Auditoria inf.
Upcoming SlideShare
Loading in...5
×
 

Auditoria inf.

on

  • 546 views

 

Statistics

Views

Total Views
546
Views on SlideShare
537
Embed Views
9

Actions

Likes
1
Downloads
4
Comments
0

2 Embeds 9

http://www36.jimdo.com 8
http://fer22paspuel.jimdo.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Auditoria inf. Auditoria inf. Document Transcript

  • ISO 27001Tecnología de la información, técnicas de seguridad, sistemas de gestión deseguridad de la información, requerimientos. Gestión de la seguridad de la informaciónLa norma ISO 27001 define cómo organizar la seguridad de la información en cualquiertipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Esposible afirmar que esta norma constituye la base para la gestión de la seguridad de lainformación.La ISO 27001 es para la seguridad de la información, su objetivo es proporcionar unametodología para la implementación de la seguridad de la información en unaorganización. También permite que una organización sea certificada, lo cual significa queuna entidad de certificación independiente ha confirmado que la seguridad de lainformación se ha implementado en esa organización de la mejor forma posible.A raíz dela importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma comobase para confeccionar las diferentes normativas en el campo de la protección de datospersonales, protección de información confidencial, protección de sistemas deinformación, gestión de riesgos operativos en instituciones financieras, etc.ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña,de cualquier sector o parte del mundo. La norma es particularmente interesante si laprotección de la información es crítica, también es muy eficaz para organizaciones quegestionan la información por encargo de otros, por ejemplo, empresas de subcontrataciónde TI. Puede utilizarse para garantizar a los clientes que su información está protegidaEl hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar lassiguientes ventajas a la organización: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.Cuatro fases del sistema de gestión de seguridad de la informaciónLa norma ISO 27001 determina cómo gestionar la seguridad de la información a través deun sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo,igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se debenimplementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad,integridad y disponibilidad de la información.
  • Las fases son las siguientes: La Fase de planificación: Esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad (la norma contiene un catálogo de 133 posibles controles). Esta fase está formada por los siguientes pasos:  Determinación del alcance del SGSI;  Redacción de una Política de SGSI;  Identificación de la metodología para evaluar los riesgos y determinar los criterios para la aceptabilidad de riesgos;  Identificación de activos, vulnerabilidades y amenazas;  Evaluación de la magnitud de los riesgos;  Identificación y evaluación de opciones para el tratamiento de riesgos;  Selección de controles para el tratamiento de riesgos;  Obtención de la aprobación de la gerencia para los riesgos residuales;  Obtención de la aprobación de la gerencia para la implementación del SGSI;  Redacción de una declaración de aplicabilidad que detalle todos los controles aplicables, determine cuáles ya han sido implementados y cuáles no son aplicables. La Fase de implementación:Esta fase implica la realización de todo lo planificado en la fase anterior. Esta fase incluye las siguientes actividades:  Redacción de un plan de tratamiento del riesgo que describe quién, cómo, cuándo y con qué presupuesto se deberían implementar los controles correspondientes;  Implementación de un plan de tratamiento del riesgo;  Implementación de los controles de seguridad correspondientes;  Determinación de cómo medir la eficacia de los controles;  Realización de programas de concienciación y capacitación de empleados;  Gestión del funcionamiento normal del SGSI;  Gestión de los recursos del SGSI;  Implementación de procedimientos para detectar y gestionar incidentes de seguridad. La Fase de revisión: El objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos. Esta fase incluye lo siguiente:  Implementación de procedimientos y demás controles de supervisión y control para determinar cualquier violación, procesamiento incorrecto de
