RESUMEN

NORMA ISO 27001 La norma ISO 27001 cubre a todo tipo de organizaciones (por ej. empresas comerciales, agencias, gubernamentales, organizaciones sin nimo de lucro) e independientemente de su tamao (pequea, mediana o gran empresa), tipo o naturaleza. (Avellaneda) General: Este estndar fue confeccionado para proveer un modelo para el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del ISMS, la adopcin del ISMS debe ser una decisin estratgica de la organizacin, pues el mismo est influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los procesos, el tamao y la estructura de la empresa, la dinmica que implica su aplicacin, ocasionar en muchos casos la escalada del mismo, necesitando la misma dinmica para las soluciones. Una organizacin necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un proceso. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentacin de los mismos. Este estndar internacional adopta tambin el modelo Plan-Do-Check-Act (PDCA), el cual es aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente: Plan (Establecer el ISMS): Implica, establecer a poltica ISMS, sus objetivos, procesos, procedimientos relevantes para la administracin de riesgos y mejoras para la seguridad de la informacin, entregando resultados acordes a las polticas y objetivos de toda la organizacin. Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la poltica, controles, procesos y procedimientos.

Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relacin a la poltica del ISMS, evaluar objetivos, experiencias e informar los resultados a la administracin para su revisin. Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditoras internas y revisiones del ISMS o cualquier otra informacin relevante para permitir la continua mejora del ISMS. Aplicacin: Estas clusulas son: 1) ISMS. 2) Responsabilidades de la Administracin 3) Auditora Interna del ISMS 4) Administracin de las revisiones del ISMS 5) Mejoras del ISMS. (Estas clusulas realmente conforman el cuerpo principal de esta norma) Cualquier exclusin a los controles detallados por la norma y denominados como necesarios para satisfacer los criterios de aceptacin de riegos, debe ser justificada y se debe poner de manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado. En cualquier caso en el que un control sea excluido, la conformidad con este estndar internacional, no ser aceptable, a menos que dicha exclusin no afecte a la capacidad y/o responsabilidad de proveer seguridad a los requerimientos de informacin que se hayan determinado a travs de la evaluacin de riesgos, y sea a su vez aplicable a las regulaciones y legislacin vigente.

NOTA: el ISMS incluye las polticas, planes, actividades, responsabilidades, prcticas, procedimientos, procesos y recursos.

ISMS (Information Security Managemet System).

Requerimientos generales: La organizacin, establecer, implementar, operar, monitorizar, revisar, mantendr y mejorar un documentado ISMS en el contexto de su propia organizacin para las actividades globales de su negocio y de cara a los

riesgos. Para este propsito esta norma el proceso est basado en el modelo PDCA Control de documentos: Todos los documentos requeridos por el ISMS sern protegidos y controlados. Un procedimiento documentado deber establecer las acciones de administracin necesarias para: Aprobar documentos y prioridades o clasificacin de empleo. Revisiones, actualizaciones y reprobaciones de documentos. Asegurar que los cambios y las revisiones de documentos sean identificados. Asegurar que las ltimas versiones de los documentos aplicables estn disponibles y listas para ser usadas. Asegurar que los documentos permanezcan legibles y fcilmente identificables. Asegurar que los documentos estn disponibles para quien los necesite y sean transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables a su clasificacin. Asegurar que los documentos de origen externo sean identificados. Asegurar el control de la distribucin de documentos. Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara identificacin para poder acceder a ellos y que queden almacenados para cualquier propsito Responsabilidades de administracin: La administracin proveer evidencias de sus compromisos para el establecimiento, implementacin, operacin, monitorizacin, mantenimiento y mejora del ISMS a travs de: Anlisis de ISO-27001:205 - Establecimiento de la poltica del ISMS - Asegurar el establecimiento de los objetivos y planes del ISMS. - Establecer roles y responsabilidades para la seguridad de la informacin. - Comunicar y concienciar a la organizacin sobre la importancia y apoyo necesario a los objetivos propuestos por la poltica de seguridad, sus

