Seguridad A Doc Word[1]

  • October 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Seguridad A Doc Word[1] as PDF for free.

More details

  • Words: 5,941
  • Pages: 25
SEGURIDAD INFORMATICA

DENNIS GOMEZ VARGAS MARLYN QUINTERO POLANIA

1

SERVICIO NACIONAL DE APRENDIZAJE (SENA)

TECNICO PROFESIONAL EN ADMINISTRACION DEL TALENTO HUMANO

RECURSO HUMANO

BOGOTA

2008 SEGURIDAD INFORMATICA

DENNIS GOMEZ VARGAS MARLYN QUINTERO POLANIA

TRABAJO PRESENTADO PARA LA ASIGNATURA DE ADMINISTRACION DE LA INFORMACION CARLOS EDUARDO MORA

SERVICIO NACIONAL DE APRENDIZAJE (SENA) RECURSO HUMANO

2

BOGOTA 2008 TABLA DE CONTENIDO

INTRODUCCIÓN OBJETIVOS

1. ANÁLISIS DE RIESGOS. 1.1 LOS MEDIOS PARA CONSEGUIR LA SEGURIDAD: 1.2 PUESTA EN MARCHA DE UNA POLÍTICA DE SEGURIDAD 1.3 AMENAZAS 1.4 TÉCNICAS DE ASEGURAMIENTO DEL SISTEMA 1.5 CONSIDERACIONES DE UN SOFTWARE 1.6 CONSIDERACIONES DE UNA RED 1.7 ALGUNAS AFIRMACIONES ERRÓNEAS COMUNES ACERCA DE LA SEGURIDAD 1.8 ORGANISMOS OFICIALES DE SEGURIDAD INFORMÁTICA 1.9.1 FALLAS DE SEGURIDAD MÁS FRECUENTES 2. PHARMING: NUEVO FRAUDE INFORMÁTICO 2.1 RECOMENDACIONES PARA NO SER VÍCTIMA DEL "PHISHING" 2.2 USO SEGURO DEL CORREO ELECTRÓNICO 2.3 CÓMO PREVENIR QUE LA PC SE INFECTE DE VIRUS Y PROGRAMAS ESPÍAS 2.4 ESTRATEGIAS DE SEGURIDAD INFORMÁTICA 2.5 SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN 3. PLAN DE ACCIÓN 3.1 COMITÉ4.0 NORMAS ISO SOBRE SEGURIDAD INFORMATICA LA SERIE 27000

4.NORMAS ISO SOBRE SEGURIDAD INFORMATICA 4.1 LA SERIE 27000 4.1.1. LAS NORMAS QUE CONFORMAN ESTA SERIE SON: 3

4.1.1.1 ISO 27000: 4.1.1.2 ISO 27001. 4.1.1.3 ISO 27002 (ISO 17799): 4.2 PREGUNTAS BASICAS PARA INPLEMENTAR LAS NORMAS DE SEGURIDAD EN SU EMPRESA 4.3 POLITICAS DE SEGURIDAD 4.3.1 NORMA DE SEGURIDAD 4.3.2 PROCEDIMIENTO DE SEGURIDAD 4.3.3 PROCEDIMIENTO DE SEGURIDAD

5. PRINCIPALES CLAVES PARA IMPLANTAR EL ISO 27001 5.1 IDENTIFICAR LOS OBJETIVOS DE NEGOCIO 5.2 SELECCIONAR UN ALCANCE ADECUADO 5.3 DETERMINAR EL NIVEL DE MADUREZ ISO 27001: 5.3.1 ANALIZAR EL RETORNO DE INVERSIÓN GLOSARIO

CONCLUSIONES

BIBLIOGRAFIA

4

INTRODUCCIÓN SEGURIDAD INFORMÁTICA

Podemos entender como seguridad un estado de cualquier sistema (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro características: •

Integridad: La información sólo puede ser modificada por quien está autorizado.



Confidencialidad: La información sólo debe ser legible para los autorizados.



Disponibilidad: Debe estar disponible cuando se necesita.



Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autoría.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad lógica y seguridad física. En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su información sea robada. Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el Riesgo a un Impacto.

5

OBJETIVOS Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos: Información Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.

Equipos que la soportan. Software, hardware y organización.

Usuarios Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información.

6

1. ANÁLISIS DE RIESGOS El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. 1.1 LOS MEDIOS PARA CONSEGUIR LA SEGURIDAD: 1. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. 2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). 3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. 4. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. 5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. 6. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. 7. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. 1.2 PUESTA EN MARCHA DE UNA POLÍTICA DE SEGURIDAD Actualmente las legislaciones nacionales de los Estados, obligan a las empresas, instituciones públicas a implantar una política de seguridad. Ej: En España la Ley Orgánica de Protección de Datos o también llamada LOPD y su normativa de desarrollo. Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tiene sólo los permisos que se les dio. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema 7

informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene: •

Elaborar reglas y procedimientos para cada servicio de la organización.



Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión



Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.

Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad. 1.3 LAS AMENAZAS Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones). Estos fenómenos pueden ser causados por: •

El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito).



Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.



Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.).

8



Un siniestro (robo, incendio, por agua): una mala manipulación o una malintención derivan a la pérdida del material o de los archivos.



El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

1.4 TÉCNICAS DE ASEGURAMIENTO DEL SISTEMA •

Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.



Vigilancia de red.



Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.

• 1.5 CONSIDERACIONES DE SOFTWARE Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software pirata o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia. Existe software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra. 1.6 CONSIDERACIONES DE UNA RED Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles. Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo. Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas. Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus. 1.7 ALGUNAS AFIRMACIONES ERRÓNEAS COMUNES ACERCA DE LA SEGURIDAD 9



Mi sistema no es importante para un cracker. Esta afirmación se basa en la idea de que no introducir contraseñas seguras en una empresa no entraña riesgos pues ¿quién va a querer obtener información mía?. Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus.



Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.



Como tengo antivirus estoy protegido. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación, además los antivirus son vulnerables a desbordamientos de búfer que hacen que la seguridad del sistema operativo se vea más afectada aún.



Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos, además los firewalls de aplicación (los más usados) no brindan protección suficiente contra el spoofing.



Tengo un servidor web cuyo sistema operativo es un unix actualizado a la fecha: Puede que este protegído contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de dicha aplicación puede permitir que el atacante abra una shell y por ende ejecutar comandos en el unix.

1.8 ORGANISMOS OFICIALES DE SEGURIDAD INFORMÁTICA Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, tales como el CERT/CC (Computer Emergency Response Team Coordination Center) del SEI (Software Engineering Institute) de la Carnegie Mellon University el cual es un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo. 10

1.9 PROPOSITO DE LA SEGURIDAD DE LA INFORMACION •

ORGANIZACIONES •



INDIVIDUOS •



Proteger los recursos informáticos, de comunicación, hardware y software

Proteger la privacidad y la identidad de la información personal

CONCEPTOS BASICOS •

Confidencialidad



Integridad



Disponibilidad

1.9.1 FALLAS DE SEGURIDAD MAS FRECUENTES •

No actualizar los sistemas operativos de los equipos corporativos.



No mantener ni probar las copias de seguridad



No confirmar que el plan de recuperación ante desastres realmente funciona.



No implantar o actualizar programas de detección de virus



No formar a los usuarios en materia de seguridad.

2.0 PHARMING: NUEVO FRAUDE INFORMÁTICO Los piratas informáticos, siempre activos, han encontrado una nueva manera de obtener información confidencial para realizar sus fraudes. Pero, ¿qué es el pharming? Según Wikipedia (Ver web) “es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System)... 2.1 RECOMENDACIONES PARA NO SER VÍCTIMA DEL "PHISHING" Un nuevo documento difundido por la Oficina Nacional de Tecnologías de Información ArCERT, dependiente de la Jefatura de Gabinete de Ministros, advierte sobre una gran cantidad de incidentes de “phishing” ocurridos en los últimos meses... 11