  • datos, si las actividades de seguridad se desarrollan de acuerdo a lo previsto, etc.;  Revisiones periódicas de la eficacia del SGSI;  Medición la eficacia de los controles;  Revisión periódica de la evaluación de riesgos;  Auditorías internas planificadas;  Revisiones por parte de la dirección para asegurar el funcionamiento del SGSI y para identificar oportunidades de mejoras;  Actualización de los planes de seguridad para tener en cuenta otras actividades de supervisión y revisión;  Mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia del SGSI. La Fase de mantenimiento y mejora: El objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior. Esta fase incluye lo siguiente:  Implementación en el SGSI de las mejoras identificadas;  Toma de medidas correctivas y preventivas y aplicación de experiencias de seguridad propias y de terceros;  Comunicación de actividades y mejoras a todos los grupos de interés;  Asegurar que las mejoras cumplan los objetivos previstos.El ciclo de estas cuatro fases nunca termina, todas las actividades deben serimplementadas cíclicamente para mantener la eficacia del SGSI.Documentos de ISO 27001La norma ISO 27001 requiere los siguientes documentos: El alcance del SGSI; La política del SGSI; Procedimientos para control de documentación, auditorías internas y procedimientos para medidas correctivas y preventivas; Todos los demás documentos, según los controles aplicables; Metodología de evaluación de riesgos; Informe de evaluación de riesgos; Declaración de aplicabilidad; Plan de tratamiento del riesgo; Registros.La cantidad y exactitud de la documentación depende del tamaño y de las exigencias deseguridad de la organización; esto significa que una docena de documentos seránsuficientes para una pequeña organización, mientras que las organizaciones grandes ycomplejas tendrán varios cientos de documentos en su SGSI.
  • ISO 27001:2005Introducción: - Generalidades - Enfoque por proceso - Compatibilidad con otros sistemas de gestión 1. Objeto y campo de aplicación: Se especifica el objetivo, la aplicación y el tratamiento de exclusiones. 1.1 Generalidades 1.2 Aplicación 2. Normas para consulta: Otras normas que sirven de referencia. 3. Términos y definiciones: Breve descripción de los términos más usados en la norma. 4. Sistema de gestión de la seguridad de la información: Cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma. 4.1 Requisitos generales 4.2 Creación y gestión del SGSI 4.2.1 Creación del SGSI 4.2.2 Implementación y operación del SGSI 4.2.3 Supervisión y revisión del SGSI 4.2.4 Mantenimiento y mejora del SGSI 4.3 Requisitos de documentación 4.3.1 Generalidades 4.3.2 Control de documentos. 4.3.3 Control de registros 5. Responsabilidad de la dirección: En cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal. 5.1 Compromiso de la dirección 5.2 Gestión de los recursos 5.2.1 Provisión de los recursos 5.2.2 Concienciación, formación y competencia 6. Auditorías internas del SGSI: Cómo realizar las auditorías internas de control y cumplimiento. 7. Revisión del SGSI por la dirección: Cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección.
  • 7.1 Generalidades 7.2 Datos iniciales de la revisión. 7.3 Resultados de la revisión. 8. Mejora del SGSI: Mejora continua, acciones correctivas y acciones preventivas. 8.1 Mejora continua 8.2 Acción correctiva 8.3 Acción preventivaLa información tiene una importancia fundamental para el funcionamiento y quizá inclusosea decisiva para la supervivencia de la organización. El hecho de disponer de lacertificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos deinformación. ISO 27002Tecnología de la información, Técnicas de seguridad, Código de practica para lagestión de la seguridad de la informaciónEs una guía de recomendaciones estructuradas, reconocida internacionalmente ydedicada a la seguridad de la información. Proporciona equilibrio entre la seguridad física,técnica, procedimientos y la seguridad ligada al personal que participa en la gestión de lainformación. Contiene un conjunto de controles dónde se identifican las mejores prácticaspara la gestión de la seguridad de la información. No es un sistema que permite unacertificación de la seguridad. Seguridad de la informaciónDebido a que la información es un activo no menos importante que otros activoscomerciales, es esencial para cualquier negocio u organización contar con las medidasadecuadas de protección de la información, especialmente en la actualidad, donde lainformación se difunde a través de miles y miles de redes interconectadas. Esto multiplicala cantidad de amenazas y vulnerabilidades a las que queda expuesta la información.
  • La seguridad de la información se logra implementando un conjunto adecuado decontroles, políticas, procesos, procedimientos, estructuras organizacionales, y otrasacciones que hagan que la información pueda ser accedida sólo por aquellas personasque están debidamente autorizadas para hacerlo.2.1. AlcanceEste Estándar Internacional va orientado a la seguridad de la información en las empresasu organizaciones, de modo que las probabilidades de ser afectados por robo, daño opérdida de información se minimicen al máximo.2.2. Términos y definicionesEn este apartado se habla de un conjunto de términos y definiciones que se presentan alfinal de este documento, en el Glosario, que son las definiciones de:  Activo: Cualquier cosa que tenga valor para la organización.  Amenaza:Una causa potencial de un incidente no deseado, el cual puede resultar en daño a un sistema u organización.  Análisis de riesgo: Uso sistemático de la información para identificar las fuentes y calcular el riesgo.  Control:Medios para manejar el riesgo, incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal. El control también se utiliza como sinónimo de salvaguarda o contramedida.  