UNIVERSIDAD AUTNOMA DE SANTO DOMINGO

Fundada el 28 de octubre de 1538 Primada de Amrica

FACULTAD DE CIENCIAS ESCUELA DE INFORMATICA

Modulo de:
Sistema de Gestin de Seguridad de la Informacin (SGSI), Normas, Controles, Implantacin y Proceso de Certificacin. (INF-8261)

Profesor EDDY L. BRITO P.

T-I) Exploracin General

Email Grupo: auditoria_seguridad_informacion-subscribe@gruposyahoo.com

Email : ebrito23@uasd.edu.do

 Informtica
Es la Ciencia que trata el estudio Automtico Automatico y Racional de la Informacin.

Tecnologa: Etimolgicamente, larealice palabra ciencia viene del NoCiencia: es que el estudio se automtico, el sentido real es Como ciencia, la informtica utiliza una de las herramientas mas latn "scire", que significa es que la que la informtica centra sussaber, preguntas experimentales a las Objetivo de Estudio, Materia Prima, Herramientas de decir Transformacin, Un sistema de conocimiento que se interesa por explicar y interesante que Dios ha proporcionado al ser humano, la capacidad estructuras sistemticas, formulando hiptesis de definicin bsica de ciencia es conocimiento, o Resultado, ...predecir el mundo y sus fenmenos, estableciendo de razonar. Pero Informtica explota esta capacidad los teoras extremos automatizacin, debido al conocimiento dealas ms precisamente, conocimiento humano. generalizaciones o leyes fundamentales mediante Informtica extendiendo fundamenta susde actividades sus recursos con del la conocimiento imaginacin, la y necesidades creatividad, etc. del y cientficas modelos, clculos, estadsticas matemticas observaciones no sesgadas y experimentacin sistemtica lgica, de que proporcionales. control yy transfiriendo manejo la laaseguran informacin capacidad resultados del derazonamiento forma minuciosa, a suscon creaciones. los objetivos de y reproducida. Es la Ciencia Aplicada que trata el estudio Automtico y Racional de la generar conocimientos, leyes y generalizaciones en sus actividades deInformacin.

automatizacin, para superar las limitaciones ser humano. Es la Ciencia que trata el estudio Automtico ydel Racional de la Informacin y promueve su Aplicacin Tecnolgica. Toda ciencia tiene un objeto de estudio, un marco terico, unas preguntas y y Racional una metodologa Es la Ciencia-Tecnolgica que trataexperimentales el estudio Automtico de la aceptada y establecida. Informacin.
Es la Ciencia y Tecnologa que tratan el estudio Automtico y Racional de la Informacin.

Exploracin General (Conceptos Bsicos)

Auditora

Es un proceso sistemtico, practicado por los auditores de conformidad con normas y procedimientos tcnicos establecidos, consistente en obtener y evaluar objetivamente las evidencias sobre las afirmaciones contenidas en los actos jurdicos o eventos de carcter tcnico, econmico, administrativo y otros, con el fin de determinar el grado de correspondencia entre esas afirmaciones, las disposiciones legales vigentes y los criterios establecidos.

Tipos de Auditora
Auditoria Interna

Auditoria Especial

Auditoria Externa

Auditoria Operativa

Auditoria Financiera

 Etica del Auditor

Que pueden/Deben hacer los Auditores Ser independientes y Objetivos Recomendar Ser competentes en la materia Basar sus informes en verificaciones y evidencias Verificar que se evalan peridicamente los riesgos o bien evaluarlos Conocer perfiles de usuarios Conocer Criterios y practicas sobre contraseas Verificar que las Aplicaciones se Desarrollan y mantienen segn normas y se incorporan controles Revisar codificacin de programas(seguridad y calidad) y las pruebas realizadas, o bien probarlos Revisar la documentacin (aplicaciones, programas) Verificar que siguen los procedimientos Responsabilizarse del contenido de sus informes Evaluar Riesgos e informes Sustentar los informes con papeles de trabajo Estar al da en cuanto a avances, riesgos, metodologas Que No Deben hacer los Auditores Actuar en beneficio propio por encima del inters del cliente Obligar, forzar, amenazar Asumir encargos para los que no estn preparados Basarlos en suposiciones Revisar la seguridad da a da o administrarla (son funciones de otros) Realizar gestin perfiles de usuarios Gestin/asignacin contraseas o conocerlas Realizar funciones de anlisis o gestionar proyectos Codificar programas Realizar la documentacin Escribir Procedimientos Aceptar presiones de sus jefes o clientes y que el informe no sea veraz Garantizar que no se puedan realizar/haber realizado delitos, fraudes o errores Enzarzarse en discusiones de diferencias de opiniones Auditar con tcnicas, mtodos o recomendaciones obsoletas

