1

Asignatura

Auditoria y seguridad de sistemas

Catedrát ico:

Ing. Edwyn sanders rivera

Presentado por:

Laura Edelmira Miranda Domínguez

San Pedro Sula, 13 de Diciembre de 2012

2

Contenido:

Artículo I. Objetivos .................................................................................................................................... 3

Sección 1.01 Objetivos generales ............................................................................................................ 3

Sección 1.02 Objetivos Específicos ........................................................................................................ 3

Artículo II. Introducción ............................................................................................................................... 4

Artículo III. METODOLOGIA .................................................................................................................. 5

Artículo IV. OBJETIVO DE LA NORMA ISO 17799.............................................................................. 6

Artículo V. AREAS DE CONTROL DE SEGURIDAD .......................................................................... 6

Artículo VI. Estructura de la norma iso 17799 (Dominios de control) ..................................................... 8

Sección 6.01 POLÍTICA DE SEGURIDAD ........................................................................................... 8

Sección 6.02 ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD ............................................ 8

Sección 6.03 CLASIFICACIÓN Y CONTROL DE ACTIVOS ............................................................. 9

Sección 6.04 SEGURIDAD LIGADA AL PERSONAL ........................................................................ 9

Sección 6.05 SEGURIDAD FÍSICA Y DEL ENTORNO ...................................................................... 9

Sección 6.06 GESTIÓN DE COMUNICACIONES Y OPERACIONES............................................... 9

Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799 .................................. 10

Artículo VIII. ORIENTACION DE LA NORMA ISO 17799 ................................................................... 10

Artículo IX. Implementar un Sistema ISO 17799 .................................................................................... 10

Artículo X. ISO 17799 y Requisitos Reglamentarios ............................................................................. 11

Artículo XI. Certificación al ISO 17799 .................................................................................................. 12

Sección 11.01 ¿Qué quiere decir estar certificado al ISO 17799? ...................................................... 12

Artículo XII. Conclusiones ........................................................................................................................ 13

Artículo XIII. RECOMENDACIONES ...................................................................................................... 14

Sección 13.01 ¿Dónde puedo saber más acerca de implementar el ISO 17799? ................................ 14

Sección 13.02 ¿Qué es lo siguiente que debo hacer? ¿Dónde puedo encontrar más información?

¿Quién me puede ayudar? ......................................................................................................................... 14

Artículo XIV. Bibliografía .......................................................................................................................... 15

Artículo XV. Apéndice .............................................................................................................................. 16

Artículo XVI. Anexo ................................................................................................................................... 17

Sección 16.01 Historia de la Norma ISO 17799 ................................................................................. 17

Sección 16.02 Una auditoría ISO 17799 proporciona información precisa acerca del nivel de

cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles. ..... 17

3

Artículo I. Objetivos

Conocer los fundamentos de la Norma internacional ISO 17799 para gestión de la

seguridad de la información.

Analizar los objetivos de la Norma internacional ISO 17799.

Enumerar las áreas de control de seguridad que abarca la Norma internacional ISO

17799.

Identificar la estructura de la Norma internacional ISO 17799.

Enumerar las ventajas que presenta la aplicación de la Norma internacional ISO

17799.

Plantear el tipo de metodología utilizada para el desarrollo del tema.

4

Artículo II. Introducción

La Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la

gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o

mantener la seguridad de una organización.

Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándar

internacional, es el más extendido y aceptado.

La Norma ISO 17799 es el Sistema de Gestión de Seguridad de la Información (Informational

Security Management Systems, ISMS) reconocido internacionalmente. El ISO 17799

proporciona un amplio concepto de lo que un ISMS puede hacer para proteger la información

de una organización. La norma define a la información como un activo que tiene valor en una

organización; y como todos los activos, es imperativo mantener su valor para el éxito de una

organización.

El ISO 17799 es una norma del Sistema de Gestión de Seguridad de la Información,

reconocida internacionalmente. Proporciona las pautas para la implementación basada en las

sugerencias que deben ser consideradas por una organización para poder construir un

programa comprensivo de gestión de seguridad de la información.

