ANEXO 5 : INTRODUCCION NORMATIVA ISO 27001

Depender de los sistemas de informacin y servicios TICs hace a las empresas y organizaciones cada vez ms vulnerables contra amenazas de la seguridad. La informacin es un activo que, al igual que otros del negocio, tiene valor en su organizacin y por consiguiente tiene que ser protegida adecuadamente. Las organizaciones, a travs de una identificacin y clasificacin apropiada de esos activos y una evaluacin de riesgo sistemtica de vulnerabilidad y amenaza, puede optar por controles apropiados para gestionar riesgos. As se podr demostrar que, se preserva la confidencialidad, la integridad y la disponibilidad de esos activos ante clientes, consumidores, accionistas, autoridades y sociedad en general. El bien protegido es principalmente la informacin, esta podra sufrir distintos ataques como por ejemplo:

Que se revele informacin que no es pblica a personas no autorizadas. Este es un ataque a la confidencialidad Que se cambien datos o la forma en que se procesan (programas) de manera fraudulenta, o que se borren datos por efecto de virus. Estos son ataques a la integridad Que se inutilice el sistema y no se pueda obtener la informacin. Este es un ataque a la disponibilidad

Las amenazas a la seguridad no son siempre externas ni producto de ataques maliciosos, de hecho gran parte de los desastres son producto del descuido, desastres naturales, la mala operacin de los equipos, etc. La imperfeccin y el error humano es parte muy relevante en cuanto a las polticas de seguridad que se implementan.

Qu es la ISO 27001?: La ISO 27001 es un Estndar Internacional de Sistemas de Gestin de Seguridad de la Informacin que permite a una organizacin evaluar su riesgo e implementar controles apropiados para preservar (los conceptos de) la confidencialidad, la integridad y la disponibilidad del valor de la informacin. El objetivo fundamental es proteger la informacin de la organizacin para que no caiga en manos incorrectas o se pierda para siempre. Cules son los beneficios?: Algunas licitaciones internacionales empiezan a solicitar una gestin ISO 27001. Reduccin de los costos vinculados a incidentes. Posibilidad de disminucin de las primas de seguro. Mejora del conocimiento de los sistemas de informacin, sus problemas y los medios de proteccin. - Mejora de la disponibilidad de los materiales y datos. - Proteccin de la informacin. - Diferenciacin sobre la competencia y mercado.

Definiciones: Activos de informacin: Corresponde a elementos tales como bases de datos, documentacin, manuales de usuarios, procedimientos, planes de continuidad, etc. Activos de software: Son elementos tales como: aplicaciones de software, sistemas operativos, herramientas de desarrollo, y utilitarios adicionales. Activos fsicos: Se consideran activos fsicos elementos tales como: computadores personales y equipos servidores, laptops, impresoras, maquinas de fax, equipos de comunicaciones, telfonos, medios de respaldos (cintas), discos, UPS, escritorios, muebles, etc. Complementos: Estos apuntes sobre las Normas ISO 27001 slo pretenden entregar una generalidad sobre el tema. El alumno podra encontrar ms detalles, en la norma misma, la que se adjunta con este Anexo. Adicionalmente, se entrega con un ejemplo concreto, de un Manual de Seguridad basado en la norma, de una empresa colombiana, SISTESEG. Se explicarn ms detalles sobre los aspectos principales, en clases, gracias al aporte de unos videos, con el personaje Ral (de la empresa INTECO), que el alumno podra repasar las veces que lo desee, en el sitio: http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/ Tambin, el alumno interesado en el tema, podra acrecentar sus conocimientos, investigando varios artculos en diferentes sitios web acerca de seguridad.