Informacin. En sentido General. La informacin es un conjunto organizado de datos, que constituyen un mensaje sobre un determinado ente o fenmeno. La informacin es un fenmeno que proporciona significado o sentido a las cosas, e indica mediante cdigos y conjuntos de datos, los modelos del pensamiento humano. La informacin por tanto, procesa y genera el conocimiento humano. La informacin es la propiedad de transmitir una idea nueva y significativa a un receptor.

La Informacin es la interpretacin interior de un acontecimiento exterior.

Vista desde la ptica de la empresa. La informacin es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente (ISO:17799:2005).

Ciclo de vida de la Informacin.

CREADA PROCESADA UTILIZADA- Para propsitos apropiados o ALMACENADA DESTRUIDA? TRANSMITIDA inapropiados.

PERDIDA

CORROMPIDA

Tipos de informacin disponible. Impresa o Escrita. Almacenada Electrnicamente. Transmitida por medios electrnicos. Presentadas en videos corporativos. Verbal Conversada Formal/Informalmente. Cualquier forma que tome la informacin, o los medios que se utilicen para compartirla o almacenarla, siempre debe estar apropiadamente protegida (ISO:17799:2005).

El trmino seguridad proviene de la palabra securitas del latn. Cotidianamente se puede referir a la seguridad como la ausencia de riesgo o tambin a la confianza en algo o alguien. Sin embargo, el trmino puede tomar diversos sentidos segn el rea o campo a la que haga referencia. La seguridad es un estado de nimo, una sensacin, una cualidad intangible. Se puede entender como un objetivo y un fin que el hombre anhela constantemente como una necesidad primaria. Segn la pirmide de Maslow, La Pirmide de Maslow es una la seguridad en el hombre teora psicolgica propuesta por ocupa el segundo nivel dentro Abraham Maslow en su obra: de las necesidades o dficit. Una teora sobre la motivacin
humana (en ingls, A Theory of Human Motivation) de 1943, que posteriormente ampli. Maslow formula en su teora una jerarqua de necesidades humanas y defiende que conforme se satisfacen las necesidades ms bsicas, los seres humanos desarrollan necesidades y deseos ms elevados.

Categoras de seguridad:

Accidentes Cerrajera

Seguridad Alimentaria

Desastres

Dispositivos de Seguridad Proteccin contra incendios Seguridad de la Informacin

Seguridad social

Seguridad de la Informacin.

La seguridad de la informacin se caracteriza por la preservacin de :

CONFIDENCIALIDAD: La informacin est protegida de personas no autorizadas. INTEGRIDAD: La informacin est como se pretende, sin modificaciones inapropiadas. DISPONIBILIDAD: Los usuarios tienen acceso a la informacin y a los activos asociados cuando lo requieran.

Para lograr esto, debe saberse : qu requiere ser protegido?, por qu?, de qu? y cmo protegerlo?.

Qu es un SGSI?
ISMS (Information Security Management System)
Sistema de Gestin de Seguridad de Informacin (SGSI). Establecimiento de un sistema que determine qu requiere ser protegido?, por qu?, de qu? y cmo protegerlo?. Es la preservacin de la confidencialidad, integridad y disponibilidad de la informacin. La Norma ISO 27001:2005 lo define como: La parte del sistema de gestin global, basada en una orientacin a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin.

