ISO/IEC 27002

Integrantes:Rojas CarlosJosé Alexys Rodríguez

Maestría en gerencia

¿Qué es la Seguridad Informática?

Es el área de la informática que se enfoca en la protección de la infraestructura computacional (ACTIVOS) y todo lo relacionado con esta incluyendo la información contenida. La seguridad informática comprende:

SEGURIDAD INFORMÁTICA

SOFTWARE

BASE DE DATOS

ARCHIVOS

METADATOS

OBJETIVOSLa seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran:

• Acceso• Pérdida

La información

• Fallas• Robos• Entre otros

Infraestructura• Establecer las

normas que minimicen el riesgo

Usuarios

SEGURIDAD INFORMÁTICA

SEGURIDAD DE LA INFORMACIÓN

Seguridad de la información

La información es un recurso que, como el resto de los activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida.

La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la confidencialidad, integridad y disponibilidad.

OBJETIVOSEl objetivo de la protección de nuestros Sistemas de Información debe ser el de preservar la:

ConfidencialidadSolo las personas

autorizadas tendrán acceso a la

información

IntegridadSalvaguarda la

exactitud y totalidad de la

información y los métodos de

procesamiento.

DisponibilidadGarantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella cada vez que se requiera.

¿POR QUÉ ES IMPORTANTE LA SEGURIDAD DE LA INFORMACIÓN?

PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN

Confidencialidad:

Asegura que la información es accesible sólo a las personas autorizadas a usarla, leerla o escucharla. Su objetivo es proteger la información contra accesos o divulgación no autorizadas. (control de accesos). La falta de confidencialidad puede darse por indiscreciones voluntarias e involuntarias en cualquier tipo de soporte (digital o papel).

Consecuencias

La no implementación de la confidencialidad puede tener las siguientes consecuencias:

Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros.

Pérdidas de fondos patrimoniales:

Datos o programas no recuperables

Información confidencial

Daños perjudiciales tanto software como hardware

LA SOLUCIÓN…La medida principal, de carácter preventivo, para preservar la confidencialidad, a considerar en la concepción y desarrollo del sistema, es el diseño del control de accesos lógicos.

En su diseño se deben de tener en cuenta las siguientes consideraciones: Establecer los grupos de usuarios (estratificación de usuarios) por niveles de seguridad, asignando a cada uno, los tipos de accesos permitidos (lectura, modificación, registros) Inhabilitación del acceso por inactividad del computador , utilización de protectores de pantalla con clave. Inclusión dentro de la aplicación, como mínimo, del identificativo del usuario que realiza la transacción (sirve también como pista de auditoria), terminal, fecha y hora.

Integridad

GarantizarConfiabilidad

Exactitud

Velar

Contenido sea inalterado

Modificaciones sean por personal autorizado

Procesos autorizados

Puede darse por errores en la captura o validación de la información, por un mal funcionamiento del sistema, mala voluntad (transacción aceptada pero no autorizada, archivo alterado fraudulentamente, etc.)

Consecuencias

La no implementación de la integridad puede tener las siguientes consecuencias:

Pérdidas de fondos patrimoniales: Datos o programas no recuperables información confidencial Responsabilidad civil o administrativa del propietario

del sistema siniestrado por los perjuicios causados a terceros

Pérdidas cualitativas en distintos campos: Credibilidad Prestigio Imagen

LA SOLUCIÓN…Las medidas a tener en cuenta en el momento de concebir y desarrollar el sistema, principalmente en el ámbito de la protección, para aminorar el impacto que puede provocar la falta de integridad de la información del S.I., son:

• La detección y tratamiento de errores.

• La implantación de pistas de auditoria.

LA SOLUCIÓN…En el ámbito de la detección y tratamiento de errores es necesario diseñar los controles que permitan: Garantizar la integridad de los datos en la entrada, edición y validación. Identificar los posibles errores, establecer sus consecuencias y las acciones correctoras a realizar Establecer la realización de pruebas para asegurar que se mantiene la integridad de archivos después de un fallo de programa . Diseñar los procedimientos de conversión que permitan:Planificar la implantación del nuevo sistema en paralelo con el anterior, previendo la disponibilidad de copias de seguridad y planificando las marchas atrás . En fin, garantizar que no se pierde información, que no se duplica y que la integridad de las bases de datos no haya sido afectada.

LA SOLUCIÓN…

En el ámbito de la implantación de pistas de auditoria:

Establecer las pistas de auditoría necesarias para verificar el flujo de las diversas transacciones por los procesos del SI de forma que se posibilite el seguimiento de las transacciones .

Definir campos de datos y registros para las pistas de auditoría, y su forma de almacenamiento.

DISPONIBILIDAD

Asegura que los usuarios autorizados tienen acceso en todo momento a la información cuando es requerida.

Consecuencias

La indisponibilidad de datos, informaciones y del sistema de información, sin elementos alternativos que permitan la continuidad del servicio, puede provocar las siguientes consecuencias:

• Pérdidas de información vital • Retardo en los procesos de la organización• Inconformidad de los usuarios

LA SOLUCIÓN…

Las medidas a tener en cuenta en el momento de concebir y desarrollar el sistema, principalmente en el ámbito de la protección, para aminorar el impacto que puede provocar la indisponibilidad de alguno de los elementos del SI, son :• La salvaguarda de los datos. • Respaldo en dispositivos de almacenamiento.

A fin de cumplir con este principio, se debe actuar de modo previsible de tal forma que el SI sea capaz de recuperarse de interrupciones de manera rápida y segura, a fin de que la productividad no se vea afectada negativamente.

