f orma.  Reporte  de eventos de seguridad de la inf ormación.  Reporte  de las debilidades de la seguridad  Gestión d  de e incidentes  y me joras  Recolección de evidencia 

10.- Gestión  de la Continuidad del Negocio    Contrarrestar  las interrupciones  de las actividades  comerciales y proteger  los procesos críticos del negocio de los ef ectos  de fallas significativas o desastres.    Se debe implementar  un proceso de administración  de la continuidad  del negocio    Se deben analizar las consecuencias de desastres,  fallas de seguridad e interrupciones del servicio.    Se deben desarrollar e implementar  planes de contingencia  para garantizar  que los procesos de negocios puedan restablecerse  dentro  de los plazos requeridos. 

 

 

Los planes deben mantenerse  en vigencia y transf ormarse  en una parte  integral del resto  de los procesos de administración y gestión. 

La administración  de la continuidad  del negocio debe incluir controles  destinados  a identificar y reducir riesgos, atenuar  las consecuencias de los incidentes  per judiciales  y asegurar la reanudación oportuna  de las operaciones indispensables.  Principales etapas:    Clasificación de los distintos escenarios de desastres    Evaluación de impacto en el negocio Desarrollo de una estrategia de recupero Implementación de  d e la estrategia Documentación  del plan de recupero 

11.- cumplimiento   Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas  por leyes, estatutos,  normas, reglamentos  o contratos;  y de los requisitos  de seguridad.    Garantizar  la conformidad de los sistemas  con las políticas y estándares de seguridad de la organización.  la ef ectividad    Maximizar y minimizar las interf erencias  de los procesos de auditoría  de sistemas 

Recolección de evidencia:  La evidencia presentada  debe cumplir con las pautas establecidas en la ley pertinente o en las normas específicas del tribunal en el cual se desarrollará el caso:   

Validez de la evidencia: si puede o no utilizarse la misma en el tribunal 

Pesode : evidencia   lalacalidad y totalidad de la misma 

 

Adecuada evidencia de que los controles  han funcionado en forma correcta y consistente durante  todo  el período en que la evidencia a recuperarr fue almacenada y procesada por el recupera sistema. 

Para lograr la validez de la evidencia, las organizaciones deben garantizar  que sus sistemas de información cumplan con los estándares  o códigos de práctica relativos a la producción de evidencia válida. 

Revisiones de la política compatibilidad   técnica:  

de

Garantizar  la compatibilidad  de políticas y estándares  (normas) organización. 

los de

seguridad sistemas  seguridad

y

la

las de la

con

Auditoria de sistemas:    Optimizar  la eficacia del proceso de auditorí  a  de sistemas  y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos  que pudieran af ectarlo.    Deben existir controles  que prote jan  los sistemas de operaciones y las herramientas  de auditoria  en el transcurso de las auditorias  de sistemas.