UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Transcripción

1 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA ING. GABRIEL MAURICIO RAMIREZ VILLEGAS ING. GUSTAVO EDUARDO CONSTAIN MORENO (Director Nacional) (Diseñadores de material didáctico) ZONA CENTRO-SUR (CEAD PALMIRA, CEAD POPAYÁN) Febrero de

2 Introducción INDICE DE CONTENIDO PRIMERA UNIDAD: INTRODUCCION A LOS MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA Capítulo 1: Conceptos Básicos de Seguridad Informática Lección 1: Sistema de Gestión de la Seguridad de la Información. Lección 2: Que es un estándar? Lección 3: Diferencias entre un Modelo y Estándar Lección 4: Ventajas y Desventajas Lección 5: Ejemplos de Modelos y Estándares Capítulo 2: Estándar (normas) de seguridad informática Lección 6: ISO Lección 7: ISO Lección 8: ISO Lección 9: ISO Lección 10: ISO a ISO Capítulo 3: Modelos de seguridad informática Lección 11: ITIL Lección 12: COBIT Lección 13: OSSTMM Lección 14: CC 2

3 Lección 15: Políticas, organización, alcance del sistema de gestión. SEGUNDA UNIDAD: PROFUNDIZACION EN SEGURIDAD INFORMATICA Capítulo 4: Gobierno de Tecnología Lección 16: Qué es Gobierno de Tecnología? Lección 17: Fundamentos de Gobierno de Tecnología Lección 18: Implementación de Gobierno de TI Lección 19: Marco de Implementación. Lección 20: Éxito de Gobierno de Tecnología Capítulo 5: Certificaciones Lección 21: CISA Lección 22: CISM Lección 23: CGIT Lección 24: CISSP Lección 25: COMPTIA SECURITY Capítulo 6: Hacker Ético Lección 26: Qué es Hacker Ético? Lección 27: Tareas del Hacker Ético Lección 28: Certificación Hacker Ético Lección 29: Ingeniería Social Lección 30: Reflexión Hacker Personal 3

4 LISTADO DE GRAFICOS Y FIGURAS Fig. 1. Modelo de seguridad de la información organizacional. Pág. 12 Fig. 2. Entidades generadoras de estándares. Pág. 15 Fig. 3. Modelo de gestión de TI. Pág. 39 4

5 ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO El contenido didáctico del curso académico: Modelos y Estándares de Seguridad Informática fue diseñado y construido inicialmente en el año 2012 por los Ingenieros Gabriel Mauricio Ramírez Villegas y Gustavo Eduardo Constaín Moreno, docentes de la Escuela de Ciencias Básicas Tecnología e Ingeniería de la Universidad Nacional Abierta y a Distancia, ubicados en los Centros de Educación a Distancia de Palmira (Valle del Cauca) y Popayán (Cauca) respectivamente, con recursos de Internet, Libros Electrónicos, White Papers, Monografías, Trabajos de Grados, documentos de las compañías y organizaciones productoras de los modelos y estándares, además de hardware y software, consorcios de telecomunicaciones, videos, presentaciones, entre otros recursos utilizados. Algunas de las lecciones toman información textual de diferentes documentos, con referencia a las definiciones y explicaciones sobre los modelos y estándares de tecnologías computacionales y de comunicaciones con respecto a la seguridad informática. El presente contenido es la primera versión construida para el curso de Modelos y Estándares de Seguridad Informática, debido a los diferentes estándares definidos por la UNAD y por el continuo cambio de los contenidos y la evolución de los sistemas computacionales y de comunicaciones, el contenido podrá ser actualizado de forma constante. 5