2.2 USO SEGURO DEL CORREO ELECTRÓNICO La Oficina Nacional de Tecnologías de Información ArCERT, dependiente de la Jefatura de Gabinete de Ministros, ha difundido recientemente un documento conteniendo una serie de... 2.3 CÓMO PREVENIR QUE LA PC SE INFECTE DE VIRUS Y PROGRAMAS ESPÍAS Para evitar la infección de la computadora con virus o programas espías, deberá realizar actualizar su antivirus, escanear su PC y comprobar si tiene archivos espía. Conozca más acerca de como realizar estas tareas en este artículo 2.4 ESTRATEGIAS DE SEGURIDAD INFORMÁTICA ¿Qué es un virus y cómo se propagan? ¿Por qué conviene tener un firewall? ¿Qué riesgos pueden ocasionar los archivos espías? En este artículo se abordan estos temas y se brindan una serie de consejos para utilizar la computadora de un modo seguro. 2.5 SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN Los Sistemas de Información de la UNRC han implementado una serie de características para dotar de un mayor nivel de seguridad a los usuarios tales como sesiones de trabajo, encriptación de la información y novedades en el uso del PIN. Conozca como funcionan estas medidas de seguridad y las precauciones que debe tomar.

Mediante la presente decisión se adopta una acción en el ámbito de la seguridad de los sistemas de información. Dicha acción incluye los dos elementos siguientes: •

la aplicación de un plan de acción durante un período inicial de 24 meses. El importe de los recursos financieros comunitarios considerado necesario para la aplicación de este plan de acción durante el período previsto asciende a doce millones de ecus;



la creación de un comité de altos funcionarios que tendrá la misión a largo plazo de asesorar a la Comisión sobre acciones en materia de seguridad de los sistemas de información.

3.0 PLAN DE ACCIÓN 12

El plan de acción tendrá como finalidad el desarrollo de estrategias globales destinadas a proporcionar a los usuarios y a los productores de información almacenada, procesada o transmitida electrónicamente la protección adecuada de los sistemas de información contra amenazas accidentales o deliberadas. El plan de acción se ejecutará en estrecha colaboración con los protagonistas del sector. Tendrá en cuenta y complementará las actividades en curso a nivel mundial para la normalización en este ámbito. El plan incluye las siguientes líneas de actuación: •

desarrollo de un marco estratégico para la seguridad de los sistemas de información;



definición de las necesidades de los usuarios y de los prestadores de servicios en materia de seguridad de los sistemas de información;



elaboración de soluciones para determinadas necesidades a corto y medio plazo de los usuarios, proveedores y prestadores de servicios;



elaboración de especificaciones, normas y pruebas de certificación respecto a la seguridad de los sistemas de información;



innovaciones técnicas y de funcionamiento en materia de seguridad de los sistemas de información en un marco estratégico general;



puesta en práctica de la seguridad de los sistemas de información.

El anexo adjunto a la decisión presenta en detalle las líneas de actuación del plan de acción. 3.1 COMITÉ El comité será consultado sistemáticamente por la Comisión sobre los asuntos relacionados con la seguridad de los sistemas de información de las distintas actividades de la Comisión, en particular la definición de las estrategias y los programas de trabajo. REFERENCIAS