5

Artículo III. METODOLOGIA

La metodología utilizada para la elaboración del presente informe fue Tema de Investigación.

La metodología aclara –en forma muy detallada– los pasos y procedimientos utilizados para llevar a

cabo la investigación.

Esta metodología incluye la descripción de:

a) El tipo y modalidad de investigación que se usará para alcanzar la meta propuesta en el

objetivo general –los verbos seleccionados indican los alcances y enfoques de la investigación.

• Justifique las razones por las que se ha seleccionado esa forma de acercamiento al

objeto de estudio y no otra.

b) Las fuentes de investigación documental que se revisaran: reportes de investigación, libros,

revistas, manuales, Internet, entre otros.

c) Si hay necesidad de trabajo de campo, indicar las técnicas a utilizar: cuestionarios, entrevistas,

observaciones in situ, etc.

6

Artículo IV. OBJETIVO DE LA NORMA ISO 17799

Artículo V. AREAS DE CONTROL DE SEGURIDAD

Los fundamentos de un buen sistema de gestión de seguridad de la información; eso son las

10 áreas de control de seguridad. Estas áreas de control son las categorías amplias de

controles. Cada área tiene objetivos de controles y controles existentes.

OBJETIVO

Proporcionar una base

para desarrollar normas de

seguridad dentro de las

Organización

Establece

transacciones y

relaciones de

confianza entre

empresas

Aplicable a todo

tipo de

organizacion

Método de gestión

eficaz de la

seguridad

7

1. Política de Seguridad: La política documentada ayuda a proyectar las metas de seguridad de

la información de una organización. Debe estar claramente redactada y comprensible para sus

lectores. La política ayuda a la administración con el manejo de la seguridad de la

información a través de la organización.

2. Seguridad Organizacional: Este control de seguridad delimita cómo la alta administración

puede dirigir la implementación de seguridad de la información dentro de una organización.

Proporciona un foro para revisar y aprobar las políticas de seguridad y asignar los roles de

seguridad.

3. Clasificación y Control de Activos: Administrar los activos físicos e intelectuales que son

importantes para mantener las protecciones apropiadas. Determina la responsabilidad de quién

es dueño de qué activo de la organización.

4. Seguridad del Personal: La evaluación y asignación de las responsabilidades de seguridad

de los empleados permite una administración de recursos humanos más efectiva. Las

responsabilidades de la seguridad deben ser determinadas durante el reclutamiento de todo el

personal y durante toda la propiedad del empleado en la compañía.

5. Seguridad Física y Ambiental: Asegurar las áreas físicas y los ambientes de trabajo dentro

de la organización contribuye significativamente a la administración de la seguridad de la

información. Cualquier persona que se relaciona con su establecimiento físico, así sean los

empleados, proveedores o clientes, tienen un papel enorme en determinar la protección de

seguridad organizacional.

6. Administración de Comunicaciones y Operaciones: Transmitir claramente las instrucciones

de seguridad a los empleados ayuda a administrar las operaciones diarias de los recursos de

procesamiento de información.

7. Control de Acceso: Administrar los niveles de acceso de todos los empleados ayuda a

controlar la seguridad de la información en una organización. Controlar niveles de acceso a la

red puede llegar a ser un factor crítico de éxito cuando se protegen los sistemas de

documentación o información en la red.

8. Desarrollo y Mantenimiento de Sistemas: La administración de la seguridad es imperativa

en el desarrollo, mantenimiento y operación exitosa de un sistema de información.

9. Administración de la Continuidad de Negocios: Al utilizar los controles de seguridad

contra desastres naturales, interrupciones operacionales y fallas potenciales de seguridad

ayuda a fomentar la continuidad de funciones del negocio.

10. Observancia.- El uso de asesores legales se está volviendo más importante para asegurar

la observancia de una organización con las obligaciones contractuales, la ley y requisitos de

seguridad.

8

Artículo VI. Estructura de la norma ISO 17799 (Dominios de control)

Dirigir y dar soporte a la gestión de la seguridad de la información.