Estndares
Los estndares son acuerdos (normas) documentados que contienen especificaciones tcnicas u otros criterios precisos para ser usados consistentemente como reglas, guas, o definiciones de caractersticas. Para asegurar que los materiales, productos, procesos y servicios se ajusten y cumplan con su propsito.
Existen varios tipos de estndares: Estndar Oficial: Es una norma respaldada por un organismo oficial que define estndares. Estndar de facto: son aquellos que tienen una alta penetracin y aceptacin en el mercado, pero an no son oficiales. Estndar de jure (Oficial): Se establecen por convenio en contraposicin a un establecimiento, por hecho o costumbre. Es definido por grupos u organizaciones oficiales tales como la BS, ISO, ANSI, ITU, entre otras. Estndar de Propietarios: Son propiedad absoluta de una corporacin u entidad y su uso todava no logra una alta penetracin en el mercado.

Evolucin de la Norma

Algo de Historia

ISO es el acrnimo de International Organization for Standarization. Aunque si se observan las siglas para el acrnimo, el nombre debera ser IOS, los fundadores decidieron que fuera ISO, derivado del griego isos, que significa igual. Por lo tanto, en cualquier pas o en cualquier idioma, el nombre de la institucin es ISO, y no cambia de acuerdo a la traduccin de su acrnimo en cada idioma. ISO es la organizacin desarrolladora y publicadora estndares internacionales ms grande del mundo, con ms de 157 pases, con su Secretaria Central en Geneva, Suiza. ISO es una organizacin no gubernamental que enlaza los Sectores Pblicos y Privados. Iniciando sus operaciones el 23 de febrero 1947 en Geneva, Suiza. Surgi con el objetivo de Facilitar la coordinacin internacional y la unificacin de los estndares Industriales.

IEC es el acrnimo de International Electrotechnical Commission. Organizacin sin fines de lucro y no gubernamental, que se ocupa de preparar y publicar estndares internacionales para todas las tecnologas elctricas o relacionadas a la electrnica. IEC nace antes que ISO, en 1906 en London, Reino Unido y mudan su sede central a Geneva, Suiza, en 1948, en lazando vnculos con ISO. ISO/IEC JTC1 (ISO/IEC Joint Technical Committee), este comit trata con todos los asuntos de tecnologa de la informacin.

Este comit consta de varios subcomits focalizados en diversos campos de la tecnologa de la informacin, como el subcomit SC 27, que se encarga de los trabajos del campo de la Seguridad de las Tecnologas de informacin.

Familia ISO 27000

A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van desde 27000 al 27019 y desde 27030 al 27044. ISO/IEC 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Sustituye a la BS 7799-2, habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI .
ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Contiene una gua de ayuda para la implementacin de un SGSI segn norma ISO/IEC 27001 (clusulas 4, 5 y 7) e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO/IEC 27004: Publicada el 7 de Diciembre de 2009. Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.

ISO/IEC 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. ISO/IEC 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma.

ISO/IEC 27007: Publicada el 14 de Noviembre de 2011. No certificable. Es una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. ISO/IEC 27011: Publicada en Diciembre de 2008. Es una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases para el sector especfico de las Telecomunicaciones.

ISO/IEC 27031: Publicada el 01 de Marzo de 2011. No certificable. Es una gua de apoyo para la adecuacin de las tecnologas de informacin y comunicacin (TIC) de una organizacin para la continuidad del negocio. El documento toma como referencia el estndar BS 25777. ISO/IEC 27032: En fase de desarrollo; Consistir en una gua relativa a la ciberseguridad. ISO/IEC 27033: Norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes.

ISO/IEC 27033-1: Publicada el 10 de Diciembre de 2009. Los contenidos tienen relacin con "Overview and concepts". Proviene de la revisin, ampliacin y renumeracin de ISO 18028. ISO 27034: En fase de desarrollo. Consistir en una gua de seguridad en aplicaciones. ISO 27799:
Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios de la informacin sanitaria en base a garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de informacin personal de salud. ISO 27799:2008 se aplica a la informacin en salud en todos sus aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones sonoras, dibujos, vdeos y imgenes mdicas), sea cual fuere el medio utilizado para almacenar (de impresin o de escritura en papel o electrnicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informticas o por correo), ya que la informacin siempre debe estar adecuadamente protegida.

Necesidad de un SGSI

Empresas Certificadas

Fuente: www.iso27001certificates.com

Quienes Certifican?

Alguna Pregunta?