Acto

Entrada en vigor

Transposición en los Estados miembros

Decisión 92/242/CE

31.3.1992

-

ACTOS CONEXOS 13

Diario Oficial DO L 123 31.3.1992

de

3.2 LUCHA CONTRA LOS DELITOS INFORMÁTICOS Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información [Diario Oficial L 69 de 16.3.2005]. La presente decisión marco tiene por objeto consolidar la cooperación judicial en materia penal en relación con los ataques contra los sistemas de información mediante la aplicación de instrumentos y procedimientos eficaces. Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones - Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos [COM(2000) 890 final - No publicada en el Diario Oficial]. AGENCIA EUROPEA DE SEGURIDAD DE LAS REDES Y DE LA INFORMACIÓN (ENISA) Reglamento (CE) n° 460/2004 del Parlamento Europeo y del Consejo de 10 de marzo de 2004 por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información. A fin de garantizar a los usuarios la mayor seguridad posible, la UE decidió crear la Agencia Europea de Seguridad de las Redes y de la Información ( ENISA ). Su principal objetivo es lograr que la Unión, los Estados miembros y las empresas tengan mayor capacidad de reacción y gestión de los problemas relacionados con la seguridad de las redes y de la información. 4.0 NORMAS ISO SOBRE SEGURIDAD INFORMATICA El pasado primero de julio, ISO publicó "Technical Corrigendum", una corrección técnica para sustituir la numeración "17799" por "27002" en el documento, hasta esa fecha conocido como ISO/IEC 17799:2005. El documento es sólo eso: una corrección en un documento de apenas una hoja, para hacer oficial el nombramiento. La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la seguridad de la información de manera similar a lo realizado con las normas de gestión de la calidad, la serie ISO 9000. La numeración actual de las Normas de la serie ISO/IEC 27000 es la siguiente: 14

En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. Servirá probablemente de base a la ISO27005, que tardará aún algún tiempo en editarse. 4.1 LA SERIE 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. En cuanto a la familia de normas ISO 27000, ésta consiste en una serie documentos referentes a Gestión de Seguridad de la Información, que proporciona una buena herramienta para gestionar este tema en el seno de las organizaciones. 4.1.1. LAS NORMAS QUE CONFORMAN ESTA SERIE SON:

4.1.1.1 ISO 27000: En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. 4.1.1.2 ISO 27001. Éste es el estándar de la familia que permite certificar (especifica requisitos), por entidad acreditada para ello, el Sistema de Gestión de Seguridad de la Información. Basado como otros en el ciclo PDCA (Plan – Do – Check - Act), deriva de la BS 7799-2, la cual fue adoptada por ISO como estándar internacional y lanzada como ISO/IEC 27001:2005. Especifica requisitos para el diseño, implantación, mantenimiento y mejora del SGSI, sus procesos y los controles de aplicación. Es la norma principal de requerimientos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual serán certificados por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, lista en forma de resumen los objetivos de control y controles que desarrolla la ISO17799:2005 (futura ISO27002), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en esta última, la 15

organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. 4.1.1.4

ISO 27002 (ISO 17799):

En fase de desarrollo; probable publicación en 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO17799:2005, que es la que actualmente está en vigor, y que contiene 39 objetivos de control y 133 controles, agrupados en 11 cláusulas. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO17799:2005. ISO 27002 (ISO 17799): Probable publicación en Abril de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Será la sustituta de 1S017799:2005, que es la que actualmente está en vigor, y que contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma 1S027001 contiene un anexo que resume los controles de ISO1 7799:2005. ISO/IEC 27002 es un estándar para la seguridad de la información aplicable a cualquier organización, sea cual sea el tamaño, la actividad de negocio o el volumen del mismo. No obstante, la naturaleza de cada organización determinará el esfuerzo dedicado a proteger unos activos u otros. La norma ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la prevención de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran). Para ello, la norma se estructura en diez dominios que cubren (casi) por completo la Gestión de la Seguridad de la Información: >Políticas de seguridad >Aspectos organizativos >Clasificación y control de activos >Seguridad ligada al personal >Seguridad física y del entorno >Gestión de comunicaciones y operaciones >Control de accesos >Desarrollo y mantenimiento de sistemas >Gestión de continuidad del negocio > Cumplimiento o conformidad de la legislación 16

La norma ISO/IEC 27002 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para este documento. ISO 27003:

4.1.1.5

En fase de desarrollo; probable publicación en Octubre de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. ISO 27004:

4.1.1.6

En fase de desarrollo; probable publicación en Noviembre de 2006. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. 4.1.1.7

ISO 27005:

Probable publicación en 2007 ó 2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335. En fase de desarrollo y probable publicación a finales de 2006. Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs. 4.2

PREGUNTAS BASICAS PARA INPLEMENTAR LAS NORMAS DE SEGURIDAD EN SU EMPRESA

Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas: *4.1 Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr). * 4.2 Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible). *4.3 Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).

