QUE ES ISO 27000

ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de

desarrollo- por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco
de gestin de la seguridad de la informacin utilizable por cualquier tipo
de organizacin, pblica o privada, grande o pequea.
Publicada el 15 de octubre de 2005. Es la noma principal la serie y
contiene los requisitos del sistema de gestin de la seguridad de la
informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con
arreglo a cual certifican por auditores externos los SGSI de las
organizaciones .

El ISO-27000 se basa en la segunda parte del estndar britnico BS7799

(BS7799:2). Est compuesta a grandes rasgos por:

ISMS(Information Security Management System).

Valoracin de Riesgo.

Controles.
El ISO-27000 se basa en la segunda parte del estndar britnico BS7799
(BS7799:2). Est compuesta a grandes rasgos por:

ISMS(Information Security Management System).

Valoracin de Riesgo.

Controles.

ISO 27001: Es la norma principal de requisitos del sistema de

gestin de seguridad de la informacin. Tiene su origen en la BS
7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. Fue publicada el
15 de Octubre de 2005 y sustituye a la BS 7799-2, habindose
establecido unas condiciones de transicin para aquellas empresas
certificadas en esta ltima.

Fundamentos de Seguridad Informtica

Servicios de Seguridad Informtica

Un servicio de seguridad es aquel que mejora la seguridad de un

sistema de informacin y el flujo de informacin de una organizacin.
Los servicios estn dirigidos a evitar los ataques de seguridad y utilizan
uno o ms mecanismos de seguridad para proveer el servicio.
Clasificacin
Una clasificacin muy utilizada de los servicios de seguridad es la
siguiente:

Confidencialidad

Autenticacin

Integridad

No repudio

Control de acceso

Disponibilidad

Fundamentos de Seguridad Informtica

Servicios de Seguridad Informtica
Confidencialidad
Servicio de seguridad o condicin que asegura que la informacin no
pueda estar disponible o ser descubierta por o para personas, entidades
o procesos no autorizados. Tambin puede verse como la capacidad del
sistema para evitar que personas no autorizadas puedan acceder a la
informacin almacenada en l.
La confidencialidad es importante porque la consecuencia del
descubrimiento no autorizado puede ser desastrosa. Los servicios de
confidencialidad proveen proteccin de los recursos y de la informacin
en trminos del almacenamiento y de la informacin, para asegurarse
que nadie pueda leer, copiar, descubrir o modificar la informacin sin
autorizacin. As como interceptar las comunicaciones o los mensajes
entre entidades.

Mecanismos para salvaguardar la confidencialidad de los datos:

El uso de tcnicas de control de acceso a los sistemas.

El cifrado de la informacin confidencial o de las comunicaciones.

Autenticacin
Es el servicio que trata de asegurar que una comunicacin sea autntica,
es decir, verificar que el origen de los datos es el correcto, quin los
envi y cundo fueron enviados y recibidos tambin sean correctos.
Algunos mtodos de autenticacin son:

Biomdicas, por huellas dactilares, retina del ojo, etc.

Tarjetas inteligentes que guardan informacin de los certificados

de un usuario

Mtodos clsicos basados en contrasea:

Comprobacin local o mtodo tradicional en la propia

mquina

Comprobacin en red o mtodo distribuido, ms utilizado

actualmente

Integridad
Servicio de seguridad que garantiza que la informacin sea modificada,
incluyendo su creacin y borrado, slo por el personal autorizado.
El sistema no debe modificar o corromper la informacin que almacene, o
permitir que alguien no autorizado lo haga. El problema de la integridad
no slo se refiere a modificaciones intencionadas, sino tambin a
cambios accidentales.

No repudio
El no repudio sirve a los emisores o a los receptores para negar un
mensaje transmitido. Por lo que cuando un mensaje es enviado, el
receptor puede probar que el mensaje fue enviado por el presunto
emisor. De manera similar, cuando un mensaje es recibido, el remitente
puede probar que el mensaje fue recibido por el presunto receptor.

Control de Acceso
Un control de acceso se ejecuta con el fin de que un usuario sea
identificado y autenticado de manera exitosa para que entonces le sea
permitido el acceso.

Los componentes bsicos de un mecanismo de control de acceso son las

entidades de red, los recursos de la red y los derechos de acceso. Estos
ltimos describen los privilegios de la entidad o los permisos con base en
qu condiciones las entidades pueden tener acceso a un recurso de la
red y cmo estas entidades son permitidas para tener acceso a un
recurso de la red.
El control de acceso puede ejecutarse de acuerdo con los niveles de
seguridad y puede ejecutarse mediante la administracin de la red o por
una entidad individual de acuerdo con las polticas de control de acceso.
Disponibilidad

En un entorno donde las comunicaciones juegan un papel importante es

necesario asegurar que la red est siempre disponible.

La disponibilidad es un servicio que garantiza que los usuarios

autorizados tengan acceso a la informacin y a otros activos de
informacin asociados en el lugar, momento y forma en que es requerido.
Un sistema seguro debe mantener la informacin disponible para los
usuarios. El sistema, tanto hardware como software, debe mantenerse
funcionando eficientemente y ser capaz de recuperarse rpidamente en
caso de fallo.
.