Uploaded on

Auditoria de Sistemas Estandares ISO 27001

Auditoria de Sistemas Estandares ISO 27001

More in: Technology , Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
3,509
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
227
Comments
0
Likes
3

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. ESCUELA DE INGENIERÍA FACULTAD DE INGENIERÍA DE SISTEMAS AUDITORIA DE SISTEMAS TITULO: “Estándares ISO 27001” Estándares 27001 ESTUDIANTE: Ticerán López, Christopher DOCENTE: ING.CIP CARLOS CHÁVEZ MONZÓN ING. CICLO: VIII CHIMBOTE-PERÚ CHIMBOTE 2009
  • 2. Auditoria de Sistemas Estandares ISO 27001 implementado en Auditoria de Sistemas El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en Octubre ) de 2005 por International Organization for Stand Standardization y por la comisión International Electrotechnical Commission Commission. ISO 27001 es una norma internacional, que establece requisitos relacionados con los Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar sus riesgos e implantar los controles adecuados para mantener la confidencialidad, integridad y disponibilidad de sus activos de información. Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por 2:2002 auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición 2, para aquellas empresas certificadas en esta última. En su Anexo A, enumera en última. forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; s a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE ISO/IEC 27001:2007 y á UNE-ISO/IEC puede adquirirse online en AENOR. Otros países donde también está publicada . en español son, por ejemplo, Colombia , Venezuela y Argentina. El original en Argentina inglés y la traducción al francés pueden adquirirse en ISO.org. Especifica los requisitos necesarios para establecer, implantar, mantener y implantar, mejorar un Sistema de Gestión de la Seguridad de la Información. INGENIERÍA DE SISTEMAS Página 2
  • 3. Auditoria de Sistemas Implantación La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y a proporcionales. INGENIERÍA DE SISTEMAS Página 3
  • 4. Auditoria de Sistemas Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que Datos hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de po todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías protección de datos (que hayan tecnologías, realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI). La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información información. Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. ¿Para quién es significativo? ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está garantizar protegida. El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización: • Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. • Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. INGENIERÍA DE SISTEMAS Página 4
  • 5. Auditoria de Sistemas Proporciona una ventaja competitiva al cumplir los requisitos contractuales na y demostrar a los clientes que la seguridad de su información es primordial. • Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que gestionados formaliza los procesos, procedimientos y documentación de protección de la información. • Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. • El proceso de evaluaciones periódicas ayudan a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas. ISO 27001 - un marco de Cumplimiento Normativo ISO 27001 también puede ayudar a crear un marco que ayuda a las ventas del crear Reino Unido y los departamentos de marketing cumplir con el Reglamento de Telecomunicaciones 1998 (protección de datos y de privacidad). Aparte de la Ley de Protección de Datos de 1998, todas las organizaciones del Reino Unido debe cumplir con la Ley de abuso de la informática 1990, la Ley de Derechos Humanos de 1998, el Reglamento de la Ley de Facultades Investigadora 2000 y el Derecho de Autor, Diseños y Patentes Ley 1988. Las organizaciones del sector público del Reino Unido que, además, cumplir con la Freedom of Information Act 2000. ISO 27001 es el paso esencial para efectuar y demostrar el cumplimiento de esta legislación. También hay relaciones claras entre la ISO 27001 y las recomendaciones de la elaciones Información de Seguridad de las Directrices de la OCDE de 2002 y el papel del Comité de Basilea "buenas prácticas para la Gestión y Supervisión del Riesgo Operativo". En