17

Las preguntas cuándo y dónde muchas veces no tienen por qué ser respondidas aunque suelen ser tratadas en los procedimientos. Basándose en lo anterior, los documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros: 4.3

POLÍTICA DE SEGURIDAD

* Una política de seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización. A su vez, una política de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, políticas de uso, procedimientos de seguridad e instrucciones técnicas de trabajo. Vamos a ver en qué consisten cada una de ellas. 4.3.1 NORMA DE SEGURIDAD * Una norma de seguridad define qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Sirven para establecer unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc. 4.3.2 PROCEDIMIENTO DE SEGURIDAD * Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son, por tanto, la 18

especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecución. No tiene por qué ser extenso, dado que la intención del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello, puede relacionarse con otros procedimientos o con instrucciones técnicas de seguridad. 4.3.3 PROCEDIMIENTO DE SEGURIDAD * Una procedimiento de seguridad determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual que un procedimiento, son la especificación pormenorizada de los pasos a ejecutar. Una instrucción técnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma. A mayor nivel de detalle, mayor precisión y garantía de su correcta ejecución. 4.3.4 PROCEDIMIENTO DE SEGURIDAD * Una política de uso es un documento destinado a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema, tecnología o recurso. En este caso, deben documentarse las normas de comportamiento que deben cumplir los usuarios en el uso de los sistemas de información o los aspectos generales que se desean regular, así como los usos que son considerados autorizados y los usos no aceptables.Lo importante de este conjunto de documentos que forman el marco normativo es, por un lado, documentar de forma clara y concreta las decisiones establecidas por la organización en materia de seguridad y, por otro, que sean utilizados por todas las personas de la organización para saber qué hacer en cada circunstancia en relación con la protección de la información. Los últimos días del año, el grupo Google ISO27001security.com ha estado tambien tratando la cuestión y el grupo coordinado por Gary Hinson han elaborado un documento titulado "los principales riesgos en seguridad de la 19

información para el 2008" que puede ser descargado en ingles en la siguiente dirección. El documento está licenciado bajo Creative Common y es bastante completo, identificando los diferentes elementos de seguridad que determinarán los riesgos del 2008, como son: -principales amenazas -principales Vulnerabilidades -principales impactos Con todo ello, se determinan cuales podrán ser los riesgos a mitigar este 2008.

Como indica en la propia Web de ISME. "Surge como solución y aproximación para el camino a seguir hacia la implementación de la seguridad de la información en empresas cuyo modelo de seguridad aún no es maduro y desean acometer la labor de implantación de la seguridad de la información y de su sistema de gestión asociado de una forma eficiente, eficaz y práctica, de forma que permita disminuir el riesgo de la organización a corto plazo a la vez que se inicie el camino hacia el cumplimiento de los estándares deseados. IS2ME persigue también un objetivo social ambicioso: el acercamiento de la seguridad de la información a las medianas (y pequeñas) empresas, fomentando así su penetración en la cultura organizacional del tejido empresarial existente y disminuyendo en general el nivel de riesgo asumido por las organizaciones, aumentando con ello su valor y rentabilidad y elevando, por tanto, el nivel económico de la mayoría de las empresas existentes en la actualidad."

5.0 PRINCIPALES CLAVES PARA IMPLANTAR EL ISO 27001

5.1 IDENTIFICAR LOS OBJETIVOS DE NEGOCIO El propósito de la certificación es garantizar la gestión de la seguridad sin olvidar que esto debe contribuir al desarrollo de los servicios o procesos de negocio. La seguridad debe alinearse estratégicamente con la actividad de la organización para darle un mejor soporte y robustez. 5.2 SELECCIONAR UN ALCANCE ADECUADO 20

