Académique Documents
Professionnel Documents
Culture Documents
- BS 17799
* * BS 17799 * *
BS 17799 es un cdigo de prcticas o de orientacin o documento de referencia se basa
en las mejores prcticas de seguridad de la informacin, esto define un proceso para
evaluar, implementar, mantener y administrar la seguridad de la informacin.
Caractersticas
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de
control y controles de 134 no se utiliza para la evaluacin y el registro de esta tarde fue
rebautizado con la norma ISO 27002OBJETIVO.
Objetivo
El objetivo es proporcionar una base comn para desarrollar normas de seguridad dentro
de las organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer
transacciones y relaciones de confianza entre las empresas.
Alcance
-Aumento de la seguridad efectiva de los Sistemas de informacin.
- Correcta planificacin y gestin de la Seguridad
- Garantas de continuidad del negocio.Auditora interna
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organizacin.
Enfoque
* Responsabilidad de la direccin.
* Enfoque al cliente en las organizaciones educativas.
* La poltica de calidad en las organizaciones educativas.
* Planificacin: Definir los objetivos de calidad y las actividades y recursos necesarios .
Para alcanzar los objetivos
* Responsabilidad, autoridad y comunicacin.
* Provisin y gestin de los recursos.
* Recursos humanos competentes.
* Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso.
Educativo
* Planificacin y realizacin del producto.
* Diseo y desarrollo.
* Proceso de compras.
* Control de los dispositivos de seguimiento y medicin.
* Satisfaccin del cliente.
* Auditoria Interna ISO.
* Revisin y disposicin de las no conformidades.
* Anlisis de datos.
* Proceso de mejora.
ISO/IEC 17799
Se ha sugerido que este artculo sea renombrado como ISO 27002 .
Motivo: La norma se ha actualizado y su denominacin ISO/IEC 17799 ya no est vigente. Es necesario mantener la Wikipedia
actualizada, no tendra porque tener informacin obsoleta tratndose de una enciclopedia digital. (Discusin)
ISO/IEC 17799 (denominada tambin como ISO 27002) es un estndar para la seguridad de la informacin publicado por
primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisin Electrotcnica
Internacional en el ao2000, con el ttulo de Information technology - Security techniques - Code of practice for information
security management. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao 2005 el
documento actualizado denominado ISO/IEC 17799:2005. El estndar ISO/IEC 17799 tiene su origen en el British Standard BS
7799-1 que fue publicado por primera vez en1995.
Contenido
[ocultar]
[editar]Publicacin
En Espaa existe la publicacin nacional UNE-ISO/IEC 17799 que fue elaborada por el comit tcnico AEN/CTN 71 y
titulada Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin, que es una copia idntica y traducida
del ingls de la Norma Internacional ISO/IEC 17799:2000. La edicin en espaol equivalente a la revisin ISO/IEC 17799:2005
se estima que est disponible en la segunda mitad del ao 2006.
En Per la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones pblicas desde agosto del 2004, cuando era
Jefe de la ONGEI - PCM, el Ing. Rafael Parra Erkel, quin aprob la iniciativa, estandarizando de esta forma los diversos
proyectos y metodologas en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de
datos institucionales, la supervisin de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electrnico e
Informtica - ONGEI (www.ongei.gob.pe).
En Chile, se emple la ISO/IEC 17799:2005 para disear la norma que establece las caractersticas mnimas obligatorias de
seguridad y confidencialidad que deben cumplir los documento electrnicos de los rganos de la Administracin del Estado de
la Repblica de Chile, y cuya aplicacin se recomienda para los mismos fines, denominado Decreto Supremo No. 83, "NORMA
TCNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRNICO".
En Bolivia, se aprob la primera traduccin bajo la sigla NB ISO/IEC 17799:2003 por el Instituto de Normalizacion y calidad
IBNORCA el 14 de noviembre del ao 2003. Durante el ao 2007 se aprobo una actualizacion a la norma bajo la sigla NB
ISO/IEC 17799:2005. Actualmente el IBNORCA ha emitido la norma NB ISO/IEC 27001 y NB ISO/IEC 27002.
El estndar ISO/IEC 17799 tiene equivalentes directos en muchos otros pases. La traduccin y publicacin local suele demorar
varios meses hasta que el principal estndar ISO/IEC es revisado y liberado, pero el estndar nacional logra as asegurar que
el contenido haya sido precisamente traducido y refleje completa y fehacientemente el estndar ISO/IEC 17799. A continuacin
se muestra una tabla con los estndares equivalentes de diversos pases:
Pases
Estndar equivalente
del estndar
ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos
los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La
seguridad de la informacin se define en el estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de
proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a
sus activos asociados cuando lo requieran)".
La versin de 2005 del estndar incluye las siguientes once secciones principales:
1. Poltica de Seguridad de la Informacin.
2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada
uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las
secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias
necesidades.
Con la aprobacin de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeracin 27.000 para la seguridad de la
informacin, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisin y actualizacin de
sus contenidos en el 2007.
[editar]Certificacin
La norma ISO/IEC 17799 es una gua de buenas prcticas y no especifica los requisitos necesarios que puedan permitir el
establecimiento de un sistema de certificacin adecuado para este documento.
La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems Requirements) s es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestin de la Seguridad de la Informacin segn el famoso Crculo de Deming: PDCA - acrnimo
de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC
17799 y tiene su origen en la norma britnica British Standard BS 7799-2 publicada por primera vez en 1998 y elaborada con el
propsito de poder certificar los Sistemas de Gestin de la Seguridad de la Informacin implantados en las organizaciones y por
medio de un proceso formal de auditora realizado por un tercero.
Recin en diciembre del 2000 la organizacin de estndares internacionales (ISO) incorpora la primera
parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de
orientacin y recomendaciones en el rea de Seguridad de la informacin.
En el ao 2005 hubo cambios interesantes a nivel de ISO 17799 y de COBIT (con su nueva versin 4.0).
En cuanto a la norma ISO, las novedades son ms que interesantes. Hasta ahora muchas compaas se
alineaban a la 17799:2000 y luego tenan que certificar la norma BS 7799:2002 dado que ISO no haba
reglamentado las caractersticas de un Sistema de Gestin de Seguridad de la Informacin.
La buena noticia es que a partir de ahora se podr certificar con la nueva norma ISO/IEC 27001.
Entonces, hoy el marco terico es la ISO/IEC 17799:2005 y el marco prctico paso a ser la ISO/IEC
27001:2005. Esta ltima define el Sistema de Gestin de la Seguridad de la Informacin (SGSI). Con
estos cambios la ISO 17799:2005 que con el tiempo deber ser reemplazada por la ISO 27001 marco
terico, se incluyen novedades importantes:
1. Se agrega un nuevo dominio (Administracin de incidentes de la seguridad de la informacin), es
decir que ahora son 11 dominios.
2. Un marco terico ms fcil de aplicar, ya que cada dominio incluye el objetivo de control especfico, el
marco de implementacin y un anexo de informacin adicional. Esto permite establecer un tablero de
control ms simple e incluso auditarlo con COBIT.
3. Se han realizado actualizaciones tecnolgicas, ya que la ltima revisin era del ao 2002, y recordemos
que un ao la tecnologa cambia bastante. Por ejemplo en el dominio que hace referencia al control de
acceso (Dominio 7), se incluye los controles sobre redes inalmbricas y tecnologas similares que deben
estar incluidas como controles en las polticas de seguridad.