Evaluación del riesgo: Proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo.  Evento de seguridad de la información:Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de un sistema, servicio o red, indicando una posible falla en la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad.  Gestión del riesgo:Actividades coordinadas para dirigir y controlar una organización con relación al riesgo.  Incidente de seguridad de la información:Un incidente de seguridad de la información es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.  Lineamiento:Descripción que aclara qué se debiera hacer y cómo, para lograr los objetivos establecidos en las políticas.  Medios de procesamiento de la información:Cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales físicos que los alojan.  Política:Intención y dirección general expresada formalmente por la gerencia.  Riesgo: Combinación de la probabilidad de un evento y su ocurrencia.  Seguridad de la información:Preservación de confidencialidad, integración y disponibilidad de la información; además, también puede involucrar otras propiedades como autenticidad, responsabilidad, no-reputación y confiabilidad.
  •  Tercera persona:Persona u organismo que es reconocido como independiente de las partes involucradas, con relación al ítem en cuestión.  Tratamiento del riesgo:Proceso de selección e implementación de medidas para modificar el riesgo.  Vulnerabilidad:La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.2.3. Estructura de este EstándarEste Estándar contiene un número de categorías de seguridad principales, entre lascuales se tienen once cláusulas: a) Política de seguridad. b) Aspectos organizativos de la seguridad de la información. c) Gestión de activos. d) Seguridad ligada a los recursos humanos. e) Seguridad física y ambiental. f) Gestión de comunicaciones y operaciones. g) Control de acceso. h) Adquisición, desarrollo y mantenimiento de los sistemas de información. i) Gestión de incidentes en la seguridad de la información. j) Gestión de la continuidad del negocio. k) Cumplimiento.El ISO/IEC 27002 se refiere a una serie de aspectos sobre la seguridad de las tecnologíasde información, entre los que se destacan los siguientes puntos: 2.5. Política de seguridad Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información." Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos losempleados y las partes externas relevantes.Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues sise distribuye fuera de la organización, no debería divulgar información confidencial queafecte de alguna manera a la organización o a personas específicas (por ejemplo queafecte la intimidad de alguien al divulgar sus datos personales, etc.)2.6. Aspectos organizativos de la seguridad de la informaciónLa organización de la seguridad de la información se puede dar de dos formas:organización interna y organización con respecto a terceros.
  • En cuanto a la organización interna, se tiene como objetivo manejar la seguridad de la información dentro de la organización.Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organización. La organización con respecto a terceros, el objetivo de esto es mantener la seguridad de la información y los medios de procesamiento de información de laorganización que son ingresados, procesados, comunicados a, o manejados por, gruposexternos. Para ello se debe comenzar por la identificación de los riesgos relacionados conlos grupos externos. Esto se puede dar tanto con clientes o con proveedores. Se debetener especial cuidado respecto a los contratos que se hagan con terceros, para noafectar la seguridad de la información.2.7. Gestión de activos Se deben asignar responsabilidades por cada uno de los activos de la organización, así como poseer un inventario actualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de todos los activos. Para esto el departamento de contabilidad tendrá que hacer un buen trabajo en cuanto a esta clasificación y desglose de activos, y el departamento de leyes de la empresa también tendrá que ser muy metódico enestos procesos, ya que los activos son todos los bienes y recursos que posee unaempresa, incluyendo bienes muebles e inmuebles, dinero, etc. Por lo tanto este es unasunto delicado y de gran importancia.2.8. Seguridad ligada a los recursos humanos El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas para concientizar y proporcionar formación yprocesos disciplinarios relacionados a la seguridad y responsabilidad de los recursoshumanos en este ámbito.También se deben especificar las responsabilidades cuando se da el cese del empleo ocambio de puesto de trabajo, para que la persona no se vaya simplemente y deje a laorganización afectada de alguna manera en materia de seguridad.
