UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación

Transcripción

1 UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Por Carlos E. Castorani Di Saverio INFORME FINAL DE CURSOS EN COOPERACIÓN Presentado ante la Ilustre Universidad Simón Bolívar como Requisito Parcial para Optar el Título de Ingeniero en Computación Sartenejas, Marzo de 2007

2 UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA EN COMPUTACIÓN ACTA FINAL DE CURSOS EN COOPERACIÓN PASANTÍA EN ORACLE DE VENEZUELA ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Presentado por: Carlos E. Castorani Di Saverio Este trabajo de cursos en cooperación ha sido aprobado por el siguiente jurado examinador: Prof. Ricardo González Jurado Prof. Angela Di Serio Tutor Académico Sartenejas, Marzo de 2007 ii

3 ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Por Carlos E. Castorani Di Saverio RESUMEN El proyecto de pasantía presentado en este informe trata sobre cómo los productos de seguridad de Oracle Corporation pueden asistir a las organizaciones a cumplir con los objetivos comúnmente aceptados en gerencia de seguridad de la información. Para el desarrollo del proyecto se utilizó la metodología incremental con cuatro fases. Estas son las fases de análisis, diseño, implementación y validación. En la fase de análisis se estudiaron los estándares, marcos de trabajo y mejores prácticas en gerencia de seguridad de la información más seguidos en la actualidad, así como las herramientas de seguridad de Oracle Corporation. En la fase de diseño se llevaron a cabo tres actividades principales: generar un documento de requerimientos en base al estándar ISO/IEC 17799:2005, crear una hipótesis de cómo estos requerimientos podían ser cubiertos con los productos de seguridad estudiados y diseñar escenarios para probar esta hipótesis. En la fase de implementación se efectuaron y probaron estos escenarios. Finalmente, en la fase de validación, se calcularon varios indicadores porcentuales para ver en qué medida los productos estudiados realmente asistían en el cumplimiento de las cláusulas presentadas en el documento de requerimientos para gerencia de seguridad de la información. Finalmente se pudo concluir que los productos de seguridad de Oracle Corporation contemplados en este proyecto de grado pueden ayudar a las organizaciones a cumplir con los estándares y mejores prácticas en el ámbito de gerencia de seguridad de la información. iii

4 Dedicatoria A mi Familia, por ser la forjadora de tan provechoso pasado, propicio presente y prominente futuro. iv

5 Agradecimientos Quisiera agradecer, a todos los docentes de la Universidad Simón Bolívar, en especial a los del departamento de ingeniería de computación, por ser la real riqueza de este maravilloso país. A mis amigos, sin quienes me hubiese sido realmente imposible llegar a este punto de la carrera. A mi novia, por haber comprendido el tiempo necesario para sacar adelante estos estudios. A todo el equipo de preventas de Oracle de Venezuela, por haber estado siempre allí cuando los necesité y brindarme la oportunidad de seguir a su lado. Gracias, muchísimas gracias! v

6 ÍNDICE GENERAL RESUMEN... iii Dedicatoria... iv Agradecimientos... v ÍNDICE GENERAL... vi ÍNDICE DE TABLAS... x ÍNDICE DE FIGURAS... x LISTA DE SÍMBOLOS Y ABREVIATURAS... xii 1. INTRODUCCIÓN ENTORNO EMPRESARIAL Principios de la Empresa Oracle de Venezuela Estructura Organizacional MARCO TEÓRICO Seguridad de la Información Estándares y Marcos de Trabajo Estándares y Marcos de Trabajo para la Seguridad de la Información Code of Practice for Information Security Management (ISO/IEC 17799:2005) Historia Objetivos, estructura y contenido Aporte para este proyecto Próximas Versiones Control Objectives for Information and Related Technology (COBIT) CobiT y SOX vi