4. Se ha incluido un control sobre la entrega de servicios por terceras partes (Service Delivery). Si bien
algo se mencionaba en la versin anterior, se han reformulado las definiciones.
5. Se ha incluido un apartado sobre el aceptable uso de los activos. Recordemos que muchas veces por
implementar escenarios muy seguros, hacemos imposible el uso del recurso para el usuario que debe
accederlo.
6. Se agrega un apartado sobre la gestin de riesgo. No olvidemos, que si bien toda compaa debe tener
un nivel de riesgo aceptado, la idea de la NORMA ISO 27001:2005 es definir el manejo de riesgo de la
compaa. La seguridad total no existe, por lo tanto debemos tener definido como actuar ante una
situacin especial.
7. Incluye referencias importantes con el manejo de contrasea.
8. En COBIT figuraba el manejo de cdigo fuente dentro los controles. Esta vez ISO ha incluido ese
manejo dentro de los dominios.
9. Se ha agregado un apartado para el manejo de vulnerabilidades.
Sin dudas, esta versin es ms fcil de interpretar y de llevarla a la prctica, ya que son ms claros los
objetivos de cada uno de los controles de los dominios.
Recuerden, que como toda norma ISO, es una visin holstica y toda la compaa deber acompaar el
proceso de certificacin. El primer gran logro que deben obtener, es la confirmacin por escrito de la
gerencia que se desea lograr la alineacin del estndar.
Mas all de los deseos o necesidades de certificar ISO 27001, recomendamos a las compaas, usar estas
nuevas versiones como gua y descartar las versiones anteriores. Obtener un buen sistema de gestin de
la informacin no depende de la tecnologa que utilicemos en nuestra empresa, sino en mayor medida de
los procesos y las personas involucradas, con el objetivo de preservar el valor actual y futuro de nuestras
organizaciones.
Finalmente recordemos que ser un proyecto de cambio organizacional con mltiples facetas, incluido un
alto componente de consideraciones legales.
Organizacin de seguridad: definir los roles y las responsabilidades. Monitorear a los socios y a las empresas
tercerizadas
Clasificacin y control de activos: llevar un inventario de los bienes de la compaa y definir cun crticos son as
como sus riesgos asociados
Seguridad fsica y del entorno: rea de seguridad, inventarios del equipamiento de seguridad
Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)
Desarrollo y mantenimiento del sistema: consideracin de la seguridad en sistemas desde el diseo hasta el
mantenimiento
Contratacin: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compaa
recursos de informacin accesibles por terceros. 3) Para mantener la seguridad de la informacin cuando
la responsabilidad para el procesamiento de la informacin ha sido subcontratado a otra organizacin.
Ordenador y Gestin de la Red
Los objetivos de esta seccin son: 1) Para garantizar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de informacin, 2) Para minimizar el riesgo de fallas en los sistemas, y 3)
Para proteger la integridad del software y de la informacin, 4) A fin de mantener la integridad y la
disponibilidad de procesamiento de la informacin y la comunicacin; 5) A fin de garantizar la proteccin
de la informacin en las redes y la proteccin de la infraestructura de apoyo, 6) Para evitar daos a los
activos e interrupciones a las actividades empresariales; 7) Para evitar la prdida, modificacin o mal uso
de la informacin intercambiada entre organizaciones.
Clasificacin y control de activos
Los objetivos de esta seccin son: Mantenimiento de la proteccin adecuada de los activos de la empresa
y asegurar que los activos de informacin reciban un nivel adecuado de proteccin.
Poltica de Seguridad
Los objetivos de esta seccin son: Proporcionar orientacin y apoyo a la gestin de seguridad de la
informacin.
ISO 27000
La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El
aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para
la organizacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que aborde esta tarea
de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos
a los que est sometida la informacin de la organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de
gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o
pequea.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cmo puede una
organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su inters a travs del submen de la izquierda o siguiendo los marcadores de
final de pgina.
La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin
reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Las normas que incluye se enumeran a continuacin
(toda la informacin disponible pblicamente sobre el desarrollo de las normas de la serie 27000 puede consultarse en
las pginas web del subcomit JTC1/SC27: 1 y 2):
ISO/IEC 27000:
Publicada el 1 de Mayo de 2009. Esta norma proporciona una visin general de las normas que componen la serie
27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del ciclo
Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000. En Espaa, esta norma no est
traducida, pero s en Uruguay (UNIT-ISO/IEC 27000). El original en ingls y su traduccin al francs pueden
descargarse gratuitamente destandards.iso.org/ittf/PubliclyAvailableStandards. Est siendo revisada, con fecha
prevista de segunda edicin Mayo de 2013.
[editar]La
Serie 27000
La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares ISO/IEC:
ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y vocabulario a ser empleado en toda la serie
27000. Se puede utilizar para tener un entendimiento ms claro de la serie y la relacin entre los diferentes documentos
que la conforman.
ISO 27002: (anteriormente denominada ISO17799).Gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la informacin con 11 dominios, 39 objetivos de control y 133 controles.
ISO 27003: En fase de desarrollo; probable publicacin en 2009. Contendr una gua de implementacin de SGSI e
informacin acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de
la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas
de implantacin.
ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas de medida aplicables para
determinar la eficiencia y eficacia de la implantacin de un SGSI y de los controles relacionados.
ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del riesgo de la seguridad de la
informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI. Incluye partes de la ISO 13335.
ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditacin de entidades de auditora y
ISO 27001
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin
de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con
arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en
forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados
por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los
controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los
controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNEISO/IEC 27001:2007 y puede adquirirse online en AENOR (tambin en lengua gallega). En 2009, se public un
documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est
publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC
27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), Mxico (NMX-I-041/02-NYCE)
o Uruguay (UNIT-ISO/IEC 27001). El original en ingls y la traduccin al francs pueden adquirirse en iso.org.
Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de
publicacin de segunda edicin en Mayo de 2013.
ISO 27001
La ISO 27001 es un Estndar Internacional de Sistemas de Gestin de Seguridad de la
Informacin que permite a una organizacin evaluar su riesgo e implementar controles
apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de
la informacin.
El objetivo fundamental es proteger la informacin de su organizacin para que no caiga
en manos incorrectas o se pierda para siempre.
ISO/IEC 27001
El estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques - Information
security management systems - Requirements) fue aprobado y publicado como estndar internacional en octubre de 2005
por International Organization for Standardization y por la comisin International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de
la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen
en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).
[editar]Evolucin
Espaa
En el ao 2004 se public la UNE 71502 titulada Especificaciones para los Sistemas de Gestin de la Seguridad de la
Informacin (SGSI) y que fue elaborada por el comit tcnico AEN/CTN 71. Es una adaptacin nacional de la norma britnica
British Standard BS 7799-2:2002.
Con la publicacin de UNE-ISO/IEC 27001 (traduccin al espaol del original ingls) dej de estar vigente la UNE 71502 y las
empresas nacionales certificadas en esta ltima estn pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001.
BENEFICIOS: El hecho de certificar un SGSI segn la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la
organizacin:
-Demuestra la garanta independiente de los controles internos y cumple los requisitos de gestin corporativa y de continuidad
de la actividad comercial.
-Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacin. Proporciona una ventaja
competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su informacin es primordial.
-Verifica independientemente que los riesgos de la organizacin estn correctamente identificados, evaluados y gestionados al
tiempo que formaliza unos procesos, procedimientos y documentacin de proteccin de la informacin.
-Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la informacin.
-El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones
que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del cdigo profesional, ISO/IEC 17799
no logran estas ventajas.