6 AVISO IMPORTANTE LEER ANTES DE INICIAR El contenido del curso Modelos y Estándares de Seguridad Informática está construido con información conceptual y contextual referente a los diferentes modelos y estándares que se aplican a la seguridad informática. Las Unidades didácticas corresponden a un (1) crédito académico, de acuerdo a lo establecido en la UNAD estas unidades están conformadas por los capítulos y estos a su vez por lecciones, las lecciones contienen la información conceptual y contextual, que debe ser profundizada por medio de la investigación de los estudiantes en el tema, para ello se proponen enlaces web los cuales son páginas de internet, monografías, artículos, White papers, tesis de grado, así como la información técnica de las empresas productoras de hardware y software, organizaciones de seguridad entre otros que dirigen a los estudiantes a la profundización de los temas, pero a su vez los estudiantes deben profundizar en los temas buscando sus propios recursos. Es importante que el participante del curso observe los enlaces sugeridos y lea con detenimiento las distintas fuentes de información mencionadas para garantizar un adecuado nivel de profundización en las temáticas tratadas al interior del curso. No olvidar profundizar las lecciones con los documentos y enlaces relacionados! 6

7 INTRODUCCIÓN En el presente contenido didáctico del curso de Modelos y Estándares en Seguridad Informática, se podrá observar la información básica y necesaria para el desarrollo de las actividades del curso. El curso se desarrolla bajo la estrategia de Aprendizaje Basada en el trabajo colaborativo, esta estrategia se utiliza para que los estudiantes planeen, implementen y evalúen los diferentes modelos y estándares para conceptualizar, contextualizar y aplicar los conocimientos en el mundo real. De acuerdo con esto se plantea en el curso el desarrollo de la información de las unidades del curso, pero se invita al estudiante a investigar y profundizar en cada una de estas unidades, para ello se desarrolla un diseño instruccional en donde el estudiante tendrá una guía de investigación que le permita complementar la información y así cumplir con el proceso de enseñanza-aprendizaje. Los estudiantes deben trabajar en equipo con los compañeros de su grupo de trabajo, lo cuales se acompañaran en todos los procesos de investigación y de aprendizaje durante el desarrollo del curso, cabe anotar que el grupo de trabajo debe conseguir realizar el trabajo en sinergia que le permita realizar aprendizaje entre pares con sus compañeros. En este orden de ideas es necesario que el estudiante afronte el curso de forma adecuada en cuanto al trabajo que se realizara en cada una de las unidades didácticas del curso, en las investigaciones complementarias y en el desarrollo de las actividades del curso. A continuación se presentan dos (2) Unidades didácticas, en las cuales se presenta la información referente al marco teórico de los modelos y estándares utilizados en la actualidad en la seguridad informática. 7

8 Nombre de la Unidad Introducción Justificación Intencionalidades Formativas Capítulo 1 UNIDAD 1 Introducción a los Modelos y Estándares de Seguridad Informática Conceptos Básicos de Seguridad Informática Lección 1 Sistema de Gestión de la Seguridad de la Información Lección 2 Qué es un Estándar? Lección 3 Diferencias entre un Modelo y Estándar Lección 4 Ventajas y Desventajas Lección 5 Ejemplos de Modelos y Estándares Capítulo 2 Modelos (normas) de seguridad informática Lección 6 ISO Lección 7 ISO Lección 8 ISO Lección 9 ISO Lección 10 ISO a ISO Capítulo 3 Lección 11 Lección 12 Lección 13 Lección 14 Lección 15 Estándares de seguridad informática ITIL COBIT OSSTMM CC Políticas, organización, alcance del sistema de gestión. 8

9 PRIMERA UNIDAD: INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA CAPITULO 1: CONCEPTOS BÁSICOS DE SEGURIDAD INFORMÁTICA Introducción En la actualidad, el activo de mayor valor para muchas organizaciones es la información y en tal sentido asumen una significativa importancia las acciones tendientes a garantizar su permanencia en el tiempo con un nivel de acceso controlable y seguro. A diario las organizaciones se están viendo amenazadas por riesgos que ponen en peligro la integridad de la información y, por supuesto, la viabilidad y estabilidad de sus funciones sustanciales. Es importante la identificación de los factores de riesgo, tanto internos como externos, que pueden significar un factor de riesgo para la integridad de la información organizacional, y a partir de ello buscar las mejores alternativas para el aseguramiento de un entorno de trabajo fiable. En tal sentido, las organizaciones pueden proteger sus datos e información de valor con el planteamiento de un Sistema de Gestión de Seguridad de la Información (SGSI) que permita conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información. El presente capítulo, profundiza en la conceptualización de aspectos básicos de seguridad informática y protección de las infraestructuras de las tecnologías de la información, con el fin de generar los conocimientos mínimos para el desarrollo apropiado de la especialización. 9