responsabilidades legales y la necesidad de una continua mejora en este aspecto. - Proveer suficientes recursos para establecer, operar, implementar, monitorizar, revisar, mantener y mejorar el ISMS - Decidir los criterios de aceptacin de riesgos y los niveles del mismo. - Asegurar que las auditoras internas del ISMS, sean conducidas y a su vez conduzcan a la administracin para la revisin del ISMS Formacin, preparacin y competencia: La organizacin asegurar que todo el personal a quien sean asignadas responsabilidades definidas en el ISMS sea competente y est en capacidad de ejecutar las tareas requeridas, para ello deber proveer las herramientas y capacitacin necesaria Auditora interna del ISMS: La organizacin realizar auditoras internas al ISMS a intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continan de conformidad a esta norma y para analizar y planificar acciones de mejora. Ninguna persona podr auditar su propio trabajo, ni cualquier otro que guarde relacin con l. Administracin de las revisiones del ISMS: Las revisiones mencionadas en el punto anterior debern llevarse a cabo al menos una vez al ao para asegurar su vigencia, adecuacin y efectividad. Estas revisiones incluirn valoracin de oportunidades para mejorar o cambiar el ISMS incluyendo la poltica de seguridad de la informacin y sus objetivos. Los resultados de estas revisiones, sern claramente documentados . Mejoras al ISMS La organizacin deber mejorar continuamente la eficiencia del ISMS a travs del empleo de la poltica de seguridad de la informacin, sus objetivos, el resultado de las auditoras, el anlisis y monitorizacin de eventos, las acciones preventivas y correctivas y las revisiones de administracin. Acciones correctivas: La organizacin llevar a cabo acciones para eliminar las causas que no estn en conformidad con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los mismos.

NORMA ISO 27002 La ISO 27002 es una gua de recomendaciones de buenas practicas para la gestin de seguridad de la informacin .cubre no sol la problemtica IT no que hace una aproximacin holstica a la seguridad corporativa de la informacin extendindose a todas las funcionalidades de una organizacin en cuanto puedan afectar la seguridad de la informacin (Meyer)

Este Estndar Internacional establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestin de la seguridad de la informacin en una organizacin. Evaluacin de los riesgos de seguridad Las evaluaciones del riesgo debieran identificar, cuantificar y priorizar los riesgos en comparacin con el criterio para la aceptacin del riesgo y los objetivos relevantes para la organizacin. La evaluacin del riesgo debiera incluir el enfoque sistemtico de calcular la magnitud de los riesgos (anlisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluacin del riesgo). Las evaluaciones del riesgo tambin se debieran realizar peridicamente para tratar los cambios en sus requerimientos de seguridad y en la situacin del riesgo; por ejemplo, en los activos, amenazas, vulnerabilidades, impactos, evaluacin del riesgo, y cuando ocurren cambios significativos. Estas evaluaciones del riesgo se debieran realizar de una manera metdica capaz de producir resultados comparables y reproducibles. La evaluacin del riesgo de seguridad de la informacin debiera tener un alcance claramente definido para ser efectiva y debiera incluir las relaciones con las evaluaciones del riesgo en otras reas, si fuese apropiado. El alcance de la evaluacin del riesgo puede ser la organizacin en su conjunto, partes de la organizacin, un sistema de informacin individual, componentes especficos del sistema o servicios donde esto es practicable, realista y til. Los ejemplos de las tecnologas de evaluacin del riesgo se discuten en ISO/IEC TR 13335-3 (Lineamientos para la Gestin de la

Seguridad TI: Tcnicas para la Gestin de la Seguridad TI).