[editar]Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una duracin entre 6 y 12 meses,
dependiendo del grado de madurez en seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la
organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin (en adelante SGSI) elegido. En
general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de informacin y sus procesos de
trabajo a las exigencias de las normativas legales de proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de
desarrollo, siendo el ms importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgnica de
Proteccin de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la informacin mediante la aplicacin
de las buenas prcticas de ISO/IEC 27002, partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantacin debe estar formado por representantes de todas las reas de la organizacin que se
vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados en seguridad
informtica generalmente Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas tecnologas, proteccin de
datos y sistemas de gestin de seguridad de la informacin (que hayan realizado un curso de implantador de SGSI).
[editar]Certificacin
La certificacin de un SGSI es un proceso mediante el cual una entidad de certificacin externa, independiente y acreditada
audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso
positivo, emite el correspondiente certificado.
Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran certificadas segn el estndar britnico
BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificacin ISO/IEC 27001 en su primera certificacin con
xito o mediante su recertificacin trienal, puesto que la certificacin BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de Gestin de la Seguridad de la Informacin (SGSI) con el
Sistema de Gestin de la Calidad segn ISO 9001:2000 y con el Sistema de Gestin Medio Ambiental segn ISO 14001:2004
(ver ISO 14000), hasta el punto de poder llegar a certificar una organizacin en varias normas y con base en un sistema de
gestin comn.
La Fase de planificacin: esta fase sirve para planificar la organizacin bsica y establecer
los objetivos de la seguridad de la informacin y para escoger los controles adecuados de
seguridad (la norma contiene un catlogo de 133 posibles controles).
El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas
cclicamente para mantener la eficacia del SGSI.
Documentos de ISO 27001
La norma ISO 27001 requiere los siguientes documentos:
declaracin de aplicabilidad;
registros.
identificacin de la metodologa para evaluar los riesgos y determinar los criterios para la
aceptabilidad de riesgos;
redaccin de una declaracin de aplicabilidad que detalle todos los controles aplicables,
determine cules ya han sido implementados y cules no son aplicables.
La Fase de implementacin
Esta fase incluye las siguientes actividades:
redaccin de un plan de tratamiento del riesgo que describe quin, cmo, cundo y con
qu presupuesto se deberan implementar los controles correspondientes;
La Fase de verificacin
Esta fase incluye lo siguiente:
revisiones por parte de la direccin para asegurar el funcionamiento del SGSI y para
identificar oportunidades de mejoras;
ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una
gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la
informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se
ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de
ISO 27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta
en AENOR). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC
27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002),Chile (NChISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita). El original en ingls y su
traduccin al francs pueden adquirirse eniso.org. Actualmente, este estndar se encuentra en periodo de revisin en
el subcomit ISO SC27, con fecha prevista de publicacin de la segunda edicin en Mayo de 2014.
Introduccin
Objetivos
Justificacin
Conocimientos preliminares
Estndar Internacional ISO/IEC 27002 (antiguamente ISO/IEC 17799)
Conclusin
Recomendaciones
Bibliografa
Glosario
Resumen general del Estndar Internacional ISO/IEC 27002
Introduccin
Actualmente la tendencia de la gran mayora de las empresas dedicadas o relacionadas con las tecnologas de
informacin, es enfocar sus procesos a transacciones y operaciones en red. La seguridad informtica siempre ha sido
importante, desde los inicios de las computadoras, pero ahora se ha agudizado ms la importancia de contar con buenos
mecanismos de seguridad debido a que los riesgos y amenazas no solamente consisten en que personas que se
encuentren en el rea geogrfica donde estn las computadoras, roben informacin, sino que ahora tambin existen
riesgos de robo o accesos no autorizados a informacin mediante las diferentes redes que interconectan a las
computadoras o a cualquier equipo tecnolgico utilizado para transmitir informacin digital.
Actualmente se cuenta con Estndares Internacionales muy bien aceptados, que proporcionan mecanismos de
seguridad que han sido estudiados detenidamente y que se han puesto a prueba, concluyendo en que los resultados que
ofrecen son los ideales y que deberan ser implementados por todas las organizaciones relacionadas a las tecnologas
de la informacin.
En este documento se habla especficamente del Estndar Internacional ISO/IEC 27002, el cual trata
especficamente sobre aspectos de seguridad en las tecnologas de informacin.
Objetivos
Objetivo general
Conocer qu es y para qu sirve el Estndar Internacional ISO/IEC 27002.
Objetivos especficos
Justificacin
Aunque muchas empresas le restan valor o importancia al aspecto de seguridad, no se puede dudar que las
prdidas por la falta de seguridad pueden ser tremendamente caras, tanto en materia econmica como en cuanto a
prestigio, nivel de ventas, problemas legales, daos a empleados de la organizacin o a terceros (por ejemplo si se
divulgara informacin confidencial luego de un ataque a un sistema), etc.
En vista de la importancia que tiene la seguridad en las tecnologas de informacin, se afirma que estudiar no
solamente buenas prcticas y consejos sabios de personas que llevan una gran trayectoria en el rea de la informtica,
sino que ms an, Normas Internacionales certificables, es un beneficio de grandes magnitudes para cualquier
organizacin. Por ello se justifica que el estudio de la Norma Internacional ISO/IEC 27002 es totalmente necesario para
cualquier organizacin que tenga que ver de alguna forma con aspectos relacionados a tecnologas de informacin.
Conocimientos preliminares
Antes de comenzar con el estudio de las normas ISO 17799 e ISO 27002, se definirn dos conceptos relevantes,
y la diferencia entre ambos:
Norma: principio que se impone o se adopta para dirigir la conducta o la correcta realizacin de una accin o el
correcto desarrollo de una actividad.
Buena prctica: son aquellas acciones que se caracterizan por haber logrado cumplir eficazmente las metas
planteadas, y que luego de la evaluacin de resultados, se ha concluido que proporcionan beneficios ptimos en
la mayora de casos, de modo que se son prcticas replicables y tiles para implementar.
Diferencia entre una norma y una buena prctica: una norma es certificable por las entidades
correspondientes, mientras que una buena prctica no es certificable, sino que slo se tiene como una buena
alternativa por haber sido demostrado que ha funcionado en la gran mayora de casos.
Se debe saber que las normas ISO son precisamente normas, no simplemente buenas prcticas. Por lo tanto
todas las normas ISO son certificables, y es por esa razn que se ve por ejemplo en algunos productos comerciales que
se venden en los supermercados, una etiqueta de certificacin ISO, que garantiza la calidad de un producto en algn
aspecto especfico, dependiendo del nmero de la norma ISO a la que se haga referencia.
1
Qu es ISO?
ISO es el acrnimo de International Organization for Standardization. Aunque si se observan las iniciales para el
acrnimo, el nombre debera ser IOS, los fundadores decidieron que fuera ISO, derivado del griego isos, que significa
igual. Por lo tanto, en cualquier pas o en cualquier idioma, el nombre de la institucin es ISO, y no cambia de acuerdo a
la traduccin de International Organization for Standardization que corresponda a cada idioma. Se trata de la
organizacin desarrolladora y publicadora de Estndares Internacionales ms grande en el mundo. ISO es una red de
instituciones de estndares nacionales de 157 pases, donde hay un miembro por pas, con una Secretara Central en
Geneva, Suiza, que es la que coordina el sistema.
ISO es una organizacin no gubernamental que forma un puente entre los sectores pblicos y privados.