  • 2.9. Seguridad física y ambiental La seguridad física y ambiental se divide en áreas seguras y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento deinformación.Se debe también contar con controles físicos de entrada, tales como puertas con llave,etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazasexternas y de origen ambiental, como incendios (para los cuales deben haber extintoresadecuados y en los lugares convenientes), terremotos, huracanes, inundaciones,atentados terroristas, etc.Deben también haber áreas de acceso público de carga y descarga, parqueos, áreas devisita, entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas comoantideslizantes y barras de apoyo sobre la pared para sujetarse.2.10. Gestión de comunicaciones y operaciones El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información, es necesario que los procedimientos de operación estén bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia. Es necesario tener un nivel de separación entre los ambientes de desarrollo, de prueba y de operación, para evitar problemas operacionales.Si la organización se dedica a vender servicios, debe implementar y mantener el nivelapropiado de seguridad de la información y la entrega del servicio en línea con losacuerdos de entrega de servicios de terceros.Se tienen que establecer políticas,procedimientos y controles de intercambio formales para proteger el intercambio deinformación a través del uso de todos los tipos de medios de comunicación.2.11. Control de acceso Se debe contar con una política de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas, etc.
  • Aparte de la autenticación correspondiente, los usuarios deben asegurar que el equipodesatendido tenga la protección apropiada, como por ejemplo la activación automática deun protector de pantalla después de cierto tiempo de inactividad, el cual permanezcaimpidiendo el acceso hasta que se introduzca una contraseña conocida por quien estabaautorizado para utilizar la máquina desatendida.Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y ala información. Para todo esto deben existir registros y bitácoras de acceso.Deben existir políticas que contemplen adecuadamente aspectos de comunicación móvil,redes inalámbricas, control de acceso a ordenadores portátiles, y teletrabajo, en caso quelos empleados de la empresa ejecuten su trabajo fuera de las instalaciones de laorganización.2.12. Adquisición, desarrollo y mantenimiento de los sistemas de información Examinarlos aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen. Debe existir una validación adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes.Deben establecerse procedimientos para el control de la instalación del software en lossistemas operacionales. La seguridad en los procesos de desarrollo y soporte debeconsiderar procedimientos de control de cambios, revisiones técnicas de aplicaciones trasefectuar cambios en el sistema operativo y también restricciones a los cambios en lospaquetes de software. No se tiene que permitir la fuga ni la filtración de información norequerida.2.13. Gestión de incidentes en la seguridad de la información La comunicación es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible. De la misma manera se debe contar con reportes de lasdebilidades en la seguridad, requiriendo que todos los empleados, contratistas y tercerosde los sistemas y servicios de información tomen nota de y reporten cualquier debilidad deseguridad observada o sospechada en el sistema o los servicios.Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentesen la seguridad de la información es elemental.
  • 2.14. Gestión de la continuidad del negocio Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización.Estos planes no deben serestáticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento yrevaluación.Junto a la gestión de riesgos, debe aparecer la identificación de eventos que puedencausar interrupciones a los procesos comerciales, junto con la probabilidad y el impactode dichas interrupciones y sus consecuencias para la seguridad de la información.2.15. Cumplimiento Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificación de la legislación aplicable debe estar bien definida. Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general.El cumplimiento de los requisitos legales se aplica también a la protección de losdocumentos de la organización, protección de datos y privacidad de la informaciónpersonal, prevención del uso indebido de los recursos de tratamiento de la información, ya regulaciones de los controles criptográficos.Los sistemas de información deben estar bajo monitoreo y deben chequearseregularmente para ver y garantizar el cumplimiento de los estándares de implementaciónde la seguridad.Bibliografía:Sitios web (23 de 12 de 2012). Obtenido de http://www.iso27001standard.com/es/que-es-la-norma-iso-27001:http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-Informacion-ISOIEC27001/http://www.iso27000.es/iso27000.html#section3chttp://secugest.blogspot.com/2007/09/diferencias-entre-iso-27001-e-iso-27002.html
  • http://www.slideshare.net/DCEM/iso-27001-5472233http://www.monografias.com/trabajos67/estandar-internacional/estandar-internacional2.shtml#ixzz2FuChXvRAhttp://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdfhttp://es.scribd.com/doc/46085176/Normas-ISO-27002