10 Justificación La presente Unidad permite al participante del curso Modelos y Estándares en Seguridad Informática, apropiar los conceptos generales básicos para abordar las diferentes temáticas a tratar en la Especialización en Seguridad Informática, para que de este modo se facilite su aprendizaje y continuidad en los niveles con una apropiación adecuada de las temáticas propuestas. Dentro de este nivel de aprendizaje es importante la definición de los modelos de implementación de la seguridad de la información, además de los estándares que pueden ser aplicados para este fin. Todo lo anterior servirá como base para la continuidad en el programa de formación postgradual. Intencionalidades Formativas Fortalecer los conocimientos fundamentales de la seguridad informática como el esquema básico de diseño de un sistema de gestión de la seguridad de la información organizacional (SGSI). Identificar los diferentes modelos y estándares que pueden ser aplicados en las organizaciones para el montaje de un SGSI. Identificar las características, ventajas y desventajas de los modelos y estándares de seguridad informática. Preparar al participante de la especialización en los conceptos fundamentales, análisis, diseño y desarrollo de sistemas de gestión de la seguridad de la información. 10

11 Lección 1: Sistema de gestión de seguridad de la información En el interior de las organizaciones actuales es imposible no considerar su información como uno de factores de mayor importancia y valor, y que por supuesto amerita de un tratamiento especial para garantizar su fiabilidad y permanencia. En tal sentido, cada propietario de la información podría asumir sus mecanismos de protección particulares sin importar la compatibilidad de tales estrategias con otras que pudieran haber sido asumidas por un interlocutor dentro de un proceso de manejo de información al interior de la misma organización. Es así como además de la pérdida de información por malos manejos de los medios de transmisión, se suma a estos riesgos la innumerable lista de amenazas posibles que atentan contra la integridad de dicha información. Para cualquier organización el garantizar un nivel de protección total de la información es virtualmente imposible, incluso en el caso de disponer de recursos ilimitados. En este sentido, se han propuesto normas internacionales con el fin de unificar los mecanismos de construcción, manejo, almacenamiento y transmisión de información para reducir los riesgos que ocasionan pérdidas de información y facilitar los criterios de actuación en caso de que ellos ocurran. Sin embargo, a través de estas normas se puede prever la conservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento. A esto se le ha llamado Sistema de Gestión de la Seguridad de la Información SGSI (o ISMS por sus siglas en inglés). El propósito de un SGSI es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. 11

12 Fig. 1. Modelo de seguridad de la información organizacional 1 El proceso de desarrollo del SGSI requiere de la ejecución de las siguientes fases: 1. PLANEAR Definir el alcance de las políticas Definir las políticas Definir la metodología de valoración del riesgo Identificar riesgos Analizar y evaluar riesgos Gestión del riesgo Objetivos de control Obtener autorización para operar el SGSI Elaborar una declaración de aplicabilidad 2. IMPLEMENTAR Plan de tratamiento del riesgo Implementar controles seleccionados Definir métrica de los controles establecidos 1 Imágen tomada de: USC Marshall School of Business Institute for Critical Information Infraestructure Protection. 12

13 Implementar programas de educación Gestionar la operación del SGSI Gestionar los recursos del SGSI Implementar procedimientos 3. EVALUAR Ejecutar procedimientos de revisión Realizar revisiones periódicas Medir la eficacia de los controles Revisar las valoraciones de riesgos Realizar auditorías internas 4. MANTENER Implementar las mejoras identificadas en el SGSI Emprender acciones correctivas y preventivas Comunicar las acciones y mejoras a las partes interesadas Asegurarse de que las mejoras logran los objetivos propuestos Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: Portal web ISO Sistema de Gestión de la Seguridad de la Información: FERRER, R. Sistema de Gestión de la Seguridad de la Información -SGSI: Portal VDigitalRM. Guía de seguridad de la información: Instituto Nacional de Tecnologías de la Comunicación. Conceptos básicos sobre Seguridad de la Información: 13