Tratamiento de los riesgos de seguridad Antes de considerar el tratamiento del riesgo, la organizacin debiera decidir el criterio para determinar si se pueden aceptar los riesgos, o no. Los riesgos pueden ser aceptados si, por ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no es efectivo en costo para la organizacin. Estas decisiones debieran ser registradas. Para cada uno de los riesgos definidos despus de una evaluacin del riesgo se necesita tomar una decisin de tratamiento del riesgo. Las opciones posibles para el tratamiento del riesgo incluyen: a) aplicar los controles apropiados para reducir los riesgos; b) aceptar los riesgos consciente y objetivamente, siempre que cumplan claramente con la poltica y el criterio de aceptacin de la organizacin de la organizacin; c) evitar los riesgos no permitiendo acciones que podran causar que el riesgo ocurra; d) transferir los riesgos asociados a otros grupos; por ejemplo, aseguradores o proveedores. Para aquellos riesgos donde la decisin del tratamiento del riesgo ha sido aplicar los controles apropiados, estos controles debieran ser seleccionados e implementados para satisfacer los requerimientos identificados por la evaluacin del riesgo. Los controles debieran asegurar que se reduzcan los riesgos a un nivel aceptable tomando en cuenta: a) los requerimientos y restricciones de la legislacin y las regulaciones nacionales e internacionales: b) objetivos organizacionales; c) requerimientos y restricciones operacionales; d) costo de implementacin y operacin en relacin a los riesgos que se estn reduciendo, y mantenindolo proporcional a los requerimientos y restricciones de la organizacin; e) la necesidad de equilibrar la inversin en implementacin y operacin de los controles con el dao probable resultado de fallas en la seguridad.

Los controles se pueden seleccionar a partir de este estndar o de otros conjuntos de controles, o se pueden disear controles nuevos para cumplir con necesidades especficas de la organizacin. Es necesario reconocer que algunos controles pueden no ser aplicables a todo sistema de informacin o medio ambiente, y podra no ser practicable en todas las organizaciones. Como ejemplo, 10.1.3 describe cmo se pueden segregar las tareas para evitar el fraude y el error. En las organizaciones ms pequeas puede no ser posible segregar todas las tareas y pueden ser necesarias otras maneras para lograr el mismo objetivo de control. En otro ejemplo, 10.10 describe cmo se debiera monitorear el uso del sistema y recolectar la evidencia. Los controles descritos; por ejemplo, bitcora de eventos; podran entrar en conflicto con la legislacin aplicable, como la proteccin de la privacidad para los clientes o en el centro de trabajo. Se debieran considerar los controles de seguridad de la informacin en los sistemas y la especificacin de los requerimientos de proyectos, as como la etapa de diseo. El no hacerlo puede resultar en costos adicionales y soluciones menos efectivas, y tal vez, en el peor de los casos, la incapacidad de lograr la seguridad adecuada. Se debiera tener en mente que ningn conjunto de controles puede lograr la seguridad completa, y que se debiera implementar una accin de gestin adicional para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad para apoyar los objetivos de la organizacin.

Poltica de seguridad Poltica de seguridad de la informacin Objetivo: Proporcionar a la gerencia la direccin y soporte para la seguridad de la informacin en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. El documento de la poltica de seguridad de la informacin debiera ser aprobado por la gerencia, y publicado y comunicado a todos los empleados y las partes externas relevantes. El documento de la poltica de seguridad de la informacin debiera enunciar el compromiso de la gerencia y establecer el enfoque de la organizacin para manejar la seguridad de la informacin. Esta poltica de seguridad de la

informacin se debiera comunicar a travs de toda la organizacin a los usuarios en una forma que sea relevante, accesible y entendible para el lector objetivo. La poltica de seguridad de la informacin debiera ser revisada a intervalos planeados o si ocurren cambios significativos para asegurar su continua idoneidad, eficiencia y efectividad. Las actividades de la seguridad de la informacin debieran ser coordinadas por representantes de diferentes partes de la organizacin con roles y funciones laborales relevantes. Todas las responsabilidades de la seguridad de la informacin debieran estar claramente definidas. Se debieran mantener contactos apropiados con grupos de inters especial u otros foros de seguridad especializados y asociaciones profesionales. mejorar el conocimiento sobre las mejores prcticas y mantenerse al da con la informacin de seguridad relevantes; b) asegurar el entendimiento del ambiente de seguridad de la informacin sea actualizado y completo; c) recibir advertencias tempranas de alertas, asesoras y avisos relacionados con ataques y vulnerabilidades; Se debieran identificar los riesgos para la informacin y los medios de procesamiento de la informacin de la organizacin a raz de procesos comerciales que involucran a grupos externos y se debieran implementar controles apropiados antes de otorgarles acceso.

Gestin de activos Responsabilidad por los activos

Objetivo: Lograr y mantener una apropiada proteccin de los activos organizacionales. Todos los activos debieran ser inventariados y contar con un propietario nombrado.

Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementacin de controles especficos puede ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la proteccin apropiada de los activos. Inventario de los activos Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de todos los activos importantes. Una organizacin debiera identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debiera incluir toda la informacin necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicacin, informacin de respaldo, informacin de licencias y un valor comercial. El inventario no debiera duplicar innecesariamente otros inventarios, pero se debiera asegurar que el contenido est alineado. Propiedad de los activos Toda la informacin y los activos asociados con los medios de procesamiento de informacin debieran ser propiedad2 de una parte designada de la organizacin. Lineamiento de implementacin El propietario del activo debiera ser responsable de: a) asegurar que la informacin y los activos asociados con los medios de procesamiento de la informacin sean clasificados apropiadamente; b) definir y revisar peridicamente las restricciones y clasificaciones de acceso, tomando en cuenta las polticas de control de acceso aplicables. La propiedad puede ser asignada a: a) un proceso comercial; b) un conjunto de actividades definido; c) una aplicacin; o d) un conjunto de data definido. Otra informacin Se pueden delegar las tareas rutinarias; por ejemplo, a un custodio que supervisa el activo diariamente, pero la responsabilidad permanece con el propietario.

En los sistemas de informacin complejos podra ser til designar grupos de activos, los cuales actan juntos para proporcionar una funcin particular como servicios. En este caso el propietario es responsable de la entrega del servicio, incluyendo el funcionamiento de los activos que los proveen. 2 El trmino propietario identifica una persona o entidad que cuenta con la responsabilidad gerencial aprobada de controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino propietario no significa que la persona en realidad tenga algn derecho de propiedad sobre el activo. Uso aceptable de los activos Se debieran identificar, documentar e implementar reglas para el uso aceptable de la informacin y los activos asociados con los medios del procesamiento de la informacin. Lineamiento de implementacin Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso aceptable de la informacin y los activos asociados con los medios del procesamiento de la informacin, incluyendo: a) reglas para la utilizacin del correo electrnico e Internet b) lineamientos para el uso de dispositivos mviles, especialmente para el uso fuera del local de la organizacin Etiquetado y manejo de la informacin Se debiera desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la informacin en concordancia con el esquema de clasificacin adoptado por la organizacin. Lineamiento de implementacin Los procedimientos para el etiquetado de la informacin necesitan abarcar los activos de informacin en formatos fsicos y electrnicos. Seguridad de recursos humanos Antes del empleo Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus Responsabilidades, y sean idneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. Las responsabilidades de seguridad debieran ser tratadas antes del empleo en

Descripciones de trabajo adecuadas y en los trminos y condiciones del empleo. Los antecedentes de todos los candidatos al empleo, contratistas y terceros debieran ser adecuadamente investigados, especialmente para los trabajos confidenciales. Los empleados, contratistas y terceros usuarios de los medios de procesamiento de la informacin debieran firmar un acuerdo sobre sus roles y responsabilidades con relacin a la seguridad. Roles y responsabilidades Se debieran definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la poltica de seguridad de la informacin de la organizacin. Lineamiento de implementacin Los roles y responsabilidades debieran incluir requerimientos para: a) implementar y actuar en concordancia con las polticas de seguridad de la informacin de la organizacin . b) proteger los activos contra el acceso, divulgacin, modificacin, destruccin o interferencia no autorizada; c) ejecutar procesos o actividades de seguridad particulares; d) asegurar que se asigne a la persona la responsabilidad por las acciones tomadas; e) reportar eventos de seguridad o eventos potenciales u otros riesgos de seguridad para la organizacin. Trminos y condiciones del empleo Control Como parte de su obligacin contractual; los usuarios empleados, contratistas y terceros debieran aceptar y firmar un contrato con los trminos y condiciones de su empleo, el cual debiera establecer sus responsabilidades y las de la organizacin para la seguridad de la informacin. Durante el empleo Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estn al tanto de las amenazas e inquietudes de la seguridad de la informacin, sus responsabilidades y obligaciones, y estn equipadas para

