Escuela de Ingeniera de Sistemas VIII ciclo Universidad Cesar Vallejo

1

CURSO: Auditoria de Sistemas

Docente: Carlos Chávez Monzón

Alumno: Ramírez Chira Frank

ISO 27001

Escuela de Ingeniera de Sistemas VIII ciclo Universidad Cesar Vallejo

2

ISO/IEC 27001

1. ANTECEDENTES:

Depender de los sistemas de información y servicios hace a las organizaciones más vulnerables contra amenazas de la seguridad. La información es un activo que, al igual que otros de su negocio, tiene valor en su organización y por consiguiente tiene que ser protegida adecuadamente. Su empresa, a través de una identificación y clasificación apropiada de esos activos y una evaluación de riesgo sistemática de vulnerabilidad y amenaza, puede optar por controles apropiados para gestionar riesgos. Así, demostrar que se preserva la confidencialidad, la integridad y la disponibilidad de esos activos ante clientes, consumidores, accionistas, autoridades y sociedad en general.

2. ¿Qué es la ISO 27001?

La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información. El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.

ISO (Organización Internacional de Estándares) e IEC (Comisión Internacional de Electrotécnia) conforman un especializado sistema especializado para los estándares mundiales. Organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva para tratar con los campos particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en relación con ISO e IEC, también forman parte del trabajo.

El Estándar Internacional ISO/IEC 17799 fue preparado inicialmente por el Instituto de Normas Británico (como BS 7799) y fue adoptado, bajo la supervisión del grupo de trabajo “Tecnologías de la Información”, del Comité Técnico de esta unión entre ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales de ISO e IEC.

El estándar ISO/IEC 27001 es el nuevo estándar oficial, su título completo en realidad es: BS 7799- 2:2005 (ISO/IEC 27001:2005). También fue preparado por este JTC 1 y en el subcomité SC 27, IT “Security Techniques”. La versión que se considerará en este texto es la primera edición, de fecha 15 de octubre de 2005, si bien en febrero de 2006 acaba de salir la versión cuatro del mismo.

Escuela de Ingeniera de Sistemas VIII ciclo Universidad Cesar Vallejo

3

La siguiente terminología aplica a esta norma:

Recurso (Asset): Cualquier cosa que tenga valor para la organización.

Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada.

Confidencialidad (confidentiality): Propiedad que la información no esté disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos.

Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas.

Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad de la información o fallo en el almacenamiento de la misma, también cualquier situación previa desconocida que pueda ser relevante desde el punto de vista de la seguridad.

Incidente de seguridad: uno o varios eventos de seguridades de la información, no deseadas o inesperadas que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la información.

Sistema de administración de la seguridad de la información (ISMS: Information Security Management System): Parte de los sistemas de la empresa, basado en el análisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información.

3. AUDITORÍA INTERNA DEL ISMS:

La responsabilidad y requerimientos para el planeamiento y la conducción de las actividades de auditoría, los informes resultantes y el mantenimiento de los registros será definido en un procedimiento. La organización llevará a cabo acciones para eliminar las causas que no estén en conformidad con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los mismos.

Certificarse con ISO 27001 es establecer que las cosas se vigilan dentro de un marco de gestión y que existen procesos de mejora continua sobre el funcionamiento de las medidas de seguridad. Sin embargo, gestionar bien no implica tener buena seguridad. Obviamente ayuda mucho tener un marco de gestión y revisión continua pero es sólo una condición necesaria, no suficiente.

Escuela de Ingeniera de Sistemas VIII ciclo Universidad Cesar Vallejo

4

Esta nueva norma establece criterios para la medición del estado de la seguridad. Es aquí donde los datos y las evidencias deben poner al SGSI en su sitio. Es cuando los resultados nos proporcionan información sobre cual es la situación real de las medidas y si están o no funcionando de acuerdo a los objetivos planteados. Por eso es tan importante la publicación de esa norma. Es la única manera de valorar si tanta gestión de la seguridad está sirviendo para algo, y esos hechos avalados por resultados y datos concretos que se están midiendo. Por tanto, un SGSI certificado y todo que no logre unos buenos resultados en sus indicadores será solo un adorno, dado que habrá una bonita gestión pero con ello no se estará logrando satisfacer los objetivos planteados.

4. IMPLANTACIÓN: La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos.

Escuela de Ingeniera de Sistemas VIII ciclo Universidad Cesar Vallejo

5

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.

El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática, derecho de las nuevas tecnologías, protección de datos (que hayan realizado un máster o curso de especialización en la materia) y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

5. CERTIFICACIÓN: La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su re certificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.

6. LA SERIE 27000 La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:

ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000.

UNE-ISO/IEC 27001: 2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 Noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).

ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.

ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

Escuela de Ingeniera de Sistemas VIII ciclo Universidad Cesar Vallejo

6

ISO 27004: En fase de desarrollo; probable publicación en 2009. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.

ISO 27005: Publicada en Junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.

ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

7. MENOR RIESGO DE RESPONSABILIDAD

ISO/IEC 27001: 2005 especifica el enfoque en los siguientes temas, empleando la metodología PHVA (Planear, Hacer, Verificar, Actuar): 1. Principios y Gestión de Seguridad. 2. Responsabilidades de Gestión de Seguridad. 3. Enfoque “de arriba hacia abajo”. 4. Gestión de Riesgo. 5. Toma de Conciencia de Seguridad. 6. Continuidad de Negocio y Gestión de Siniestros. 7. Cumplimiento Legal.

8. RECONOCIMIENTO MUNDIAL Intertek esta acreditada por RvA (Consejo Holandés de Acreditación) para proporcionar servicios de certificación y registro para ISO/IEC 27001: 2005 (anteriormente BS 7799). Una organización que busca certificación formal de este esquema debe ser evaluada por un organismo de tercera parte tal como Intertek.

Usaremos nuestro conocimiento, experiencia, pericia y especialización de la industria para ayudarlo a conseguir su certificación de manera rentable y sencilla.

9. BENEFICIOS El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:

Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

Escuela de Ingeniera de Sistemas VIII ciclo Universidad Cesar Vallejo

7

Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.

Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.