• La alta dirección debe definir una política que refleje las líneas directrices de la organización en

materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la

seguridad de la información.

• La política se constituye en la base de todo el sistema de seguridad de la información.

• La alta dirección debe apoyar visiblemente la seguridad de la información en la compañía.

Gestionar la seguridad de la información dentro de la organización.

Mantener la seguridad de los recursos de tratamiento de la información y de los activos

de información de la organización que son accedidos por terceros.

Mantener la seguridad de la información cuando la responsabilidad de su tratamiento

se ha externalizado a otra organización.

• Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades

que en materia de seguridad tiene cada usuario o área de trabajo relacionada con los sistemas de

información de cualquier forma.

• Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son

exclusivamente técnicos.

9

Mantener una protección adecuada sobre los activos de la organización.

Asegurar un nivel de protección adecuado a los activos de información.

• Debe definirse una clasificación de los activos relacionados con los sistemas de información,

manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el

nivel de protección adecuado a su criticidad en la organización.

Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los

servicios.

Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la

seguridad de la información, y que están preparados para sostener la política de seguridad de

la organización en el curso normal de su trabajo.

Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento,

controlándolos y aprendiendo de ellos.

Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la

organización.

Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades

de la organización.

Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de

información.

Asegurar la operación correcta y segura de los recursos de tratamiento de información.

Minimizar el riesgo de fallos en los sistemas.

Proteger la integridad del software y de la información.

Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y

comunicación.

Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de

apoyo.

Evitar daños a los activos e interrupciones de actividades de la organización.

Prevenir la pérdida, modificación o mal uso de la información intercambiada entre

organizaciones.

10

Artículo VII. VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799

Aumento de la seguridad efectiva de los sistemas de información.

Correcta planificación y gestión de la seguridad.

Garantías de continuidad del negocio

Mejora continua a través del proceso de auditoría interna.

Incremento de los niveles de confianza de los clientes y socios de negocios.

Artículo VIII. ORIENTACION DE LA NORMA ISO 17799

La norma ISO 17799 no es una norma tecnológica.

La seguridad de la información es un asunto que compete a la alta gerencia no al área

tecnológica, por lo cual es un asunto empresarial.

La gente toma decisiones de seguridad basados en los riesgos percibidos no en los

riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios.

Artículo IX. Implementar un Sistema ISO 17799

Una compañía debe empezar definiendo una aproximación a la evaluación de riesgo. Durante

este acercamiento, se debe llevar a cabo una revisión de todas las violaciones potenciales de

seguridad. Esto no debe relacionarse solamente a los sistemas de TI, sino que debe abarcar

toda la información delicada dentro de su organización. Las técnicas que se utilizan en una

evaluación de riesgo son las siguientes:

1. Identificar los riesgos de los activos físicos e informativos de su compañía.

11

2. Evaluar los riesgos identificados en todas las áreas de control de seguridad.

3. Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para

administrar y manejar los riesgos apropiadamente.

4. Seleccionar un sistema de controles con eficiencia de costos y con objetivos que son

apropiados para administrar y tratar los riesgos.

5. Preparar una Declaración de Aplicación. Este documento presenta objetivos de control,

controles seleccionados y liga los resultados de evaluación de riesgos y procesos de

tratamiento de riesgos.

Una vez que la aproximación de la evaluación de riesgo ha sido establecida, el próximo paso

que se debe tomar para implementar el ISO 17799 es llevar a cabo una auditoria interna.

La aproximación a la evaluación de riesgo debe ser parte de un programa de auditoría interna.

El programa utiliza los controles de seguridad que fueron seleccionados para determinar qué

aspectos de su organización deben ser medidos, analizados y mejorados antes de implementar

un Sistema de Gestión de Seguridad de la Información como ISO 17799. Implementar un

ISMS como el ISO 17799 puede traer múltiples beneficios a una organización.