El esfuerzo en la implementación será proporcional al tamaño del sistema a construir. En muchos casos, no es necesario extender el SGSI a toda la organización sino centrarnos como primer paso en el corazón de la gestión donde se concentra la mayor parte de las actividades relacionadas con la gestión de información, que suele coincidir con las áreas de sistemas de información o con algún departamento donde la seguridad de la información que se gestiona es crítico para el desarrollo de las actividades de negocio. 5.3 DETERMINAR EL NIVEL DE MADUREZ ISO 27001: Debemos identificar en que estado de madurez se encuentra la organización para identificar el esfuerzo que habrá que hacer en la implantación. No va a ser igual en organizaciones que ya han pasado previamente bajo los procesos de certificación de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestión de la mejora continua. 5.3.1 ANALIZAR EL RETORNO DE INVERSIÓN

Es muy importante demostrar que el esfuerzo realizado no será un gasto sino una inversión y que tras implantar los procesos de gestión, se conseguirán efectos colaterales que supondrán un retorno de inversión a considerar. Es dificil justificar el ahorro por los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los indices de incidentes se han reducido. A través de la iniciativa FOROSEC quiero hoy comentar el enlace a la Guía de implantación de sistemas de gestión de la seguridad de la información. FOROSEC es un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio que tiene como objetivo establecer una red experta en seguridad informática enfocada a mejorar la competitividad de las PYMES en los servicios de negocio electrónico. Los organizadores del proyecto son cuatro centros especializados en TICs y seguridad informática: * AIMME (Instituto Tecnológico Metalmecánico), * ESI (European Software Institute), * IAT (Instituto Andaluz de Tecnología) y * ROBOTIKER. Esta guía está redactada en un lenguaje sencillo y puede ser un material muy interesante para realizar una primera aproximación al mundo de los sistemas de gestión de la seguridad de la información (SGSI). En el documento vienen 21

desmenuzadas las diferentes fases del proceso, los documentos mínimos a generar y cuales deben ser los principios y objetivos de abordar un proyecto de semejante transcendencia e importancia para la organización. El desarrollo de la metodología para la implementación acercará a las personas con interés en el tema a cada una de las actividades a desarrollar dentro del diseño y construcción del SGSI. Por último destacar también el anexo 2 en donde se establecen unas pautas y consejos para la elaboración de procedimientos de seguridad. GLOSARIO



Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.



Amenaza: es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.



Impacto: medir la consecuencia al materializarse una amenaza.



Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.



Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.



Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.



Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

22

CONCLUSIONES



Al ingresar al área de seguridad se debe contemplar muy estrechamente las relaciones que hay entre los aspectos: tecnológicos, humano - sociales y administrativos.



Estos casos y muchos otros nos muestran que al realizar la auditoría se debe estudiar con mucho cuidado lo que significan los virus. Y conocer los diferentes tipos como ser: caballo de troya, gusano, trampilla, bomba de tiempo, bomba lógica y los recientes macro virus.

• • •

Pero como principal punto de partida se debe observar que el sistema: No tenga copias ilegales o piratas Que no exista la posibilidad de transmisión de virus al realizar conexiones remotas o de redes. El acceso de unidades de disco flexible sea restringido solo a quienes las necesitan. Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en caso de desastre, señalando la prioridad de cada uno. Con el objetivo

• •

23

que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades. •

Es muy importante manejar con discreción los resultados que se obtengan de los aspectos de seguridad, pues su mala difusión podría causar daños mayores. Esta información no debe ser divulgada y se la debe mantener como reservada.

BIBLIOGRAFIA



http://seguridadit.blogspot.com/2006/01/norma-iso-17799-vs-iso27001.html



http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica



SARA (http://www-arc.com/sara)



SAINT™ (http://www.wwdsi.com/saint) 24



(http://www.microsoft.com/technet/security/tools/Tools/mbsahome.asp)



Fresh Diagnose (http://www.freshdevices.com/freshdiag.html)



http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml



http://www.iso27000.es/herramientas.html

25

Related Documents

Word1
August 2019 12
Seguridad A Doc Word[1]
October 2019 6
Word1.docx
May 2020 8
Catalog Word1
May 2020 9
Practica P4. Word1
May 2020 3