7 CobiT e ISO/IEC 17799: Information Technology Infraestructure Library (ITIL) Arquitectura de Software Componentes de Arquitectura de Software relevantes para este trabajo Sistema Manejador de Base de Datos Servidor de Aplicaciones Servidores de Directorios Componentes de Seguridad de Oracle Corporation Seguridad de Datos Oracle Database Vault Oracle Advanced Security Oracle Label Security Oracle Secure Backup Virtual Private Database Enterprise User Security Fine Grained Auditing Manejo de Identidades Oracle Access Manager Oracle Identity Manager Oracle Virtual Directory Software de Terceros VMWare Workstation Sun Java System Directory Server y Microsoft Active Directory PLANTEAMIENTO DEL PROBLEMA MARCO METODOLÓGICO Fase de Análisis vii

8 5.2. Fase de Diseño Fase de Implementación Fase de Validación FASES DE DESARROLLO DE LA PASANTÍA Fase de Análisis Investigación en gerencia de seguridad de la información Información relevante encontrada en EBSCO Host Research Databases Información relevante encontrada en Forrester Research Inc Entrenamiento de herramientas de seguridad de Oracle Corporation Fase de Diseño e Implementación Generación del documento de requerimientos basado en el estándar ISO/IEC 17799: Correspondencia entre las cláusulas de seguridad pertenecientes al documento de requerimientos con los productos Oracle Diseño e implementación de los escenarios de prueba Escenario Oracle Database Vault Escenario Oracle Label Security Escenario Oracle Access Manager Escenario Oracle Identity Manager Fase de Validación Porcentaje de cumplimiento de los objetivos planteados en los escenarios Porcentaje de la hipótesis original cubierta en los escenarios Porcentaje de cláusulas de requerimientos en seguridad de la información que, según hipótesis, pueden ser asistidas por algún producto Oracle Porcentajes de aporte de cada uno de los productos estudiados sobre la hipótesis viii

9 Porcentaje de cláusulas del estándar ISO/IEC 17799:2005 que son cubiertas en el documento de requerimientos CONCLUSIONES REFERENCIAS BIBLIOGRÁFICAS APENDICE I DOCUMENTO DE REQUERIMIENTOS DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN APENDICE II CORRESPONDENCIA DE LAS CLÁUSULAS DE SEGURIDAD DEL DOCUMENTO DE REQUERIMIENTOS DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN CON PRODUCTOS ORACLE ix

10 ÍNDICE DE TABLAS Tabla 6.1 Usos del estándar ISO/IEC 17799: Tabla 6.2 Breve comparación de Mejores Prácticas de Seguridad e ISO/IEC Tabla 6.3 Cláusulas de seguridad cubiertas en el Escenario Oracle Database Vault Tabla 6.4 Cláusulas de seguridad cubiertas en el Escenario Oracle Label Security Tabla 6.5 Cláusulas de seguridad cubiertas en el Escenario Oracle Access Manager Tabla 6.6 Cláusulas de seguridad cubiertas en el Escenario Oracle Identity Manager ÍNDICE DE FIGURAS Figura 3.1 Procesos de CobiT cubiertos por ISO Figura 3.2 Componentes de Oracle Fusion Middleware Figura 3.3 Arquitectura de Seguridad de Oracle Corporation Figura 3.4 Funcionalidad de Oracle Database Vault Figura 3.5 Representación gráfica de la funcionalidad de Oracle Label Security Figura 3.6 Ilustración de una funcionalidad de Virtual Private Database Figura 3.7 Arquitectura del Sistema de Acceso de Oracle Access Manager Figura 3.8 Arquitectura del Sistema de Identidad de Oracle Access Manager Figura 3.9 Diagrama de Proceso de Atestiguación Figura 3.10 Funcionalidad de Oracle Virtual Directory Figura 5.1 Fases de la metodología utilizada Figura 6.1 Los 10 dominios de ISO/IEC 17799: Figura 6.2 Arquitectura del Escenario Oracle Database Vault Figura 6.3 Representación gráfica del Escenario Oracle Label Security Figura 6.4 Estructura de servicios de directorio y su interconexión con componentes de Oracle Access Manager x