Artículo X. ISO 17799 y Requisitos Reglamentarios

Un Sistema de Gestión de Seguridad de la Información (ISMS) integrado, basado en el ISO

17799, cubre la necesidad de un acercamiento estructurado para iniciar, implementar,

mantener y administrar la seguridad de la información dentro de cualquier organización. Al

utilizar el ISO 17799 como base para su ISMS, su sistema de gestión puede ser evaluado por

terceros, como BSI Management Systems y ser compatible con requisitos reglamentarios,

tales como HIPAA y partes de Sarbanes-Oxley. El proceso agrega un valor significativo a la

eficacia continua de la seguridad de la información de su sistema.

El diseño, operación, uso y administración de los sistemas de información pueden ser sujetos

a requisitos estatutarios o seguridad contractual. El ISMS recomienda el consejo de asesores

legales para cumplir los requisitos. Por ejemplo, Sarbanes-Oxley delinea objetivos de control

del sistema de información para mantener la calidad e integridad de la información del reporte

financiero, que puede ser controlado con personal y herramientas de seguridad de acceso.

12

Artículo XI. Certificación al ISO 17799

Quiere decir que una tercera parte, tal como BSI, visita y evalúa la manera que funciona el

Sistema de Gestión de Seguridad de la Información y sus procesos dentro de la compañía. Si

todo se está ejecutando de acuerdo con los requisitos de la norma, esta tercera parte que está

calificada como casa certificadora emite un certificado registrando su compañía al ISO 17799.

Esto da una verificación independiente a los clientes y otros asociados que una compañía

utiliza prácticas reconocidas internacionalmente para la gestión de seguridad de la

información.

13

Artículo XII. Conclusiones

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la

gestión de la seguridad de la información

La norma se estructura en diez dominios de control que cubren por completo todos los

aspectos relativos a la seguridad de la información.

Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los

requerimientos de la norma a las necesidades de cada organización.

Además considero que la a educación es un proceso interminable, puesto que cada día

se aprende cosas nuevas o se actualizan las ya conocidas o aprendidas, es decir, que la

educación es un proceso permanente, por eso debemos estar in con las tecnologías del

momento y preparado para recibir las nuevas.

La adopción de ISO 17799 presenta diferentes ventajas para la organización, entre

ellas el primer paso para la certificación según UNE 71502.

14

Artículo XIII. RECOMENDACIONES

Existen sesiones de capacitación ofrecidas por compañías como BSI que están familiarizadas

con la certificación al ISO 17799 y los procesos de implementación. Las sesiones de

capacitación se llevan a cabo en lugares públicos o pueden ser llevadas a cabo en su propia

empresa.

Para más información, contacte a BSI Management Systems: informacion@bsiamericas.com

o visite: www.bsiamericas.com/seguridaddelainformacion.

15

Artículo XIV. Bibliografía

BSI Managemen System. (2001).¿Qué es la norma ISO 17799? y razones para que usted

la quiera.

Villalon Huerta, A.(2004). El Sistema de Gestión de Seguridad de la Información.

Recuperado el 10 de Diciembre de 2012 de http://www.shutdown.es/ISO17799.pdf

16

Artículo XV. Apéndice

Norma ISO 17799: La Norma ISO 17799 es la norma internacional que ofrece recomendaciones

para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar,

implantar o mantener la seguridad de una organización.

ISO: La Organización Internacional de Normalización o ISO (del griego, ἴσος (isos), 'igual'), nacida

tras la Segunda Guerra Mundial(23 de febrero de 1947), es el organismo encargado de promover el

desarrollo de normas internacionales de fabricación (tanto de productos como de servicios),

comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la

electrónica. Su función principal es la de buscar la estandarización de normas de productos y

seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional.

Sistema de Gestión de la seguridad de la Información: Un Sistema de Gestión de la seguridad

de la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administración

de la información. El término es utilizado principalmente por la ISO/IEC 27001. El término se

denomina en Inglés "Information Security Management System" (ISMS).

seguridad de la información: Se entiende por seguridad de la información a todas aquellas

medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos

que permitan resguardar y proteger la información buscando mantener la confidencialidad, la

disponibilidad e integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática,

ya que este último sólo se encarga de la seguridad en el medio informático, pero la información

puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

17

Artículo XVI. Anexo