Respecto al origen de la organizacin ISO, oficialmente comenz sus operaciones el 23 de febrero de 1947 en
Geneva, Suiza. Naci con el objetivo de facilitar la coordinacin internacional y la unificacin de los estndares
industriales.
2
Qu es IEC?
IEC es el acrnimo de International Electrotechnical Commission. Esta es una organizacin sin fines de lucro y
tambin no gubernamental. Se ocupa de preparar y publicar estndares internacionales para todas las tecnologas
elctricas o relacionadas a la electrnica.
IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estndares globales a
las industrias electrotcnicas mundiales. Aunque como se acaba de decir, IEC naci en el Reino Unido, en el ao de
1948 movieron su sede a Geneva, Suiza, ciudad en la que tambin se encuentra la sede de ISO.
3
ISO/IEC JTC1
ISO e IEC han establecido un comit tcnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical
Committee). Este comit trata con todos los asuntos de tecnologa de la informacin. La mayora del trabajo de ISO/IEC
JTC1 es hecho por subcomits que tratan con un campo o rea en particular. Especficamente el subcomit SC 27 es el
que se encarga de las tcnicas de seguridad de las tecnologas de informacin. Dicho subcomit ha venido desarrollando
una familia de Estndares Internacionales para el Sistema Gestin y Seguridad de la Informacin. La familia incluye
Estndares Internacionales sobre requerimientos, gestin de riesgos, mtrica y medicin, y el lineamiento de
implementacin del sistema de gestin de seguridad de la informacin. Esta familia adopt el esquema de numeracin
utilizando las series del nmero 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones del
ISO/IEC 17799 se encuentran bajo el esquema de numeracin con el nombre ISO/IEC 27002.
4
Seguridad de la informacin
Debido a que la informacin es un activo no menos importante que otros activos comerciales, es esencial para
cualquier negocio u organizacin contar con las medidas adecuadas de proteccin de la informacin, especialmente en la
actualidad, donde la informacin se difunde a travs de miles y miles de redes interconectadas. Esto multiplica la
cantidad de amenazas y vulnerabilidades a las que queda expuesta la informacin.
La informacin puede existir en muchas formas, por ejemplo puede estar impresa o escrita en papel, almacenada
electrnicamente, transmitida por correo o utilizando medios electrnicos, hablada en una conversacin, etc. Sea cual
sea la forma en la que se tenga la informacin, debe estar en todo caso protegida.
La seguridad de la informacin se logra implementando un conjunto adecuado de controles, polticas, procesos,
procedimientos, estructuras organizacionales, y otras acciones que hagan que la informacin pueda ser accedida slo
por aquellas personas que estn debidamente autorizadas para hacerlo.
Es importante y necesario para las empresas realizar una evaluacin de riesgos para identificar amenazas para
los activos, as como tambin para conocer y analizar la vulnerabilidad y la probabilidad de ocurrencia de accesos, robo o
alteracin de la informacin, y el impacto potencial que esto llegara a tener. Una vez se hayan identificado los riesgos, se
procede a seleccionar controles apropiados a implementar para asegurar que los riesgos se reduzcan a un nivel
aceptable.
5
Vulnerabilidad
Es una debilidad o agujero en la seguridad de la informacin, que se puede dar por causas como las siguientes,
entre muchas otras:
Falta de mantenimiento
Personal sin los conocimientos adecuados o necesarios
Desactualizacin de los sistemas crticos
6
Amenaza
Es una declaracin intencionada de hacer un dao, como por ejemplo mediante un virus, un acceso no
autorizado o robo. Pero no se debe pensar que nicamente personas pueden ser los causantes de estos daos, pues
existen otros factores como los eventos naturales, que son capaces de desencadenar daos materiales o prdidas
inmateriales en los activos, y son tambin consideradas como amenazas.
7
Ataque
Es una accin intencional e injustificada (desde el punto de vista del atacado). Consiste en un intento por romper
la seguridad de un sistema o de un componente del sistema.
8
Riesgo
Es una potencial explotacin de una vulnerabilidad de un activo de informacin por una amenaza. Se valora
como una funcin del impacto, amenaza, vulnerabilidad y de la probabilidad de un ataque exitoso.
9
Atacante
Es alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una
vulnerabilidad.
Los atacantes pueden ser internos (que pertenecen a la organizacin) o externos (que no pertenecen a la
organizacin). Respecto a los atacantes internos, son difciles de detener porque la organizacin est en muchas
maneras forzada a confiar en ellos. Estos conocen cmo trabaja el sistema y cules son sus debilidades. Quizs el error
ms comn de seguridad es gastar considerables recursos combatiendo a los atacantes externos, ignorando las
amenazas internas.
En este apartado se habla de un conjunto de trminos y definiciones que se presentan al final de este
documento, en el Glosario, que son las definiciones de:
Activo
Control
Lineamiento
Medios de procesamiento de la informacin
Seguridad de la informacin
Evento de seguridad de la informacin
Incidente de seguridad de la informacin
Poltica
Riesgo
Anlisis de riesgo
Evaluacin del riesgo
Gestin del riesgo
Tratamiento del riesgo
Tercera persona
Amenaza
Vulnerabilidad
2.3. Estructura de este Estndar
Este Estndar contiene un nmero de categoras de seguridad principales, entre las cuales se tienen once
clusulas:
a
b
c
d
e
f
g
h
i
j
k
Poltica de seguridad.
Aspectos organizativos de la seguridad de la informacin.
Gestin de activos.
Seguridad ligada a los recursos humanos.
Seguridad fsica y ambiental.
Gestin de comunicaciones y operaciones.
Control de acceso.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.
Gestin de incidentes en la seguridad de la informacin.
Gestin de la continuidad del negocio.
Cumplimiento.
2.4. Evaluacin de los riesgos de seguridad
Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a
cada uno de los riesgos, aplicando medidas adecuadas de control para reducir la probabilidad de que ocurran
consecuencias negativas al no tener una buena seguridad.
La reduccin de riesgos no puede ser un proceso arbitrario y regido por la voluntad de los dueos o
administradores de la empresa, sino que adems de seguir medidas adecuadas y eficientes, se deben tener en cuenta
los requerimientos y restricciones de la legislacin y las regulaciones nacionales e internacionales, objetivos
organizacionales, bienestar de clientes y trabajadores, costos de implementacin y operacin (pues existen medidas de
seguridad de gran calidad pero excesivamente caras, tanto que es ms cara la seguridad que la propia ganancia de una
empresa, afectando la rentabilidad).
Se debe saber que ningn conjunto de controles puede lograr la seguridad completa, pero que s es posible
reducir al mximo los riesgos que amenacen con afectar la seguridad en una organizacin.
2.5. Poltica de seguridad
USB son de uso global y por lo tanto, las polticas de seguridad deberan considerar bloquear puertos USB o algo por el
estilo, para no permitir que se extraiga informacin de esa manera de forma ilcita o por personas no autorizadas.
Otro problema sera tener excelentes polticas de seguridad, pero que no sean implementadas correctamente o
que simplemente se queden a nivel terico y que no se apliquen. En la vida real se suelen dar casos donde las leyes
estn muy bien redactadas, pero que no se cumplen. Sucede en muchos pases, que la legislacin puede estar
estructurada muy bien, pero que no se respeta. Igualmente podra darse que se tengan excelentes polticas, pero que no
se cumplan o que no se sepan implementar correctamente. Por lo tanto, se requieren lineamientos de implementacin
adecuados.