11 Figura 6.5 Diagrama de Instalaciones Escenario Oracle Access Manager Figura 6.6 Creación de pestañas de búsqueda en Oracle Access Manager Figura 6.7 Pasos de flujo de trabajo en Oracle Access Manager Figura 6.8 Pasos de flujo de trabajo para registro de nuevo usuario Figura 6.9 Pantalla de aprobación para nuevo usuario Figura 6.10 Manejo de políticas en Oracle Access Manager Figura 6.11 Arquitectura del Escenario Oracle Identity Manager Figura 6.12 Reporte Quién tiene Qué Figura 6.13 Resource Access List History del recurso iplanet Figura 6.14 Proceso de atestiguación de Oracle Identity Manager Figura 6.15 Aporte de cada producto estudiado sobre la hipótesis xi

12 LISTA DE SÍMBOLOS Y ABREVIATURAS AES Advanced Encryption Standard (Estándar de Cifrado Avanzado) BSi British Standards Institute (Instituto de Estándares Británico) CCTA Central Computer and Telecommunications Agency (Agencia Central de Computación y Telecomunicaciones) DBA Database Administrator (Administrador de Base de Datos) DBMS Database Management System (Sistema Manejador de Base de Datos) DIT Department of Trade and Industry (Departamento de Industria y Comercio) IEC International Electrotechnical Commission (Comisión Internacional Electrotécnica) IETF Internet Engineering Task Force (Destacamento de ingeniería de Internet) ISACA Information Systems Audit and Control Association (Asociación de Auditoría de Sistemas de Información) ISO International Organization for Standardization (Organización Internacional para la Estandardización) IT Information Technology (Tecnología de la Información) ITGI IT Governance Institute (Instituto de Regimiento de IT) ITIL Information Technology Infraestructure Library (Librería de Infraestructura de Tecnología de la Información) ITU International Telecommunication Union (Unión de Telecomunicaciones Internacional) LDAP Lightweight Directory Access Protocol (Protocolo Ligero de Acceso a Directorio) LDIF LDAP Data Interchange Format (Formato de Intercambio de datos LDAP) OAM Oracle Access Manager OIM Oracle Identity Manager OLS Oracle Label Security OVD Oracle Virtual Directory xii

13 PCAOB Public Company Accounting Oversight Board (Comité de descuidos contables de compañías públicas) PKI Public Key Infraestructure (Infraestructura de Llave Pública) RADIUS Remote Authentication Dial In User Service (Servicio de Autenticación Remota de Usuarios por Marcado) RRHH Recursos Humanos SOX Sarbanes Oxley Act (Acto Sarbanes-Oxley) TDEA Triple Data Encryption Algorithm (Algoritmo de Cifrado Triple de Datos) xiii

14 1. INTRODUCCIÓN La información es un bien vital para el funcionamiento de cualquier organización, y puede existir en muchas formas. Puede estar escrita o impresa en papel, almacenada en forma electrónica, grabada en cintas de audio o video e inclusive hablada en una conversación. Independientemente de la forma en la cual se encuentre la información, esta debe ser protegida. Cada vez se tienen más empresas que confían información vital para su negocio a los sistemas de información, y la información almacenada en estos sistemas se ha vuelto cada vez más difícil de proteger. Originalmente los ataques a estos sistemas de información no poseían mayor grado de complejidad. El escenario actual difiere en gran medida del de hace 10 años. Los ambientes de negocio se encuentran cada vez más interconectados y son cada vez más ubicuos, siendo accesibles desde muchos más lugares y a su vez más vulnerables. Otro problema muy común en las organizaciones es poder controlar el acceso a las aplicaciones. Por lo general cada empleado poseen acceso a varias aplicaciones, y el control de cuentas de usuarios en las distintas aplicaciones no se lleva de forma centralizada con los sistemas de recursos humanos, que son la puerta de entrada y salida de personal a la organización. Esto se traduce en un problema bastante serio para las organizaciones, ya que al momento de retirar un empleado es necesario eliminar su cuenta en cada una de las aplicaciones a las que tenía acceso. Estos procesos son bastante costosos, engorrosos e inseguros. Por lo general estas cuentas no son borradas y los ex empleados siguen teniendo acceso a las aplicaciones meses y hasta años después de haber abandonado la organización. 1