apoyar la poltica de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano. Se debieran definir las responsabilidades de la gerencia para asegurar que se aplique la seguridad a lo largo de todo el tiempo del empleo de la persona dentro de la organizacin. Se debiera proporcionar a todos los usuarios empleados, contratistas y terceras personas un nivel adecuado de conocimiento, educacin y capacitacin en procedimientos de seguridad y uso correcto de los medios de procesamiento de informacin para minimizar los posibles riesgos de seguridad. Se debiera establecer un proceso disciplinario normal para manejar las fallas en la seguridad. Responsabilidades de la gerencia La gerencia debiera requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con polticas y procedimientos bien establecidos por la Organizacin. Conocimiento, educacin y capacitacin en seguridad de la informacin Control Todos los empleados de la organizacin y, cuando sea relevante, los contratistas y terceras personas debieran recibir una adecuada capacitacin en seguridad y actualizaciones regulares sobre las polticas y procedimientos organizacionales conforme sea relevante para su funcin laboral. Proceso disciplinario Debiera existir un proceso disciplinario para los empleados que han cometido un incumplimiento de la seguridad. Lineamiento de implementacin El proceso disciplinario no debiera iniciarse sin una verificacin previa de la ocurrencia del incumplimiento de la seguridad . El proceso disciplinario formal debiera asegurar el tratamiento correcto y justo para los empleados sospechosos de cometer incumplimientos de la seguridad. El proceso disciplinario debiera proporcionar una respuesta equilibrada que tome en consideracin factores como la naturaleza y gravedad del incumplimiento y su impacto en el negocio, si esta es la primera ofensa, si el culpable fue apropiadamente capacitado, la legislacin relevante, contratos

comerciales y otros factores que se puedan requerir. En los casos serios de dolo, el proceso debiera permitir la remocin inmediata de los debierares, derechos de acceso y privilegios, y si fueses necesario, acompaar inmediatamente a la personas fuera del local. Gestin de claves Se debiera establecer la gestin de claves para dar soporte al uso de tcnicas criptogrficas en la organizacin. Lineamiento de implementacin Todas las claves criptogrficas debieran estar protegidas contra una modificacin, prdida y destruccin. Adems, las claves secretas y privadas necesitan proteccin contra la divulgacin no-autorizada. Se debiera proteger fsicamente el equipo utilizado para generar, almacenar y archivar las claves. Seguridad de los archivos del sistema Objetivo: Garantizar la seguridad de los archivos del sistema. Se debiera controlar el acceso a los archivos del sistema y el cdigo fuente del programa, y los proyectos TI y las actividades de soporte se debieran realizar de una manera segura. Control del software operacional Se debieran establecer procedimientos para el control de la instalacin del software en los sistemas operacionales. Lineamiento de implementacin Para minimizar el riesgo de corrupcin de los sistemas operacionales, se debieran considerar los siguientes lineamientos para controlar los cambios: a) la actualizacin del software operacional, aplicaciones y bibliotecas de programas slo debiera ser realizada por administradores capacitados con la apropiada autorizacin gerencial b) los sistemas operacionales slo debieran mantener cdigos ejecutables aprobados, y no cdigos de desarrollo o compiladores; c) el software de las aplicaciones y el sistema de operacin slo se debiera implementar despus de una prueba extensa y satisfactoria; las pruebas debieran incluir pruebas de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se debieran llevar a cabo en sistemas separados

d) se debiera utilizar un sistema de control de configuracin para mantener el control de todo el software implementado, as como la documentacin del sistema; e) se debiera establecer una estrategia de regreso a la situacin original (rollback) antes de implementar los cambios; Lincografia Avellaneda, J. C. (s.f.). sgsi-iso27001.blogspot.com. Obtenido de sgsiiso27001.blogspot.com: http://sgsiiso27001.blogspot.com/2006/03/resumen-de-la-norma-iso270012005.html Estrada, A. C. (05 de 2006). www.criptored.upm.es. Obtenido de www.criptored.upm.es: http://www.criptored.upm.es/guiateoria/gt_m327a.htm Meyer, C. O. (s.f.). Gestin y Auditora de Riesgos y Seguidad de la Informacion. Obtenido de www.criptored.upm: http://www.criptored.upm.es/guiateoria/gt_m327a.htm O. I., & C. E. (15 de 06 de 2005). mmujica.files.wordpress.com. Recuperado el 21 de 12 de 2012, de mmujica.files.wordpress.com: http://mmujica.files.wordpress.com/2007/07/iso-17799-2005castellano.pdf