2.6. Aspectos organizativos de la seguridad de la informacin
Se deben asignar responsabilidades por cada uno de los activos de la organizacin, as como poseer un
inventario actualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la
clasificacin de todos los activos. Para esto el departamento de contabilidad tendr que hacer un buen trabajo en cuanto
a esta clasificacin y desglose de activos, y el departamento de leyes de la empresa tambin tendr que ser muy
metdico en estos procesos, ya que los activos son todos los bienes y recursos que posee una empresa, incluyendo
bienes muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia.
El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y
sean idneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los
medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser
simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. Tambin deben existir
capacitaciones peridicas para concientizar y proporcionar formacin y procesos disciplinarios relacionados a la
seguridad y responsabilidad de los recursos humanos en este mbito.
Tambin se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de
trabajo, para que la persona no se vaya simplemente y deje a la organizacin afectada de alguna manera en materia de
seguridad.
2.9. Seguridad fsica y ambiental
La seguridad fsica y ambiental se divide en reas seguras y seguridad de los equipos. Respecto a las reas
seguras, se refiere a un permetro de seguridad fsica que cuente con barreras o lmites tales como paredes, rejas de
entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las reas que contienen
informacin y medios de procesamiento de informacin.
Se debe tambin contar con controles fsicos de entrada, tales como puertas con llave, etc. Adems de eso, es
necesario considerar la seguridad fsica con respecto a amenazas externas y de origen ambiental, como incendios (para
los cuales deben haber extintores adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones,
atentados terroristas, etc. Deben tambin haber reas de acceso pblico de carga y descarga, parqueos, reas de visita,
entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas como antideslizantes y barras de apoyo
sobre la pared para sujetarse.
En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los equipos, seguridad del
cableado, mantenimiento de equipos, etc. Para todo esto se requerir de los servicios de tcnicos o ingenieros
especializados en el cuidado y mantenimiento de cada uno de los equipos, as como en la inmediata reparacin de los
mismos cuando sea necesario. La ubicacin de los equipos tambin debe ser adecuada y de tal manera que evite
riesgos. Por ejemplo si algn equipo se debe estar trasladando con frecuencia, quiz sea mejor dejarlo en la primera
planta, en vez de dejarlo en la ltima planta de un edificio, pues el traslado podra aumentar los riesgos de que se caiga y
dae, especialmente si no se cuenta con un ascensor. Se debe igualmente verificar y controlar el tiempo de vida til de
los equipos para que trabajen en condiciones ptimas.
2.10. Gestin de comunicaciones y operaciones
El objetivo de esto es asegurar la operacin correcta y segura de los medios de procesamiento de la informacin.
En primer lugar, es necesario que los procedimientos de operacin estn bien documentados, pues no basta con
tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estn
autorizados por la gerencia.
Otro aspecto fundamental es la gestin de cambios. Un cambio relevante no se debe hacer jams sin
documentarlo, adems de la necesidad de hacerlo bajo la autorizacin pertinente y luego de un estudio y anlisis de los
beneficios que traer dicho cambio.
Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorizacin o deteccin.
Para ello debe haber una bitcora de accesos, con las respectivas horas y tiempos de acceso, etc.
Es completamente necesario tener un nivel de separacin entre los ambientes de desarrollo, de prueba y de
operacin, para evitar problemas operacionales.
Si la organizacin se dedica a vender servicios, debe implementar y mantener el nivel apropiado de seguridad de
la informacin y la entrega del servicio en lnea con los acuerdos de entrega de servicios de terceros.
A la hora de aceptar un nuevo sistema, se debe tener especial cuidado, verificando primeramente las
capacidades y contando con evaluadores capacitados para determinar la calidad o falta de calidad de un sistema nuevo
a implementar. Se tienen que establecer criterios de aceptacin de los sistemas de informacin, actualizaciones o
versiones nuevas, y se deben realizar pruebas adecuadas a los sistemas durante su desarrollo y antes de su aceptacin.
La proteccin contra el cdigo malicioso y descargable debe servir para proteger la integridad del software y la
integracin con los sistemas y tecnologas con que ya se cuenta. Se deben tambin tener controles de deteccin,
prevencin y recuperacin para proteger contra cdigos maliciosos, por ejemplo antivirus actualizados y respaldos de
informacin. De hecho, los respaldos de informacin son vitales y deben realizarse con una frecuencia razonable, pues
de lo contrario, pueden existir prdidas de informacin de gran impacto negativo.
En cuanto a las redes, es necesario asegurar la proteccin de la informacin que se transmite y la proteccin de
la infraestructura de soporte. Los servicios de red tienen que ser igualmente seguros, especialmente considerando cmo
la tendencia de los ltimos aos se encamina cada vez ms a basar todas las tecnologas de la informacin a ambientes
en red para transmitir y compartir la informacin efectivamente. Los sistemas tienen que estar muy bien documentados,
detalle a detalle, incluyendo por supuesto la arquitectura de red con la que se cuenta.
Se tienen que establecer polticas, procedimientos y controles de intercambio formales para proteger el
intercambio de informacin a travs del uso de todos los tipos de medios de comunicacin. Adems de las medidas
directas para proteger el adecuado intercambio de informacin, se le debe recordar al personal el tomar las precauciones
adecuadas, como no revelar informacin confidencial al realizar una llamada telefnica para evitar ser escuchado o
interceptado por personas alrededor suyo, intervencin de telfonos, personas en el otro lado de la lnea (en el lado del
receptor), etc. Igualmente para los mensajes electrnicos se deben tomar medidas adecuadas, para evitar as cualquier
tipo de problema que afecte la seguridad de la informacin.
Cuando se haga uso del comercio electrnico, debe haber una eficiente proteccin cuando se pasa a travs de
redes pblicas, para protegerse de la actividad fraudulenta, divulgacin no autorizada, modificacin, entro otros.
Debe haber un continuo monitoreo para detectar actividades de procesamiento de informacin no autorizadas.
Las auditoras son tambin necesarias.
Las fallas deben ser inmediatamente corregidas, pero tambin registradas y analizadas para que sirvan en la
toma de decisiones y para realizar acciones necesarias.
Los relojes de todos los sistemas de procesamiento de informacin relevantes dentro de una organizacin o
dominio de seguridad deben estar sincronizados con una fuente que proporcione la hora exacta acordada. Asimismo,
todo acceso a la informacin debe ser controlado.
2.11. Control de acceso
En primer lugar, se debe contar con una poltica de control de acceso. Todo acceso no autorizado debe ser
evitado y se deben minimizar al mximo las probabilidades de que eso suceda. Todo esto se controla mediante registro
de usuarios, gestin de privilegios, autenticacin mediante usuarios y contraseas, etc.
Aparte de la autenticacin correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la
proteccin apropiada, como por ejemplo la activacin automtica de un protector de pantalla despus de cierto tiempo de
inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contrasea conocida por quien estaba
autorizado para utilizar la mquina desatendida.
Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la informacin. Para
todo esto deben existir registros y bitcoras de acceso.
Deben tambin existir polticas que contemplen adecuadamente aspectos de comunicacin mvil, redes
inalmbricas, control de acceso a ordenadores porttiles, y teletrabajo, en caso que los empleados de la empresa
ejecuten su trabajo fuera de las instalaciones de la organizacin.
2.12. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
La gestin de claves debe ser tal que ofrezca soporte al uso de tcnicas criptogrficas en la organizacin,
utilizando tcnicas seguras.
Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe controlar el acceso a los
archivos del sistema y el cdigo fuente del programa, y los proyectos de tecnologas de informacin y las actividades de
soporte se deben realizar de manera segura.