15 Todo esto se ha traducido en la publicación de una serie de estándares, marcos de trabajo y mejores prácticas en gerencia de seguridad de la información, por parte de numerosas organizaciones y organismos internacionales. Además, en años recientes han sido aprobadas una serie de regulaciones que requieren que las empresas públicas (que cotizan en la Bolsa de los Estados Unidos de Norteamérica) aprueben una serie de auditorías, donde se toma muy en serio el tema de seguridad de la información. A consecuencia de todo esto, muchas empresas productoras de software han sacado al mercado productos para tratar el tema de seguridad de la información, y Oracle Corporation no es la excepción. Este trabajo de pasantía inicia con una investigación para conocer cuáles son los estándares y marcos de trabajo con mayor vigencia en el ámbito de gerencia de seguridad de la información. Después se estudian los productos que ofrece Oracle Corporation en el área de seguridad de la información y finalmente se establece y valida una hipótesis sobre cómo estos productos de Oracle pueden asistir con el cumplimiento de las cláusulas presentes en estos estándares. En este informe de pasantía se presenta como primer capítulo el entorno empresarial. En este capítulo se explica brevemente cuál es el negocio de Oracle Corporation, su presencia en Venezuela y cuál es el departamento en el que se desarrolló la pasantía. Posteriormente se tiene un marco teórico. Esto con el fin de poner al lector en contexto de los temas que se van a tratar más adelante. En este marco teórico se habla sobre los estándares y marcos de trabajo en gerencia de seguridad de la información, los componentes de arquitectura de software y el software de Oracle utilizado en la pasantía. A continuación se explica de forma bastante breve cuál es el problema que se quiere resolver con este trabajo de grado. En el capítulo de marco metodológico se explica la metodología utilizada en el proyecto, cuáles son sus etapas y objetivos. 2

16 Finalmente se tiene el capítulo de fases de desarrollo de la pasantía, donde se explican cada una de las actividades realizadas en este trabajo de grado. Este capítulo está estructurado en base a las fases presentada en el marco metodológico. 3

17 2. ENTORNO EMPRESARIAL Oracle Corporation es una de las compañías de software empresarial más grandes del mundo. Entre sus principales productos se tienen manejadores de bases de datos, herramientas para desarrollo de bases de datos, software de capas intermedias (como servidores de aplicaciones, directorios LDAP y herramientas de inteligencia de negocio), software de planificación de recursos empresariales (o Enterprise Resource Planning), software de manejo de relaciones con clientes (o Customer Relationship Management) y software de manejo de cadena de suministros (o Supply Chain Management). Oracle Corporation fue fundada en 1977, tiene oficinas en más de 145 países y para el año 2005 tenía empleada a más de personas a nivel mundial Principios de la Empresa Adherirse a tres principios le ha ahorrado a Oracle, hasta el momento, más de mil millones de dólares en costos operativos [1]. Con estos principios, los cuales están incorporados en el diseño de todo el software que se produce, Oracle ha logrado optimizar sus procesos alrededor del mundo. - Simplificar: Agilizar la entrega de información con sistemas integrados y una misma base de datos. - Estandarizar: Reducir los costos y ciclos de mantenimiento mediante el uso de componentes abiertos y de fácil adquisición. - Automatizar: Mejorar la eficacia operacional con tecnología y mejores prácticas. 4

18 Oracle de Venezuela La presencia de Oracle en Venezuela se dio a partir del año Actualmente tiene empleada a unas 80 personas, y presta servicios en las áreas de ventas, consultoría, soporte y educación. Sus clientes en Venezuela, al igual que en el resto del mundo, provienen de industrias muy diversas, y pueden ser empresas grandes, como PDVSA y CANTV, medianas, como Pastas Sindoni y Sodexho Pass, y pequeñas, las cuáles son generalmente manejadas con aliados de negocios o Partners Estructura Organizacional Oracle de Venezuela está conformada por 12 departamentos. Estos son: Administración, Alianzas, Consultoría, Educación, Facilities, Finanzas, Global IT, Mercadeo, Preventas, Recursos Humanos, Soporte Técnico y Ventas. El equipo de preventas, actualmente conformado por 5 personas, es el encargado de proponer soluciones a los clientes, es decir, mostrar cuáles y de qué manera los productos de Oracle pueden ayudarlos a satisfacer sus necesidades. También son los encargados de entrenar a los aliados de negocio y de dar presentaciones y demostraciones de los productos de Oracle en eventos. Este proyecto de grado se desarrolla precisamente en el departamento de preventas, ya que las actividades que se realizan en este departamento van de la mano con los objetivos planteados para este proyecto.