LA SOLUCIÓN…En la salvaguarda de datos: Establecer la política a seguir y diseñar los procedimientos para la realización de las copias de seguridad de la información y los programas del SI, con la periodicidad que se estime necesaria para garantizar la recuperación de la misma a la situación anterior a detectar cualquier incidencia.

Diseñar los procedimientos de recuperación de las copias anteriores para cada base de datos, librerías del programa.

LA SOLUCIÓN…

En el respaldo de elementos periféricos: Estudiar las consecuencias de indisponibilidad o fallos en el hardware como impresoras, terminales, servidores, servicios esenciales (energía eléctrica), comunicaciones -y diseñar los procedimientos de respaldo que permitan la continuidad del servicio con medios alternativos.

ETAPAS DEL PROCESO DE SEGURIDAD

www.iso27002.es

ISO/IEC 27002

Es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management.

ISO/IEC 27002

Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

www.iso27002.es

Posibles controles relacionados a tener en cuenta:10.4. Protección contra software malicioso y código móvil10.6 Gestión de redes11.4 Control de acceso en red12.3 Controles criptográficos

www.iso27002.es

Posibles controles relacionados a tener en cuenta :5.1.1 Documento de política de seguridad de la información08. Seguridad ligada a los Recursos Humanos9.2.5 Seguridad de equipos fuera de los locales de la Organización10.4. Protección contra software malicioso y código móvil10.8 Intercambio de información y software11.2 Gestión de acceso de usuario11.3 Responsabilidades del usuario11.7 Informática móvil y teletrabajo12.3 Controles criptográficoswww.iso27002.es

Posibles controles relacionados a tener en cuenta:9.2.5 Seguridad de equipos fuera de los locales de la Organización9.2.6 Seguridad en la reutilización o eliminación de equipos9.2.7 Traslado de activos10.5 Gestión interna de soportes y recuperación10.7 Utilización y seguridad de los soportes de información10.8 Intercambio de información y software10.9.3 Seguridad en información pública12.3 Controles criptográficos

www.iso27002.es

Posibles controles relacionados a tener en cuenta:6.2 Terceros10.2 Supervisión de los servicios contratados a terceros10.8.3 Soportes físicos en tránsito10.8.5 Sistemas de información empresariales10.9 Servicios de comercio electrónico99.1 Cloud Computing

www.iso27002.es

Posibles controles relacionados a tener en cuenta:9.1 Áreas seguras9.2.1 Instalación y protección de equipos9.2.2 Suministro eléctrico9.2.3 Seguridad del cableado9.2.4 Mantenimiento de equipos

www.iso27002.es

Posibles controles relacionados a tener en cuenta :9.2.4 Mantenimiento de equipos10.1 Procedimientos y responsabilidades de operación10.3. Planificación y aceptación del sistema10.5 Gestión interna de soportes y recuperación10.7 Utilización y seguridad de los soportes de información10.10. Monitorización12.2 Seguridad de las aplicaciones del sistema12.4 Seguridad de los ficheros del sistema12.5. Seguridad en los procesos de desarrollo y soporte12.6. Gestión de las vulnerabilidades técnicas13. Gestión de Incidentes de Seguridad de la Información15.2. Revisiones de la política de seguridad y de la conformidad técnica15.3. Consideraciones sobre la auditoria de sistemas

www.iso27002.es

Posibles controles relacionados a tener en cuenta:6.2.1. Identificación de los riesgos derivados del acceso de terceros9.2 Seguridad de los equipos10.3 Planificación y aceptación del sistema10.4 Protección contra software malicioso y código móvil10.10 Monitorización11.6.2 Aislamiento de sistemas sensibles11.3.2.Equipo informático de usuario desatendido 11.3.3 Políticas para escritorios y monitores sin información

www.iso27002.es

Posibles controles relacionados a tener en cuenta :6.2.2 Tratamiento de la seguridad en la relación con los clientes10.4 Protección contra software malicioso y código móvil10.5 Gestión interna de soportes y recuperación10.8.1 Políticas y procedimientos de intercambio de información y software10.8.5 Sistemas de información empresariales10.9 Servicios de comercio electrónico11.2 Gestión de acceso de usuario11.5 Control de acceso al sistema operativo11.6 Control de acceso a las aplicaciones12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información15.3.2 Protección de las herramientas de auditoria de sistemas

www.iso27002.es

Posibles controles relacionados a tener en cuenta:6.1.5 Acuerdos de confidencialidad6.2.1 Identificación de los riesgos derivados del acceso de terceros07. Gestión de Activos8.3.2 Restitución de activos9.1 Áreas seguras9.2.7 Traslado de activos10.1.1 Documentación de procedimientos operativos10.5.1 Recuperación de la información10.7 Utilización y seguridad de los soportes de información10.8.1 Políticas y procedimientos de intercambio de información y software10.8.2.Acuerdos de intercambio11.7.2 Teletrabajo. www.iso27002.es

Posibles controles relacionados a tener en cuenta:05. Política de Seguridad6.1 Organización Interna07. Gestión de Activos10.1 Procedimientos y responsabilidades de operación11.1 Requerimientos de negocio para el control de accesos12.1 Requisitos de seguridad de los sistemas12.3 Controles criptográficos13. Gestión de Incidentes de Seguridad de la Información14. Gestión de Continuidad del Negocio15.1 Conformidad con los requisitos legales

www.iso27002.es

Posibles controles relacionados a tener en cuenta:5.1.1 Documento de política de seguridad de la información08. Seguridad ligada a los Recursos Humanos10.1 Procedimientos y responsabilidades de operación11.2 Gestión de acceso de usuario11.3 Responsabilidades del usuario13.1 Comunicación de eventos y debilidades en la seguridad de la información

www.iso27002.es

Técnicamente es imposible lograr un sistema de información ciento por ciento seguro, pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos.

CONCLUSIÓN …