ISO 17779
La ISO 17799 es una norma internacional que ofrece
recomendaciones para realizar la
gestión de la seguridad de la información dirigidas a los responsables
de iniciar, implantar o mantener la seguridad de una organización.
Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como
estándar internacional, es el más extendido y aceptado.
El objetivo
de la norma ISO 17799 es proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones, un método de gestión eficaz
de la seguridad y para establecer transacciones y relaciones de confianza entre
las empresas.
La norma ISO 17799:2005 establece once dominios de control que cubren por completo la Gestión de la Seguridad de la Información:
1. Política de
seguridad: Dirigir y dar soporte a la Gestión de la seguridad
de la información -directrices y recomendaciones-
2. Aspectos
organizativos de la seguridad: Gestión dentro de la Organización
(recursos, activos, tercerización, etc.)
3.
Clasificación y control de activos: Inventario y nivel de protección de los activos.
4. Seguridad
ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos.
5. Seguridad
física y del entorno: Evitar accesos no autorizados, violación,
daños o perturbaciones a las instalaciones y a los datos.
6. Gestión de
comunicaciones y operaciones: Asegurar la operación correcta y segura de
los recursos de tratamiento de información.
7.
Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios, computadores, redes,
etc)
8. Desarrollo
y mantenimiento de sistemas: Asegurar que la seguridad está incorporada
dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.
9. Gestión de
incidentes: Gestionar los incidentes que afectan la seguridad
de la información.
10. Gestión de
continuidad del negocio: Reaccionar a la interrupción de las
actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o desastres.
11.
Conformidad con la legislación: Evitar el incumplimiento de
leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.
ES MUY IMPORTANTE TENER CLARO:
Ø
La norma ISO 17799 no es una norma tecnológica.
Ø
La seguridad de la información es un
asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un
asunto empresarial.
Ø
La gente toma decisiones de seguridad
basados en los riesgos percibidos no en los riesgos reales, por lo cual el
análisis de riesgos es fundamental para los negocios
ISO 27001
•
Este estándar internacional adopta un
proceso para establecer, implementar, operar, monitorizar, revisar, mantener y
mejorar el ISMS (Information security manegement system) en una organización.
•
Una organización necesita identificar y
administrar cualquier tipo de actividad para funcionar eficientemente.
•
Cualquier actividad que emplea recursos y
es administrada para transformar entradas en salidas, puede ser considerada
como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como
entradas, generando una realimentación de los mismos.
MODELO
PLAN-DO-CHEK-ACT (PDCA)
ü
Plan
(Establecer el ISMS): Implica, establecer a política ISMS, sus
objetivos, procesos, procedimientos relevantes para la administración de
riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y
objetivos de toda la organización.
ü
Do
(Implementar y operar el ISMS): Representa la forma en que se debe operar
e implementar la política, controles, procesos y procedimientos.
ü
Check
(Monitorizar y revisar el ISMS): Analizar y medir donde sea
aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar
objetivos, experiencias e informar los resultados a la administración para su
revisión.
ü
Act
(Mantener y mejorar el ISMS): Realizar las acciones preventivas y
correctivas, basados en las auditorías internas y revisiones del ISMS o
cualquier otra información relevante para permitir la continua mejora del ISMS.
Los requerimientos de este estándar internacional,
son genéricos y aplicables a la totalidad de las organizaciones.
Sin embargo, hay 5 clausulas, tales como:
- ISMS
- Responsabilidad de la administracion
- Auditoria Interna ISMS
- Administracion de las revisiones ISMS
- Mejoras del ISMS
Cualquier exclusión a los controles detallados por
la norma y denominados como “necesarios” para satisfacer los criterios de
aceptación de riegos, debe ser justificada y se debe poner de manifiesto, o
evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado.
ISMS
La organización, establecerá, implementará,
operará, monitorizará, revisará, mantendrá y mejorará un documentado ISMS en el
contexto de su propia organización para las actividades globales de su negocio
y de cara a los riesgos. Para este propósito esta norma el proceso está basado
en el modelo PDCA.
CONTROL DE DOCUMENTOS
Todos los documentos requeridos por el ISMS serán
protegidos y controlados. Un procedimiento documentado deberá establecer las
acciones de administración necesarias para:
•
Aprobar documentos y prioridades o
clasificación de empleo.
•
Revisiones, actualizaciones y
reaprobaciones de documentos.
•
Asegurar que los cambios y las revisiones
de documentos sean identificados.
•
Asegurar que las últimas versiones de los
documentos aplicables estén disponibles y listas para ser
usadas.
RESPONSABILIDAD DE LA ADMINISTRACION
La administración proveerá evidencias de sus
compromisos para el establecimiento, implementación, operación, monitorización,
mantenimiento y mejora del ISMS a través de:
•
Establecimiento de la política del ISMS
•
Asegurar el establecimiento de los
objetivos y planes del ISMS.
•
Establecer roles y responsabilidades para
la seguridad de la información.
•
Comunicar y concienciar a la organización
sobre la importancia y apoyo necesario a los objetivos propuestos por la
política de seguridad, sus responsabilidades legales y la necesidad de una
continua mejora en este aspecto.
AUDITORIA INTERNA DE ISMS
•
La organización realizará auditorías
internas al ISMS a intervalos planeados para determinar si los controles, sus
objetivos, los procesos y procedimientos continúan de conformidad a esta norma
y para analizar y planificar acciones de mejora.
•
Ninguna persona podrá auditar su propio
trabajo, ni cualquier otro que guarde relación con él.
•
La responsabilidad y requerimientos para
el planeamiento y la conducción de las actividades de auditoría, los informes
resultantes y el mantenimiento de los registros será definido en un
procedimiento.
ADMINISTRACION DE LAS REVISIONES DE ISMS
•
Las revisiones mencionadas en la auditoría
interna de ISMS deberán llevarse a cabo al menos una vez al año para asegurar
su vigencia, adecuación y efectividad.
•
Estas revisiones incluirán valoración de
oportunidades para mejorar o cambiar el ISMS incluyendo la política de
seguridad de la información y sus objetivos.
•
Los resultados de estas revisiones, como
se mencionó en la auditoría interna ISMS, serán claramente documentados y los
mismos darán origen a esta actividad.
MEJORAS ISMS
La organización deberá mejorar continuamente la
eficiencia del ISMS a través del empleo de la política de seguridad de la
información, sus objetivos, el resultado de las auditorías, el análisis y
monitorización de eventos, las acciones preventivas y correctivas y las
revisiones de administración.