19 3. MARCO TEÓRICO Este capítulo tiene como objetivo presentar las bases teóricas en las que se fundamentó la realización de este proyecto de pasantía. Aquí se explican los conceptos más relevantes que se manejan a lo largo del informe, de manera tal que el lector pueda tener un mayor entendimiento del contexto que enmarca el desarrollo de este proyecto Seguridad de la Información La información es un bien que requiere ser protegido de manera apropiada. Con cada día que pasa, las organizaciones se vuelven más dependientes de la información que estas manejan. Esta información puede ser pública o privada y, en todo caso, debe ser protegida. En el caso de la información pública, por ejemplo, se debe garantizar que la información transmitida (digamos mediante un comunicado en una página Web) sea exactamente la que la organización quiso transmitir, y no pueda ser modificada por terceros, pudiendo dañar así la imagen de la organización. Con respecto a la información privada el tema puede ser aún más delicado. Se han dado ya varios casos en los que a una empresa, por fraude electrónico o un simple robo de una computadora portátil dejada en un vehículo, le sustraen la información de pagos electrónicos con los nombres de sus clientes y datos de las tarjetas de crédito con las que fueron realizados dichos pagos, derivando esto en la quiebra de estas empresas e inclusive sanciones penales en contra de los responsables de las mismas. La información puede existir en muchas formas. Esta puede ser escrita en papel, impresa, mostrada en video o almacenada de forma electrónica, siendo esta última forma cada vez más usual. 6

20 7 La seguridad de la información es la protección de la información de una gran variedad de amenazas, esto con el fin de garantizar la continuidad del negocio, minimizar los riesgos, maximizar el retorno de inversión y las oportunidades de negocio. Las organizaciones, sus sistemas de información y redes están expuestos a un alto rango de amenazas provenientes de diversas fuentes, entre estas el fraude electrónico, espionaje, sabotaje, vandalismo, e inclusive fuego e inundaciones. Daños causados por código malicioso, hackers y ataques de negación de servicio se han vuelto cada vez más comunes, más ambiciosos y más sofisticados. Es importante destacar que la seguridad que se puede alcanzar por medios técnicos es limitada. Por esta razón esta seguridad debe ser respaldada por procesos gerenciales dentro de la organización. Estos procesos son el corazón de la gerencia de seguridad de la información. La gerencia de seguridad de la información requiere, como mínimo, que todos los empleados de la organización estén comprometidos y participen activamente en esta, cumpliendo y haciendo cumplir las políticas y procedimientos que esta pueda crear. Posiblemente sea necesario que los accionistas, proveedores, terceras personas, clientes y aliados comerciales también participen en la seguridad de la información, e inclusive se podría requerir consultoría de organizaciones especializadas en la materia. En el estándar ISO/IEC 17799:2005 [2] vemos que la seguridad de la información está compuesta por tres conceptos, y estos son: - Confidencialidad, que se define como el hecho de que la información no sea revelada o puesta a disposición de personas o procesos no autorizados. - Disponibilidad, que se define como la propiedad que tienen los datos o información de ser accesibles y utilizables cuando se requieran. - Integridad, que se define como el asegurar que los datos o información no han sido modificados desde su creación hasta su recepción o entrega.