14 Lección 2: Qué es un Estándar? Como vimos en la lección anterior, un sistema de gestión de la seguridad de la información busca prever los riesgos con el fin de preservar la confidencialidad, integridad y disponibilidad de la misma, bien sea en el interior de la organización, ante nuestros clientes (internos y/o externos) y ante las distintas partes involucradas en nuestro negocio. La confidencialidad implica el acceso a la información por parte exclusiva de las personas que estén debidamente autorizadas para hacerlo, la integridad conlleva el mantenimiento de la exactitud y completitud de la información y sus métodos de proceso; finalmente, la disponibilidad se refiere al acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados en el momento que lo requieran. Para lograr lo anteriormente expuesto, se ha definido un con junto de normas, denominadas como Estándares, que pueden concebirse como una publicación que reúne el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores, que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología 2. Con el fin de proporcionar un marco de gestión de la seguridad de la información que sea utilizable por cualquier tipo de organización, se ha creado un conjunto de estándares bajo el nombre de ISO/IEC 27000; estas normas nos van a permitir reducir de manera significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. El grupo de normas ISO/IEC han sido elaboradas conjuntamente por ISO, que es la Organización Internacional de Normalización y por IEC que es la Comisión Electrotécnica Internacional. Ambos están formados por los organismos de normalización más representativos de cada país. 2 Ministerio de comunicaciones. República de Colombia. Modelo de seguridad de la información. Sitio web: 14

15 Fig. 2. Entidades generadoras de estándares ISO e IEC se encargan de elaborar normas internacionales que el mercado requiere, necesita y exige. Estas normas pueden hacer referencia a productos como electrodomésticos, calzado, alimentación o juguetes; también pueden hacer referencia a servicios como los prestados en hoteles o transporte público de pasajeros. En los últimos años, ISO e IEC han trabajado mucho con normas relacionadas con las nuevas tecnologías como la telefonía móvil o la seguridad de la información, y por supuesto, han continuado elaborando normas de gestión como las conocidas ISO 9001 e ISO Las normas son de carácter voluntario, nadie obliga o vigila su cumplimiento, sin embargo, su uso por millones de empresas facilita el entendimiento entre países y organizaciones. Las normas también contribuyen a mejorar la calidad y seguridad de los productos y servicios que utilizamos todos los días. 3 Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: Ministerio de comunicaciones. República de Colombia. Modelo de seguridad de la información. Sitio web: 3 Instituto Nacional de Tecnologías de la Comunicación INTECO. España. 15

16 Instituto Nacional de Tecnologías de la Comunicación. Conceptos básicos sobre Seguridad de la Información: Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: Escuela Colombiana de Ingeniería Julio Garavito. Principales estándares para la seguridad de de la información IT: 16

17 Lección 3: Diferencias entre un Modelo y un Estándar Los estándares y las normas son descripciones técnicas detalladas, elaboradas con el fin de garantizar la interoperabilidad entre elementos construidos independientemente, así como la capacidad de replicar un mismo elemento de manera sistemática. Según la Organización Internacional para la Estandarización (ISO), uno de los principales organismos internacionales desarrolladores de estándares, la normalización es la actividad que tiene por objeto establecer, ante problemas reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un nivel de ordenamiento óptimo en un contexto dado, que puede ser tecnológico, político o económico. En el caso de las telecomunicaciones, el contexto al que hace referencia la ISO es casi exclusivamente tecnológico. Los estándares de telecomunicaciones deben alcanzar únicamente el nivel de concreción necesario para llevar a cabo implementaciones del estándar de manera inequívoca y que sean compatibles entre sí. Además, las normas técnicas de telecomunicaciones deben proporcionar criterios uniformes en el ámbito territorial más extenso posible, de manera que se pueda garantizar la interoperabilidad a nivel global. Con el fin de clarificar algunos conceptos que son importantes para la continuidad temática del curso, a continuación se definen conceptualmente los aspectos siguientes: NORMA: En Tecnología, una norma o estándar es una especificación que reglamenta procesos y productos para garantizar la interoperabilidad. Una norma de calidad es una regla o directriz para las actividades, diseñada con el fin de conseguir un grado óptimo de orden en el contexto de la calidad. 17