Deben establecerse procedimientos para el control de la instalacin del software en los sistemas operacionales.
Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias.
Se debe restringir el acceso al cdigo fuente para evitar robos, alteraciones, o la aplicacin de ingeniera inversa
por parte de personas no autorizadas, o para evitar en general cualquier tipo de dao a la propiedad de cdigo fuente
con que se cuente.
La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios,
revisiones tcnicas de aplicaciones tras efectuar cambios en el sistema operativo y tambin restricciones a los cambios
en los paquetes de software. No se tiene que permitir la fuga ni la filtracin de informacin no requerida.
Contar con un control de las vulnerabilidades tcnicas ayudar a tratar los riesgos de una mejor manera.
2.13. Gestin de incidentes en la seguridad de la informacin
La comunicacin es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y
debilidades de la seguridad de la informacin, asegurando una comunicacin tal que permita que se realice una accin
correctiva oportuna, llevando la informacin a travs de los canales gerenciales apropiados lo ms rpidamente posible.
De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los
empleados, contratistas y terceros de los sistemas y servicios de informacin tomen nota de y reporten cualquier
debilidad de seguridad observada o sospechada en el sistema o los servicios.
Asegurar que se aplique un enfoque consistente y efectivo a la gestin de los incidentes en la seguridad de la
informacin es elemental.
Aprender de los errores es sabio. Por ello, se deben establecer mecanismos para permitir cuantificar y
monitorear los tipos, volmenes y costos de los incidentes en la seguridad de la informacin, siempre con la idea de no
volver a cometer los errores que ya se cometieron, y mejor an, aprender de los errores que ya otros cometieron.
A la hora de recolectar evidencia, cuando una accin de seguimiento contra una persona u organizacin despus
de un incidente en la seguridad de la informacin involucra una accin legal (ya sea civil o criminal); se debe recolectar,
mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdiccin(es)
relevante(s).
2.14. Gestin de la continuidad del negocio
Las consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la disponibilidad del servicio
debieran estar sujetas a un anlisis del impacto comercial. Se deben desarrollar e implementar planes para la
continuidad del negocio para asegurar la reanudacin oportuna de las operaciones esenciales. La seguridad de la
informacin debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales
dentro de la organizacin.
Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la informacin. Estos planes
no deben ser estticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluacin.
Junto a la gestin de riesgos, debe aparecer la identificacin de eventos que pueden causar interrupciones a los
procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la
seguridad de la informacin. Por supuesto se requieren planes alternativos y de accin ante tales eventos, asegurando
siempre la proteccin e integridad de la informacin y tratando de poner el negocio en su estado de operacin normal a la
mayor brevedad posible.
2.15. Cumplimiento
Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley;
regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificacin de la legislacin
aplicable debe estar bien definida.
Se deben definir explcitamente, documentar y actualizar todos los requerimientos legales para cada sistema de
informacin y para la organizacin en general.
Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos
legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de
propiedad intelectual y sobre el uso de productos de software patentado.
El cumplimiento de los requisitos legales se aplica tambin a la proteccin de los documentos de la organizacin,
proteccin de datos y privacidad de la informacin personal, prevencin del uso indebido de los recursos de tratamiento
de la informacin, y a regulaciones de los controles criptogrficos.
Los sistemas de informacin deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar
el cumplimiento de los estndares de implementacin de la seguridad.
En cuanto a las auditoras de los sistemas de informacin, se tiene que maximizar la efectividad de y minimizar la
interferencia desde/hacia el proceso de auditora del sistema de informacin. Durante las auditoras de los sistemas de
informacin deben existir controles para salvaguardar los sistemas operacionales y herramientas de auditora. Tambin
se requiere proteccin para salvaguardar la integridad y evitar el mal uso de las herramientas de auditora.
Las actividades y requerimientos de auditora que involucran chequeos de los sistemas operacionales deben ser
planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.
Conclusin
Luego de estudiar el Estndar Internacional ISO/IEC 27002, se puede ver cmo muchos de los aspectos
resaltados por este Estndar son aspectos generales que muchas organizaciones los toman en cuenta an sin tener el
certificado ISO/IEC 27002. Pero tambin existen muchas deficiencias en la gran mayora de organizaciones en materia
de seguridad. Algunos podran considerar que apegarse a este tipo de estndares es en cierta forma caro y complicado,
pero en realidad resulta mucho ms caro sufrir las consecuencias que suele traer la falta de seguridad en un importante
sistema de informacin.
El hecho de cumplir a cabalidad con el Estndar Internacional ISO/IEC 27002 no garantiza al 100% que no se
tendrn problemas de seguridad, pues la seguridad al 100% no existe. Lo que s se logra es minimizar al mximo las
probabilidades de sufrir impactos negativos y prdidas originados por la falta de seguridad.
Este documento proporciona una idea bastante clara de cmo se debe trabajar en materia de seguridad de
tecnologas de informacin al apegarse a un Estndar Internacional (y por lo tanto mundialmente aceptado y conocido)
como lo es el ISO/IEC 27002.
Recomendaciones
La primera recomendacin es precisamente implementar el Estndar Internacional ISO/IEC 27002 a la mayor
brevedad posible, o de no ser posible (por aspectos econmicos, de infraestructura, etc.), por lo menos estudiar el
documento oficial de este Estndar y estar conocedores de todos los elementos que se pueden implementar y de cmo
esto podra beneficiar y minimizar la posibilidad de problemas por falta de seguridad.
La segunda recomendacin es tener en claro, como ya se dijo, que la seguridad al 100% no existe pero que s se
puede maximizar la seguridad y minimizar los riesgos por falta de seguridad.
De ser posible, se debera considerar adquirir la certificacin de este Estndar Internacional, pues esto
representa un gran activo no slo por los beneficios que de por s trae el tener excelentes mecanismos de seguridad,
sino tambin por el prestigio de contar con certificaciones internacionales de calidad.
Se recomienda tambin tener un equipo de analistas que evalen las condiciones particulares de una
organizacin, pues cada caso es nico, y lo que a uno le funcion, a otro podra no funcionarle debido a los aspectos
particulares de cada empresa. Por esa razn, se debe estudiar cada caso en concreto, aunque nunca est de ms
aprender de los errores o del xito de otros.
Bibliografa
Glosario
Activo: cualquier cosa que tenga valor para la organizacin.
Amenaza: una causa potencial de un incidente no deseado, el cual puede resultar en dao a un sistema u organizacin.
Anlisis de riesgo: uso sistemtico de la informacin para identificar las fuentes y calcular el riesgo.
Control: medios para manejar el riesgo, incluyendo polticas, procedimientos, lineamientos, prcticas o estructuras
organizacionales, las cuales pueden ser administrativas, tcnicas, de gestin o de naturaleza legal. El control tambin se
utiliza como sinnimo de salvaguarda o contramedida.
Criptografa: es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas que hagan posible el intercambio de
mensajes de manera segura que slo puedan ser ledos por las personas a quienes van dirigidos.
Electrotecnia: es la ciencia que estudia las aplicaciones tcnicas de la electricidad.
Evaluacin del riesgo: proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la
importancia del riesgo.
Evento de seguridad de la informacin: cualquier evento de seguridad de la informacin es una ocurrencia identificada
del estado de un sistema, servicio o red, indicando una posible falla en la poltica de seguridad de la informacin o falla
en las salvaguardas, o una situacin previamente desconocida que puede ser relevante para la seguridad.
Gestin del riesgo: actividades coordinadas para dirigir y controlar una organizacin con relacin al riesgo.