21 8 Es notable que estos conceptos son claros y precisos. Si tenemos una información que es accedida por una persona fuera del conjunto de las personas que la deben acceder, estamos violando el concepto de confidencialidad. Si esta misma información no puede ser accedida por alguien que la debería acceder, bien sea porque el personal de sistemas no le ha dado acceso o porque el sistema está caído, estamos violando el concepto de disponibilidad y, finalmente, si cualquier información es alterada de manera indebida, bien sea voluntaria o involuntariamente, estamos violando el concepto de integridad. Finalmente cabe destacar que la seguridad de la información, además de ser absolutamente necesaria por los puntos expuestos anteriormente, puede conllevar una gran cantidad de beneficios adicionales. Mediante la obtención de certificaciones en estándares de seguridad se pueden obtener ventajas de índole muy diversa, como por ejemplo ayudar a cumplir con regulaciones, aumentar la confianza de los clientes y conseguir descuentos en las primas de seguro para la organización Estándares y Marcos de Trabajo Según el diccionario de la Real Academia Española, un estándar es algo Que sirve como tipo, modelo, norma, patrón o referencia. Otras definiciones encontradas en la Web son Una serie de criterios (algunos de los cuales podrían ser obligatorios), guías voluntarias y mejores prácticas [que permitan cumplir un objetivo] [3], Una mejor práctica que debe ser seguida para tener una mayor probabilidad de éxito [4] y Una serie de reglas para asegurar la calidad [5]. Un Marco de Trabajo (o framework) se define como una Estructura extensible para describir una serie de conceptos, métodos, tecnologías y cambios culturales necesarios para completar un proceso en particular [6], Una serie de reglas, ideas o principios que se usan para planear o decidir algo [7] y Una estructura para dar soporte o englobar algo más, especialmente un soporte o armazón que se usa como base para algo que se está construyendo.

22 9 Con estos conceptos podemos ver que los estándares y marcos de trabajo están estrechamente relacionados, y no son una receta de cocina que debemos seguir al pié de la letra. Por el contrario, son una mejor manera de hacer las cosas, partiendo de una serie de ideas o principios que pueden servir como fuente de inspiración. Uno de los términos que más nos podría llamar la atención en estos conceptos es precisamente el de cambios culturales. Después de haber estudiado varios estándares y marcos de trabajo podemos observar que estos cambios culturales son, en términos generales, prácticas para reforzar lo que los empleados de las organizaciones entienden por seguridad de la información. Con estas prácticas se pretende que todos y cada uno de los empleados estén consientes de que la gerencia de seguridad de la información existe y que de alguna u otra forma todos ellos están involucrados en la misma. Una buena práctica que puede tener un impacto sobre esta cultura es, por ejemplo, el dictar charlas donde se les informe a los empleados que no deben, bajo ninguna circunstancia, revelar o anotar en papel sus claves de acceso a los sistemas. A nivel mundial, existen numerosos organismos encargados de desarrollar, promulgar, coordinar, revisar y reeditar o de alguna forma mantener estándares que traten temas que son de interés para una gran cantidad de personas ajenas a estos organismos. Estos organismos, en su gran mayoría, se clasifican según el grado de su influencia en el ámbito geográfico, es decir, pueden ser cuerpos de estándares internacionales, nacionales o regionales. Entre estos organismos, los más reconocidos a nivel internacional son la Organización Internacional para la Estandarización (o ISO, por sus siglas en inglés), la Comisión Internacional Electrotécnica (o IEC) y la Unión Internacional de Telecomunicaciones (o ITU). Por otro lado, los marcos de trabajo son generalmente diseñados por compañías, asociaciones o institutos y, en el campo de la computación, los marcos de trabajo tienen como objetivo definir estructuras de soporte para organizar y desarrollar proyectos de software. Un ejemplo de estos institutos es el IT Governance Institute, quien desarrolló el marco de trabajo CobIT.