18 Las normas son documentos técnicos con las siguientes características: Contienen especificaciones técnicas de aplicación voluntaria Son elaborados por consenso de las partes interesadas: Fabricantes Administraciones Usuarios y consumidores Centros de investigación y laboratorios Asociaciones y Colegios Profesionales Agentes Sociales, etc. Están basados en los resultados de la experiencia y el desarrollo tecnológico Son aprobados por un organismo nacional, regional o internacional de normalización reconocido Están disponibles al público Las normas ofrecen un lenguaje de punto común de comunicación entre las empresas, la Administración y los usuarios y consumidores, establecen un equilibrio socioeconómico entre los distintos agentes que participan en las transacciones comerciales, base de cualquier economía de mercado, y son un patrón necesario de confianza entre cliente y proveedor. Tipos de normas: Una norma de facto puede definirse como una especificación técnica que ha sido desarrollada por una o varias compañías y que ha adquirido importancia debido a las condiciones del mercado. Suele utilizarse para referirse a normas de uso cotidiano. 18

19 Una norma de jure puede definirse, en general, como una especificación técnica aprobada por un órgano de normalización reconocido para la aplicación de la misma de forma repetida o continuada, sin que dicha norma sea de obligado cumplimiento. ESTÁNDAR: La normalización o estandarización es la redacción y aprobación de normas que se establecen para garantizar el acoplamiento de elementos construidos independientemente, así como garantizar el repuesto en caso de ser necesario, garantizar la calidad de los elementos fabricados y la seguridad de funcionamiento. La normalización es el proceso de elaboración, aplicación y mejora de las normas que se aplican a distintas actividades científicas, industriales o económicas con el fin de ordenarlas y mejorarlas. La Asociación Estadounidense para Pruebas de Materiales (ASTM), define la normalización como el proceso de formular y aplicar reglas para una aproximación ordenada a una actividad específica para el beneficio y con la cooperación de todos los involucrados. Según la ISO (International Organization for Standarization) la Normalización es la actividad que tiene por objeto establecer, ante problemas reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un nivel de ordenamiento óptimo en un contexto dado, que puede ser tecnológico, político o económico. La normalización persigue fundamentalmente tres objetivos: Simplificación: Se trata de reducir los modelos quedándose únicamente con los más necesarios. Unificación: Para permitir la intercambiabilidad a nivel internacional. Especificación: Se persigue evitar errores de identificación creando un lenguaje claro y preciso. 19

20 MODELO: Arquetipo o punto de referencia para imitarlo o reproducirlo. Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: TECCELAYA. Norma, Estándar, Modelo. WIKITEL. Normas y Estándares. Bjørn Andersen. Departamento de Producción y Calidad de Ingeniería de la Universidad Noruega de Ciencia y Tecnología. Ventajas y desventajas del uso de modelos predefinidos de proceso. nsledelse.net/publikasjoner/advantages%2520and%2520disadvantages%2520of%2520us ing%2520predefined%2520process%2520models.pdf 20

21 Lección 4: Ventajas y desventajas Ventajas: Algunas de las ventajas de la implementación de estándares para la seguridad de la información son las siguientes: Mejorar el conocimiento de los sistemas de información, sus problemas y los medios de protección. Mejorar la disponibilidad de los materiales y de los datos que existan en la organización. Se facilita la protección de la información. La aplicación de estándares puede significar la diferenciación de la organización ante la competencia y sobre el mercado. Algunas licitaciones de tipo internacional solicitan la gestión y cumplimiento de ciertas normas de aseguramiento de la seguridad de la información. Reducción de costos debido a la pérdida de información. Desventajas: La no aplicación de las normas, o la mala implementación de las mismas, pude llevar a la ocurrencia de las siguientes situaciones: Claves de acceso a sistemas de información compartidas o inexistentes. Acceso a sitios no autorizados. Uso indebido de equipos informáticos y mala utilización o pérdida de la información en ellos contenida. 21