los Estados Unidos, los requisitos reglamentarios y el cumplimiento de impuestos, por ejemplo, la Ley Gramm Gramm-Leach-Bliley Act (GLBA), la Health Bliley Insurance Portability and Availability (HIPAA), el californiano SB 1386 y la Ley de Protección en Línea personales como Bueno, por supuesto, como la Ley ínea Sarbanes-Oxley (SOX) y la Federal de Seguridad de Información de Gestión Ley, Oxley son mejor atendidas mediante el desarrollo de un sistema de información de gestión de seguridad que está integrado, global y ampliamente reconocido incorpora las mejores prácticas. Esto es precisamente lo que establece la ISO 27001. INGENIERÍA DE SISTEMAS Página 5
  • 6. Auditoria de Sistemas Requisitos para la certificación ISO / IEC 27001 se escribe como una especificación formal de tal manera que están destinados los auditores de certificación acreditado para poder utilizar la norma como una descripción formal de los temas que sus clientes deben tener para ser certificadas conformes. Pues sí especificar ciertos documentos obligatorios de forma explícita . Sin embargo, en otros ámbitos es más vaga y, en la práctica, los documentos son comúnmente exigido, incluyendo algunos tica, elementos que proporcionan los auditores de las pruebas o la prueba de que el SGSI está en funcionamiento. El siguiente diagrama (tomado de la guía ISO27k) muestra en ¿Qué etapas del proceso de ISO27k implementación típica de la mayoría de los documentos que se producen normalmente: INGENIERÍA DE SISTEMAS Página 6
  • 7. Auditoria de Sistemas ISO 27001: ¿Hacia un cumplimiento obligatorio? Hoy en día nadie pone en duda la fortaleza de la norma ISO 27001 en materia de gestión de Seguridad de la Información. Desde su publicación en 2005, año en que ISO adoptó el estándar británico BS-7799-2 con la denominación ISO/IEC BS 2 27001:2005, la norma ha ido haciéndose un hueco cada vez más importante en el import ajetreado mundo de la certificación. Y lo ha hecho de la mano de su guía de buenas prácticas ISO 27002, que sin ser certificable, es un compendio de recomendaciones para aquellos que se enfrentan a la ingente -y exigente- tarea de implementar un Sistema de Gestión de y exigente Seguridad de la Información (SGSI). No obstante, ISO 27001 está todavía muy lejos de alcanzar el grado de implantación a nivel mundial de otros estándares de gestión, como por ejemplo, el ampliamente conocido estándar que establece los requisitos de un sistema de los Gestión de la Calidad: ISO 9001. Tal es la superioridad del estándar de calidad que actualmente no se cuestiona si se trata de una norma de cumplimiento obligatorio o voluntario. Simplemente, si no estás certificado bajo 9001, estás fuera del mercado. Así de rotundo. 9001, Viendo esa evolución que ha tenido ISO 9001 en todo el mundo desde que fuera publicada en 1987, y teniendo en cuenta que la sociedad en la que vivimos y las empresas que operan en el mercado dependen ya de una manera absoluta de la manera información, parece lógico pensar que ISO 27001 va a ir ganando peso progresivamente tanto en organizaciones de carácter público como en la empresa privada. En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio” a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano. ablando Por ejemplo, en Perú la ISO/IEC 27002:2005 –recordemos, la guía de buenas recordemos, prácticas y no el estándar certificable- es de uso obligatorio en todas las certificable instituciones públicas desde el año 2004, fijando así un estándar para la las operaciones de la Administración, cuyo cumplimiento es supervisado por la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI. Sin salir de Sudamérica, en Colombia la norma ISO 27001 es de cumplimiento obligatorio para algunos sectores. Es el caso de los operadores de información, que de conformidad con el Decreto 1931 de 2006 de aquél país, se hallan sujetos al cumplimiento del estándar. INGENIERÍA DE SISTEMAS Página 7