23 Estándares y Marcos de Trabajo para la Seguridad de la Información El mundo en el que vivimos es cada vez más dependiente de los sistemas de información, y al tener cada vez más y más información almacenada en estos, la necesidad de protegerlos crece de forma natural. Es por ello que numerosos organismos y organizaciones reconocidas mundialmente se han dado la tarea de publicar estándares y marcos de trabajo relacionados con la seguridad de la información. Entre los estándares y marcos de trabajo más relevantes tenemos los mencionados a continuación Code of Practice for Information Security Management (ISO/IEC 17799:2005) Utilice ISO para seguridad, nos dice Craig Symons en el artículo titulado COBIT Versus Otros Marcos de Trabajo: Un Camino Hacia La Gobernabilidad de IT Comprensiva ( COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance ) [8]. Este estándar es, sin duda alguna, uno de los más seguidos mundialmente. Es por ello que el trabajo realizado en esta pasantía se basa en las cláusulas del mismo Historia En mayo de 1987, en el Reino Unido, el Departamento de Industria y Comercio (o DIT por sus siglas en inglés) creó el Commercial Computer Security Centre con dos fines. El primero de ellos era ayudar a los vendedores de productos de seguridad en IT, mediante el establecimiento de criterios internacionales de evaluación y un esquema de certificación para la gerencia de seguridad de la información. El segundo, era crear un código de buenas prácticas de seguridad que ayudara a los usuarios en este ámbito. De ello, nació el Users Code of Practice, publicado

24 11 en 1989 y reeditado en 1992 con el título A code of practice for information security management. En 1995 el BSi (British Standards Institute) publicó el estándar BS7799:1995 A code of practice for information security management. En febrero de 1998 se le añadió una segunda parte, BS7799-2:1998, y después de una extensa revisión a la primera parte ésta fue publicada con el código BS7799-1:1999. Se crearon esquemas de certificación que dieron mucha fuerza a este estándar, y mediante un mecanismo denominado Fast Track se propuso como un estándar ISO, publicado con cambios menores en el año 2000 como ISO/IEC 17799:2000. Después de una extensa revisión, este estándar es publicado en junio del año 2005 como el ISO/IEC 17799:2005, reemplazando al anterior. Como podemos ver, este estándar posee una trayectoria de más de 15 años, durante los cuales ha sido revisado y validado por numerosos organismos reconocidos a nivel mundial Objetivos, estructura y contenido En la cláusula de alcance encontramos que Este estándar internacional establece guías y principios generales para iniciar, implementar, mantener y mejorar la gerencia de seguridad de la información dentro de una organización. Los objetivos propuestos en este estándar internacional pretenden servir como guía en las metas comúnmente aceptadas en el ámbito de la gerencia de seguridad de la información [2]. Este estándar está conformado por 11 cláusulas de control de seguridad, que entre todas suman un total de 39 categorías principales de seguridad, además de poseer un capítulo introductorio sobre gravamen y gerencia de riesgo. Las 11 cláusulas de control de seguridad son: 1. Política de Seguridad 2. Organización de la Seguridad de la Información 3. Gerencia de Bienes

25 12 4. Seguridad de Recursos Humanos 5. Seguridad Física y Ambiental 6. Gerencia de Comunicaciones y Operaciones 7. Control de Acceso 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gerencia de Incidentes en Seguridad de la Información 10. Gerencia de Continuidad de Negocio 11. Cumplimiento de Regulaciones Aporte para este proyecto Como ya se ha comentado, este estándar ha sido la base para generar el documento de requerimientos que son cubiertos por los productos pertenecientes a Oracle Corporation, incluido en el Apéndice I de este libro. Sin embargo, varios de los objetivos definidos en este estándar no se encuentran dentro del alcance de este proyecto. Uno de ellos es, por ejemplo, el capítulo sobre seguridad física y ambiental, que posee cláusulas de seguridad que no pueden ser cubiertas por productos de Software Próximas Versiones Debido al auge y la importancia que ha tenido este tema de gerencia de la seguridad de la información, las organizaciones ISO e IEC han creado la Familia de Estándares Internacionales de Gerencia de Sistemas de Seguridad de la Información. El mismo estándar nos dice que La familia incluye estándares internacionales referentes a requerimientos, gravamen de riesgos, métricas y medidas y guías de implementación para gerencia de seguridad de la información [2]. Esta familia utilizará el esquema de numeración utilizando la serie de números en adelante.