Normas de seguridad de la información

NORMA ISO 27002: BUENAS PRACTICAS EN LA GESTION DE LA SEGURIDAD DE LA INORMACION

Anteriormente denominada ISO 17799, es un estándar para la seguridad de la información. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control, agrupados en 11 dominios.

La norma ISO/IEC 27002:2005 es una herramienta sencilla que permitirá establecer políticas, y controles bajo el objetivo de disminuir los riesgos que tienen los activos de la organización. En primer lugar, obtenemos una reducción de riesgos debido al establecimiento y seguimiento de controles sobre ellos. Con ello lograremos reducir las amenazas hasta alcanzar un nivel asumible por nuestra organización.

De este modo si se produce una incidencia, los daños se minimizan y la continuidad del negocio está asegurada. En segundo lugar se produce un ahorro de costes derivado de una racionalización de los recursos.

Se eliminan las inversiones innecesarias e ineficientes como las producidas por desestimar o sobrestimar riesgos. En tercer lugar, la seguridad se considera y se convierte en una actividad de gestión. La seguridad deja de ser un conjunto de actividades más o menos organizadas y pasa a transformarse en un ciclo de vida metódico y controlado, en el participa toda la organización.

En cuarto lugar, la organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos y costes innecesarios. La entidad se asegura del cumplimiento del marco legal que protege a la empresa de aspectos que probablemente no se habían tenido en cuenta anteriormente.

Por último, pero no por ello menos importante, la certificación del sistema de gestión de seguridad de la información contribuye a mejorar la competitividad en el mercado, diferenciando a las empresas que lo han conseguido y haciéndoles más fiables e incrementando su prestigio.

La seguridad de la información se refiere a la protección de una gama de amenazas para salvaguardar la continuidad de las operaciones del negocio sean estas ocasionadas dentro o fuera de la organización, disminuyendo los daños que estas amenazas causarían a la organización y aumentar las oportunidades de negocios.

En los sistemas de información es donde la mayor parte de la información procesada o no procesada es resguardada, ya sea en equipos informáticos, soportes de almacenamiento y redes de datos. Estos sistemas de información son activos que están sujetos a vulnerabilidades y amenazas que pueden influir desde personal de la propia organización o del exterior.

Existen un sin número de riesgos físicos como incendios, inundaciones, terremotos o terrorismos que al explotar una amenaza pueden afectar la disponibilidad de nuestra información y recursos al no estar preparados contra cualquier probabilidad de ocurrencia del riesgos y no contar con un plan de continuidad del negocio nos afectaría significantemente. Es por eso que se debe realizar una evaluación de riesgos de forma periódica estableciendo un punto de equilibrio en relación de costo – beneficio.

Además de los riesgos físicos, también nos encontramos con los riesgos lógicos relacionados con la tecnología y, que como se citó anteriormente aumentan día a día, estos pueden ser hackers, robos de identidad, accesos no autorizados, spam, virus, robos de información y espionaje industrial, estos afectan directamente con la confidencialidad que la organización transmite a sus clientes y al verse comprometida la confidencialidad afecta a nuestra imagen en el mercado.

PILARES FUNDAMENTALES DE SEGURIDAD DE LA INFORMACIÓN.

 Confidencialidad: Certificar que solo los usuarios con accesos autorizados puedan acceder a la información. La seguridad que se implementará debe asegurar que solo las personas tengan acceso a la información que fueron autorizados.

 Integridad: Certificar la protección de la información en cuanto a la exactitud y totalidad de los datos y los métodos de procesamiento ingresados por los usuarios con acceso autorizado. La pérdida de integridad en la información puede deberse a errores humanos, modificaciones intencionales, o alguna contingencia por métodos inusuales y al modificar estos datos inapropiadamente, estos se convierten en defectuosos, y en ocasiones peligrosos para el negocio y la toma de decisiones.

 Disponibilidad: Certificar que los usuarios previamente autorizados a la información y sus activos asociados tengan acceso cuando lo requieran. Los recursos deben estar disponibles cuando se necesite usarlos.

ESTRUCTURA DE ESTE ESTÁNDAR

Esta norma ISO 27002 contiene 11 dominios de control y controles de seguridad de la información, los cuales contienen un total de 39 sub dominios principales de seguridad.

• DOMINIOS

“Cada dominio contiene un número de dominios de seguridad. Estos 11 dominios son:”

1. Política de seguridad (1 control)

2. Organizando la seguridad de información (2 controles)

3. Gestión de activos (2 controles)

4. Seguridad ligada a recursos humanos (3 controles)

5. Seguridad física y ambiental (2 controles)

6. Gestión de comunicaciones y operaciones (10 controles)

7. Control de acceso (7 controles)

8. Adquisición, desarrollo y mantenimiento de sistemas de información (6 controles)

9. Gestión de incidentes de los sistemas de información (2 controles)

10. Gestión de la continuidad del negocio (1 control)

11. Cumplimento

Los dominios de control de ISO 27002:2005

1. Política de seguridad (1 control)

Nivel gerencial debe:

 aprobar y publicar la política de seguridad

 comunicarlo a todos los empleados

Debe incluir:

objetivos y alcance generales de seguridad apoyo expreso de la dirección breve explicación de los valores de seguridad de la organización definición de las responsabilidades

...