  • 8. Auditoria de Sistemas Pero, sin duda, será el sector privado el que con mayor empuje pondrá a ISO 27001 en el lugar que le corresponde, debido al importante papel que puede corresponde, desempeñar un SGSI en el ámbito del gobierno corporativo de las empresas en cuanto a gestión de riesgos se refiere. Un claro ejemplo lo encontramos, cómo no, en la cuna de la gestión de la Seguridad de la Información, el Reino Unido. En 2004, el Financial Reporting Información, Council (FRC), el regulador británico al que las empresas de ese país que cotizan en bolsa deben reportar sus datos financieros, constituyó un grupo de asesores presidido por Douglas Flint, de HSBC Hold Holdings Plc. La misión encomendada a este grupo era revisar la guía Turnbull, unas buenas prácticas de control interno para empresas británicas cotizadas en bolsa, publicadas por primera vez en 1999. Con las observaciones realizadas por el grupo, el FRC publicó la actualización de la guía en Octubre de 2005. Esta có actualización refuerza la importancia del control interno y la gestión de riesgos en el gobierno corporativo de las empresas. Control interno y gestión de riesgos, sin duda dos conceptos que nos resultan muy resul familiares a quienes trabajamos a diario con ISO 27001. Efectivamente, el estándar en gestión de Seguridad de la Información, no se limita a gestionar los sistemas de información de las organizaciones, sino que va bastante más allá. Supone todo un examen del proceso o procesos que pretendemos certificar, obteniendo un conocimiento exhaustivo del mismo. Esa exhaustividad proviene de la identificación y valoración de los activos de la organización, y del análisis de riesgos correspondiente, que nos ap aportará luz sobre los controles que debemos aplicar para mitigar los riesgos detectados. Desde otras posiciones se está considerando el encaje de ISO 27001 en el ámbito de la Responsabilidad Social Corporativa (RSC), así como dentro de otro concepto de Governance, Risk Management & Compliance (GRC) que nos comentaba Scott rnance, L Mitchell, del think tank estadounidense Open Compliance & Ethics Group (OCEG). Este concepto supone superar el de responsabilidad social corporativa, integrando buen gobierno, cumplimiento normativo, gestión del riesgo y Seguridad cumplimiento de la Información. Ciertamente, de producirse esa evolución que adelanta OCEG, la Seguridad de la Información pasaría a convertirse en algo tan intrínseco a las empresas como lo es hoy el control financiero o la gestión de la calidad. Ese es el salto que aún tiene pendiente la Seguridad de la Información para hacerse un hueco en la empresa y quedarse para siempre. Desde luego, un punto de apoyo muy sólido hacia esa evolución lo proporciona el Informe Anual 2008 del IT Policy Compliance Group, con el título Improving del Business Results and Mitigating Financial Risk. Según los datos que recoge el INGENIERÍA DE SISTEMAS Página 8
  • 9. Auditoria de Sistemas informe, las organizaciones con mayor grado de desarrollo en IT GRC –o GRC de las Tecnologías de la Información superan la media de ingresos en un 17%, que Información- se traduce en un 13,8% más de beneficios. Cifras que, sin duda, son un estímulo para que ISO 27001 continúe avanzando posiciones en su particular carrera por equipararse al estándar de calidad ISO 9001 en cuanto a grado de implantación y obligatoriedad de facto. Es decir, por convertirse en un estándar cuya certificación las empresas obtendrán no sólo para mejorar la seguridad de su información, sino también para incrementar sus resultados y, por supuesto, para estar en el mercado. Un mercado que para mercado. entonces habrá madurado lo suficiente como para marginar a aquellas organizaciones que no se tomen muy en serio la seguridad de sus activos de información. Áudea Seguridad de la Información Manuel Díaz San Pedro Consultor de Seguridad. FASES INGENIERÍA DE SISTEMAS Página 9
  • 10. Auditoria de Sistemas ISO / IEC 27001, por medio de certificaciones ~ 1.000 por año Un número de organismos de certificación acreditados por organismos nacionales de normalización (como la British Standards Institution y el Instituto Nacional de Ciencia y Tecnología) para examinar el cumplimiento de la norma ISO / IEC 27001 y expedir certificados. Más de 5.600 organizaciones en todo el mundo ya han sido certificados conformes con la norma ISO / IEC 27001 o equivalente variantes nacionales: El gráfico muestra el número cada vez mayor de la norma ISO / IEC 27001 certificados informado por el sitio Ted Humphrey ISO27001certificates.com de los últimos años. Ted rutinariamente recibe y recopila información sobre la norma ISO / IEC 27001 certificados expedidos por organismos de certificación en todo el mundo. INGENIERÍA DE SISTEMAS Página 10