Incidente de seguridad de la informacin: un incidente de seguridad de la informacin es indicado por un solo evento
o una serie de eventos inesperados de seguridad de la informacin que tienen una probabilidad significativa de
comprometer las operaciones comerciales y amenazar la seguridad de la informacin.
Lineamiento: descripcin que aclara qu se debiera hacer y cmo, para lograr los objetivos establecidos en las polticas.
Medios de procesamiento de la informacin: cualquier sistema, servicio o infraestructura de procesamiento de la
informacin, o los locales fsicos que los alojan.
Mtrica: es una metodologa de planificacin, desarrollo y mantenimiento de sistemas de informacin.
Poltica: intencin y direccin general expresada formalmente por la gerencia.
Riesgo: combinacin de la probabilidad de un evento y su ocurrencia.
Seguridad de la informacin: preservacin de confidencialidad, integracin y disponibilidad de la informacin; adems,
tambin puede involucrar otras propiedades como autenticidad, responsabilidad, no-reputacin y confiabilidad.
Tercera persona: persona u organismo que es reconocido como independiente de las partes involucradas, con relacin
al tem en cuestin.
Tratamiento del riesgo: proceso de seleccin e implementacin de medidas para modificar el riesgo.
Vulnerabilidad: la debilidad de un activo o grupo de activos que puede ser explotada por una o ms amenazas.
ISO e IEC han establecido un comit tcnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical
Committee). Este comit trata con todos los asuntos de tecnologa de informacin. La mayora del trabajo de ISO/IEC
JTC1 es hecho por subcomits que tratan con un campo o rea en particular. Especficamente el subcomit SC 27 es el
que se encarga de las tcnicas de seguridad de las tecnologas de informacin, que es en esencia de lo que trata el
Estndar Internacional ISO/IEC 27002 (antiguamente llamado ISO/IEC 17799, pero a partir de julio de 2007, adopt un
nuevo esquema de numeracin y actualmente es ISO/IEC 27002).
El ISO/IEC 27002 se refiere a una serie de aspectos sobre la seguridad de de las tecnologas de informacin,
entre los que se destacan los siguientes puntos:
Evaluacin de los riesgos de de seguridad: se deben identificar, cuantificar y priorizar los riesgos.
Poltica de seguridad: deben haber polticas organizacionales claras y bien definidas que regulen el trabajo que
se estar realizando en materia de seguridad de la informacin.
Aspectos organizativos de la seguridad de la informacin: cmo se trabajar en la seguridad de la
informacin organizativamente, tanto de manera interna (empleados o personal de la organizacin) como de
forma externa o con respecto a terceros (clientes, proveedores, etc.)
Gestin de activos: se debe tener un completo y actualizado inventario de los activos, su clasificacin, quines
son responsables por los activos, etc.
Seguridad ligada a los recursos humanos: especificar las responsabilidades del personal o recursos humanos
de una organizacin, as como los lmites que cada uno de ellos tiene con respecto al acceso y manipulacin de
la informacin.
Seguridad fsica y ambiental: consiste en tener una infraestructura fsica (instalaciones) y ambiental
(temperaturas adecuadas, condiciones ideales de operacin ideales) adecuadas de modo que no pongan en
riesgo la seguridad de la informacin.
Gestin de comunicaciones y operaciones: asegurar la operacin correcta de cada uno de los procesos,
incluyendo las comunicaciones y operaciones que se dan en la organizacin. Esto tambin incluye la separacin
entre los ambientes de desarrollo, de prueba y de operacin, para evitar problemas operacionales.
Control de acceso: deben existir medidas adecuadas que controlen el acceso a determinada informacin,
nicamente a las personas que estn autorizadas para hacerlo, utilizando autenticaciones, contraseas, y
mtodos seguros para controlar el acceso a la informacin.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: consiste en tomar medidas
adecuadas para adquirir nuevos sistemas (no aceptar sistemas que no cumplan con los requisitos de calidad
adecuados), haciendo tambin un eficiente desarrollo y mantenimiento de los sistemas.
Gestin de incidentes en la seguridad de la informacin: los incidentes se pueden dar tarde o temprano, y la
organizacin debe contar con registros y bitcoras para identificar a los causantes y responsables de los
incidentes, recopilar evidencias, aprender de los errores para no volverlos a cometer, etc.
Gestin de la continuidad del negocio: se deben tener planes y medidas para hacerle frente a los incidentes,
de modo que el negocio pueda continuar en marcha gracias a medidas alternativas para que un incidente no
detenga las operaciones por tiempos prolongados, que no se pierda informacin, que no se estanquen o
detengan las ventas o negocios, etc.
Cumplimiento: debe darse el debido cumplimiento a los requisitos legales, como derechos de propiedad
intelectual, derecho a la confidencialidad de cierta informacin, control de auditoras, etc.
- ISO 27000
ISO 20000
La norma ISO 20000 se concentra en la gestin de problemas de tecnologa de la informacin
mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo
que ayuda a identificar problemas continuados o interrelaciones. La norma considera tambin la
capacidad del sistema, los niveles de gestin necesarios cuando cambia el sistema, la asignacin
de presupuestos financieros y el control y distribucin del software.
La norma ISO 20000 se denomin anteriormente BS 15000 y est alineada con el planteamiento
del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de
tecnologa de la informacin) de The Office of Government Commerce (OGC).
ISO/IEC 20000
Es el primer estndar internacional certificable para la gestin de servicios TI. Proviene del estndar britnico BS
15000.
ISO 20000-1: especificaciones en las cuales se describe la adopcin de un proceso de mejora integrado para el
desempeo y gestin de los servicios acorde a los requisitos del negocio y del cliente. Este documento ha sido
revisado en 2011 y comprende 9 secciones: Alcance, Trminos y definiciones, Requisitos de un sistema de
gestin, Planificacin e implantacin de la gestin de servicio, Planificacin e implantacin de servicios nuevos o
modificados, Proceso de entrega de servicios, Procesos de relacin, Procesos de resolucin, Procesos de control
y Procesos de liberacin.
ISO 20000-2: cdigo de prcticas donde se describen las mejores prcticas para la gestin de los servicios y dentro
del mbito indicado por la norma ISO 20000-1.
ISO/IEC TR 20000-3: proporciona orientacin sobre la definicin del alcance, la aplicabilidad y la demostracin de la
conformidad de los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO/IEC 20000-1, o por
los proveedores que estn planeando mejoras de suss servicios y la intencin de utilizar la norma ISO/IEC 20000
como un objetivo de negocio. Tambin puede ayudar a los proveedores de servicios que estn considerando utilizar la
norma ISO/IEC 20000-1 para la aplicacin de un sistema de gestin de servicios (SMS) y que necesitan
asesoramiento especfico sobre si la norma ISO/IEC 20000-1 se aplica a sus circunstancias y la forma de definir el
alcance de sus SMS.
ISO/IEC 20000-4: proporciona un proceso de evaluacin acorde a los principios de ISO/IEC 15504. ISO/IEC 200004 describe en un nivel de abstraccin los procesos incluidos para la provisin de gestin de los servicios segn
ISO/IEC 20000-1 y en trminos de objetivos y resultados para cada uno de los procesos.
ISO/IEC TR 20000-5: proporciona un ejemplo del proceso de implantacin que cumple con los requisitos de la
norma ISO/IEC 20000-1.
ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente
desarrollada para indicar las mejores prcticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de
obligada aplicacin para la implantacin en la norma ISO 20000, s suele ser una adecuada referencia para aquellas
organizaciones que desean la implantacin de ste norma mediante la introduccin de un paso intermedio.
