De Código a Ejecución: El Papel Fundamental del MSIL en .NET
Iso 27001
1. ISO 27001
La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la
Información que permite a una organización evaluar su riesgo e implementar controles
apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de
la información.
El objetivo fundamental es proteger la información de su organización para que no caiga
en manos incorrectas o se pierda para siempre.
Implantación
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener
una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la
información y el alcance, entendiendo por alcance el ámbito de la organización que va a
estar sometido al Sistema de Gestión de la Seguridad de la Información ( en adelante
SGSI) elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de información y sus procesos de trabajo a las exigencias de las normativas
legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de
desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de
desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un
acercamiento progresivo a la seguridad de la información mediante la aplicación de las
buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de
implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de todas
las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección
y asesorado por consultores externos especializados en seguridad informática, derecho
de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de
especialización en la materia) y sistemas de gestión de seguridad de la información (que
hayan realizado un curso de implantador de SGSI).
Como complemento a todas las anteriores, nunca deberíamos descuidarnos tener
en cuenta Cobit (Cobit 4.1), sea cual sea el ámbito que nos interese (dentro de TI). Ya
que nos aporta un visión complementaria a todos los procesos de ISO 20.000 e ITIL, y
nos aporta mucha más información en relación a indicadores y como mapearlos a
nuestros objetivos de negocio. Sin olvidar las propuestas de matrices RACI o los niveles
de madurez propuestos para cada proceso.
No olvidemos, de entre todas las metodologías, aquellas orientadas a
asegurar la seguridad de la información, como requisito indispensable dentro de
una organización que gestiona datos y por tanto debe asegurar su confidencialidad,
integridad y disponibilidad. En este sentido la norma ISO 27001 (Sistema de Gestión
de la Seguridad de la Información (SGSI)) sería la norma certificable, junto con toda la
familia de la serie 27000, y por tanto el punto de referencia.
2. El estándar ISO 27001 cubre de forma efectiva 11 secciones:
• Política de Seguridad
• Organización de la Seguridad de la Información
• Gestión de Activos
• Seguridad ligada a Recursos Humanos
• Seguridad Física y del Entorno
• Gestión de Comunicaciones y Operaciones
• Control de Accesos
• Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
• Gestión de Incidentes de Seguridad de la Información
• Gestión de la Continuidad de Negocio
• Conformidad
El punto de partida es la evaluación de cómo ha sido implantado su SGSI con el objeto de
identificar posibles diferencias con los requisitos que marca el estándar. Una vez las
diferencias han sido eliminadas se continua con la auditoría inicial. Asumiendo que en el
transcurso de la auditoría no se localizan no conformidades mayores o cuando los
posibles problemas identificados tengan definidos unas medidas correctivas .
Cuáles son los beneficios
• Algunas licitaciones internacionales empiezan a
• solicitar una gestión ISO 27001.
• Reducción de los costos vinculados a incidentes.
• Posibilidad de disminución de las primas de seguro.
• Mejora del conocimiento de los sistemas de información,
• sus problemas y los medios de protección.
• Mejora de la disponibilidad de los materiales y datos.
• Protección de la información.
¿La norma ISO 27001 es aplicable a toda la industria?
Sí, todas las organizaciones tienen el activo de la información y
pueden beneficiarse de una puesta en práctica y certificación de un
Sistema de Gestión de Seguridad de la Información.
¿La ISO 27001 afecta solo a IT?
No, ISO 27001 cubre todos los aspectos de intercambio de información,
desde datos de ordenador a conversaciones en áreas
públicas, incluyendo los perímetros de seguridad y el nivel inicial de
acceso del personal. v
La norma le ayudará a asegurar la continuidad de su negocio en casi
todas las circunstancias, como incendios, inundaciones, hackers,
pérdida de datos, violación de confidencialidad y terrorismo. c
v
Una organización tiene la posibilidad de implantar una política de
seguridad de la información que cubra toda clase de comunicación
y almacenamiento de datos.
La ISO 27001 es la espina dorsal de los datos y de su información.
3. Por que es necesaria la seguridad de la informacion
La informacion y los procesos,sistemas y redes que le brindan apoyo constituyen
importantes recursos para la empresa
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Es un sistema de gestión que comprende la política, estructura organizativa,
procedimientos, procesos y recursos necesarios para implantar la gestión de la seguridad
de la información. Un SGSI se implanta de acuerdo a estándares de seguridad como el
ISO 27001 basado en el código de buenas practicas y objetivos de control ISO 17799, el
cual se centra en la preservación de las características de confidencialidad , integridad y
disponibilidad.
Principios de Seguridad Informática
Confidencialidad
Se refiere a la privacidad de los elementos de información almacenados y procesados en
un sistema informático.
Basándose en este principio, las herramientas de seguridad informática deben proteger al
sistema de invasiones, intrusiones y accesos, por parte de personas o programas no
autorizados.
Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos
en los que usuarios, computadores y datos residen en localidades diferentes, pero están
física y lógicamente interconectados.
Factores de riesgo
Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos,
suciedad, humedad, calor, entre otros.
Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el
servicio eléctrico, ataque por virus informáticos, etc.
Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje,
vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración,
etc.
Factores tecnológicos de riesgo
Virus informáticos: Definición
Un virus informático es un programa (código) que se replica, añadiendo una copia de sí
mismo a otro(s) programa(s).
Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta
que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta
la pérdida total del sistema.
4. Factores humanos de riesgo
Hackers
Los hackers son personas con avanzados conocimientos técnicos en el área informática y
que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso
autorizado.
En general, los hackers persiguen dos objetivos:
• Probar que tienen las competencias para invadir un sistema protegido.
• Probar que la seguridad de un sistema tiene fallas.
Mecanismos de Seguridad Informática
Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para
fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático.
Existen muchos y variados mecanismos de seguridad informática. Su selección depende
del tipo de sistema, de su función y de los factores de riesgo que lo amenazan.
Normas y Metodologías aplicables
Information Systems and Audit Control Association - ISACA: COBIT
British Standards Institute: BS
International Standards Organization: Normas ISO
Departamento de Defensa de USA: Orange Book / Common Criteria
ITSEC – Information Technology Security Evaluation Criteria: White Book
Sans Institute, Security Focus, etc
Sarbanes Oxley Act, Basilea II, HIPAA Act,
Leyes NACIONALES
OSSTMM, ISM3, ISO17799:2005, ISO27001
BS 25999
DRII