22 Robo o pérdida de información importante. Bases de datos destruidas. Mantenimiento de equipos informáticos no controlados. Copias de seguridad inservibles o incompatibles. Redes de comunicación de la organización caídas. Aplicaciones informáticas mal diseñadas. Inexistencia de roles y responsabilidades entre las personas con acceso a la información (personal no controlado). Deficiente infraestructura de los centros de informática. Terceros / Outsourcing sin control. Incumplimiento de requerimientos legales o contractuales. Inestabilidad de la viabilidad de la organización. Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: Estándares y Normas de seguridad: Bjørn Andersen. Departamento de Producción y Calidad de Ingeniería de la Universidad Noruega de Ciencia y Tecnología. Ventajas y desventajas del uso de modelos predefinidos de proceso. nsledelse.net/publikasjoner/advantages%2520and%2520disadvantages%2520of%2520us ing%2520predefined%2520process%2520models.pdf 22

23 Lección 5: Ejemplos de Modelos y estándares Para el caso que nos interesa, las normas ISO/IEC han sido creadas para facilitar la implantación de Sistemas de Gestión de Seguridad de la Información, entre las más importantes están: NORMA ISO/IEC 27000: Recoge los términos y definiciones empleados en el resto de normas de la serie, con esto se evitan distintas interpretaciones sobre los conceptos que aparecen a lo largo de las mismas. Además, incluye una visión general de la familia de normas en esta área, una introducción a los sistemas de Gestión de Seguridad de la información y una descripción del ciclo de mejora continua. NORMA ISO/IEC 27001: Es la norma principal de la serie. Se puede aplicar a cualquier tipo de organización, independientemente de su tamaño y de su actividad. La norma contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información. Recoge los componentes del sistema, los documentos mínimos que deben formar parte de él y los registros que permitirán evidenciar el buen funcionamiento del sistema. Asimismo, especifica los requisitos para implementar controles y medidas de seguridad adaptados a las necesidades de cada organización. NORMA ISO/IEC 27002: Es una guía de buenas prácticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de información de una organización. Para ello describe 11 áreas de actuación, 39 objetivos de control o aspectos a asegurar dentro de cada área y 133 controles o mecanismos para asegurar los distintos objetivos de control. La familia de normas ISO/IEC contiene otras normas destacables. Como por ejemplo, la norma sobre requisitos para la acreditación de las entidades de auditoría y certificación, es decir, de aquellas entidades que acuden a las empresas para certificar que el sistema está correctamente implantado. También incluye una guía de auditoría y guías de implantación de la norma en sectores específicos como el de sanidad o telecomunicaciones. 23

24 Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: 24

25 CAPITULO 2: MODELOS (NORMAS) DE SEGURIDAD INFORMÁTICA Lección 6: ISO La ISO es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. Existen varios tipos de estándares aplicados a diferentes niveles, de los cuales el ISO es el estándar internacional más extendido y aplicado. El objetivo de esta norma es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y reclamaciones de confianza entre las empresas. Esta misma norma recoge la relación de controles que se deben aplicar para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI). El conjunto completo de estos controles conforman las buenas prácticas de seguridad de la información. Algunas características de la norma ISO son las siguientes: Está redactada de forma flexible e independiente de cualquier solución de seguridad concreta. Proporciona buenas prácticas neutrales con respectos a tecnologías o fabricantes específicos. Aplicable a todo tipo de organizaciones sin importar su naturaleza comercial o tamaño. La norma ISO establece 11 dominios de control que cubren por completo la gestión de la seguridad de la información: 1. Política de seguridad: Dirigir y dar soporte a la gestión de la seguridad de la información (directrices y recomendaciones). 2. Aspectos organizativos de la seguridad: Gestión dentro de la organización (recursos, activos, tercerización, etc.) 3. Clasificación y control de activos: Inventario y nivel de protección de los activos. 25

26 4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos. 5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos. 6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de la información. 7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (en computadores, redes informáticas, archivos personales de usuarios, etc.) 8. Desarrollo y mantenimiento de sistemas: Garantizar que la seguridad está incorporada dentro de los sistemas de información, evitar pérdidas, modificaciones o mal uso de la información 9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información. 10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallos, ataques o desastres. 11. Conformidad con la legislación Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de seguridad. De estos once dominios se derivan los Objetivos de Control, con los resultados que se esperan alcanzar mediante la implementación de controles; y los Controles, que son las prácticas, procedimientos y mecanismos que reducen el nivel de riesgo. 26