ISO/IEC 20000
La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO (International Organization
for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estndar reconocido
internacionalmente en gestin de servicios de TI (Tecnologas de la Informacin). La serie 20000 proviene de la adopcin de la
serie BS 15000 desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).
Descripcin
Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepcin de que estos servicios no estn
alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios
internamente a clientes como si se est subcontratado proveedores. Una manera de demostrar que los servicios de TI estn
cumpliendo con las necesidades del negocio es implantar un Sistema de Gestin de Servicios de TI (SGSTI) basado en los
requisitos de la norma ISO/IEC 20000. La certificacin en esta norma internacional permite demostrar de manera independiente
que los servicios ofrecidos cumplen con las mejores prcticas.
ISO/IEC 20000 est basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard
(BS), y que est disponible en dos partes: una especificacin auditable y un cdigo de buenas prcticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o gua de mejores prcticas para el proceso
de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC
20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.
La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande, en cualquier sector o parte del mundo donde
confan en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como
departamentos de Informacin Tecnolgica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma
est impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratacin de negocios,
Telecomunicaciones, Finanzas y el Sector Pblico.
Organizacin
El estndar partes, de las cuales cuatro estn ya publicadas y una en proceso de publicacin:
Parte 2: ISO/IEC 20000-2:2005 - Cdigo de Prcticas. Preparada por BSI como BS 15000-2
Parte 3: ISO/IEC TR 20000-3:2009 - Gua en la definicin del alcance y la aplicabilidad (informe tcnico)
Adems, las partes 1 y 2 se encuentran en proceso de revisin y previsiblemente en 2011 se publicarn actualizando su ttulo
de la siguiente forma:
Parte 1: ISO/IEC 20000-1:2011 - Requisitos de los sistemas de gestin de servicios (Publicada el 12 de Abril de 2011)
Parte 2: ISO/IEC 20000-2:2011? - Gua de implementacin de los sistemas de gestin de servicios (En desarrollo)
La primera parte (Especificacin) define los requerimientos (217) necesarios para realizar una entrega de servicios de TI
alineados con las necesidades del negocio, con calidad y valor aadido para los clientes, asegurando una optimizacin de los
costes y garantizando la seguridad de la entrega en todo momento. El cumplimiento de esta parte, garantiza adems, que se
est realizando un ciclo de mejora continuo en la gestin de servicios de TI. La especificacin supone un completo sistema de
gestin (organizado segn ISO 9001) basado en procesos de gestin de servicio, polticas, objetivos y controles. El marco de
procesos diseado se organiza con base en los siguientes bloques:
La segunda parte (Cdigo de Prcticas) representa el conjunto de buenas prcticas adoptadas y aceptadas por la industria en
materia de Gestin de Servicio de TI. Est basada en el estndar de facto ITIL (Biblioteca de Infraestructura de TI) y sirve como
gua y soporte en el establecimiento de acciones de mejora en el servicio o preparacin de auditoras contra el estndar
ISO/IEC 20000-1:2005.
Rasgos y beneficios
La ISO/IEC 20000 est dividida en las siguientes secciones que definen los requisitos que debe cumplir una organizacin, la
cual proporciona servicios a sus clientes con un nivel aceptable de calidad:
Procesos relacionales.
Procesos de control.
Procesos de emisin.
Demuestra que se tienen procedimientos y controles adecuados in situ para proporcionar un servicio de calidad de TI coherente
y a un coste efectivo.
Los suministradores de servicios de TI se han vuelto cada vez ms sensibles y responsables con los servicios que prestan ms
que de la tecnologa que puedan proporcionar.
Los proveedores externos de servicios pueden usar la certificacin como un elemento diferenciador y acceder a nuevos
clientes, ya que esto cada vez ms se convierte en una exigencia contractual.
Permite seleccionar, gestionar y proporcionar un servicio externo ms efectivo.
Ofrece oportunidades para mejorar la eficiencia, fiabilidad y consistencia de sus servicios de TI que impactan positivamente
tanto en los costes como en el servicio.
Certificacin
La aparicin de la serie ISO/IEC 20000, ha supuesto el primer sistema de gestin en servicio de TI certificable bajo norma
reconocida a nivel mundial. Hasta ahora, las organizaciones podan optar por aplicar el conjunto de mejoras prcticas dictadas
por ITIL (completadas por otros estndares como CMMI o CoBIT) o certificar su gestin contra el estndar local britnico BS
15000. La parte 1 de la serie, ISO/IEC 20000-1:2005 representa el estndar certificable. En febrero de
2006, AENOR (organizacin delegada en Espaa de ISO/IEC) inici el mecanismo de adopcin y conversin de la norma
ISO/IEC 20000 a norma UNE. El 23 de junio de 2006, la organizacin itSMF hace entrega a AENOR de la versin traducida de
la norma. En el BOE del 25 de julio de 2007 ambas partes se ratificaron como normas espaolas con las siguientes referencias:
UNE-ISO/IEC 20000-1:2007 Tecnologa de la informacin. Gestin del servicio. Parte 1: Especificaciones (ISO/IEC
20000-1:2005).
UNE-ISO/IEC 20000-2:2007 Tecnologa de la informacin. Gestin del servicio. Parte 2: Cdigo de buenas prcticas
(ISO 20000-2:2005).
Estas normas pueden adquirirse a travs del portal web de AENOR. Cualquier entidad puede solicitar la certificacin respecto a
esas normas.
ISO 20000
ISO 20000 y la Gestin de Servicios TI
La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el mundo especficamente dirigida a la gestin de los servicios
de TI. La ISO 20000 fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los
negocios provenientes de un colapso tcnico del sistema de TI de las organizaciones.
ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz servicios de TI a las organizaciones y a sus
clientes. La esperada publicacin de la ISO 20000 el 15 de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento
internacional y el desarrollo de la certificacin de ITSM.
Hoy en da la aparicin de la norma ISO 20000 est causando un aumento considerable del inters en aquellas organizaciones interesadas en
implementar ITSM. Estudios revelan como dicho anhelo crecer internacionalmente tomando como base la reconocida certificacin ISO
20000
ISO 20000-3: Gua sobre la deficin del alcance y aplicabilidad de la norma ISO/IEC 20000-1
Proporciona orientacin sobre la definicin del alcance, aplicabilidad y la demostracin de la conformidad con los proveedores de
servicios orientados a satisfacer los requisitos de la norma ISO 20000-1, as como los proveedores de servicios que estn planeando
mejoras en el servicio con la intencin de utilizar la norma como un objetivo de negocio.
Si desea obtener ms informacin sobre el desarrollo de nuevas partes que buscan una mejor alineacin con ITSM y con otros estndares ISO,
visite la seccin de la norma iso 20000.
Certificacin
Negocios que requieran de un enfoque consistente por parte de todos sus proveedores de servicios.
Necesidad de demostrar la capacidad de una organizcin para proveer servicios que cumplan con los requerimientos de los
usuarios.
Bsqueda de mejora de servicios por medio de una aplicacin efectiva de procesos para monitorizar y mejorar la calidad de los
servicios.
Mejora en la productividad
Mejora de la fiabilidad de sus operaciones internas para satisfacer las necesidades de los clientes y tambin para aumentar su
rendimiento global
Evaluacin peridica de los procesos de gestin de servicios TI, lo que ayuda a mantener y mejorar la eficacia
Estandarizacin de la infraestructura