CLICK HERE FOR BLOGGER TEMPLATES AND MYSPACE LAYOUTS »
http://www.yaves.eshttp://www.yaves.eshttp://www.yaves.eshttp://www.yaves.eshttp://www.yaves.es

lunes, 26 de enero de 2009

NORMAS ISO

¿QUE SON LAS NORMAS ISO?

Su sigla traduce Organizacion Intern
acional para la Estandarizacion, es una organizacion no gubernamental que produce normas internacionales, industriales y comerciales con el proposito de facilitar el comercio, el intercambio de informacion y contribuir con unos estandares para el desarrollo y transferencia de tecnologias.

NORMA ISO 17799:


Es una norma interncional que ofrece recomendacion p
ara la gestion de la seguridad de la informacion enfocada en el inicio, implantacion o mantenimiento de la seguridad en una organizacion. la seguridad de la infomacion se define com la preservacion de:

  • Confidencialidad: aseguracion de la privacidad de la infomarcion de la organizacion.
  • Integridad: garantia del estado original de los datos.
  • Disponibilidad: Acceso cuando sea requerido por los usuarios.
  • No repudio: Estadisticas de la acciones realizadas por el personal autorizado
el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficaz de la gestion de la seguridad. La adaptacion española denminada UNE-ISO/IEC 17799 esta norma no es CERTIFICADA.

1995- BS 7799-1: codigo de buenas practicas para la gestion de la seguridad de la informacion.
1998- BS 7799-2:especificaciones para la gestion de la seguridad de la informacion.

Tras una revision de ambas partesde BS 7799 (1999) la primera es adoptada como norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin ap
enas modificacion (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.



Esta norma establece 10 dominios de control que cubre por completo la gestion de seguridad de la infomacion:
  1. Politica de seguridad: dirige y da soporte a la gestion de la seguridad de la informacion
  2. Aspectos organizativos para la seguridad: gestiona la seguridad de la infomacion dentro de la organizacion; mantiene la seguridad de los recursos de tratamiento de la informacion y de los activos de informacion de la organizacion que son accedidos por terceros y mantiene la seguridad de la informacion cuando la responsabilidad de su tratamiento se ha extrenalizado a otra organizacion.
  3. Clasificacion y control de activos: mantiene una proteccion adecuada sobre los activos de la organizacion y asegura un nivel de proteccion adecuado a los activos de la informacion.
  4. Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos, fraudes o mal uso de la instalcion y los servicios; asegura que los usuarios son conscientes de las amenazas y riesgo en el ambito de la seguridad de la informacion, y que estan preparados para sostener las politicas de seguridad de la organizacion y minimiza los daños provocados por incidencias de seguridad y por el mal funcionamiento controlandolo y aprendiendo de ellos.
  5. Seguridad fisica y del entorno: evita el acceso no autorizado, daños e interferencias contra los locales y la informacion de la organizacion; evita perdidas, daños o comprometer los activos asi como la interrupcion de las actividades de la organizacion y previene las exposiciones a riesgos y a robos de la informcion y de recursos de tratamiento de informacion.
  6. Gestion de comunicacion y operaciones: asegura la operacion correcta y segura de los recursos de tratamiento de la informacion; minimiza el riesgo de fallos en el sistema; protege la integridad del software y de la informacion; mantine la integridad y la disponibilidad de los servicios de tratamiento de infomacion y de comunicacion; asegura la salvaguarda de la informacion en las redes y la proteccion de su infraestructura de apoyo; evita daño a los activo e interrupciones de actividades de la organizacion y previene la perdida, modificacion o mal uso de la informacion intercambiada entre organizaciones.
  7. Control de acceso: controla los accesos a la informacion; evita acceso no autorizado a los sistemas de informacion; proteje los servicios en red; evita acceso no autorizado a ordenadores; evita el acceso no autorizado a la infomacion contenida en el sistema; detecta actividades no autorizadas y garantiza la seguridad de la informacion cuando se usan dispositivos de informacion movil o teletrabajo.
  8. Desarrollo y mantenimiento de sistema: asegura que la seguridad esta incluida dentro de los sistemas de informcion; evita perdidas, modificaiones o mal uso de los datos de usuario en las aplicaciones; protege la confidencialida, integridad y autenticidad de la informacion; asegura que los proyectos de Tecnologias de la Informacion y las actividades complementarias son llevadas a cabo de una forma segura y mantiene la seguridad del software y la informacion de la aplicacion del sistema.
  9. Gestion de continuidad del negocio: reacciona a la interrupcion de actividades del negocio y protege sus procesos critiicos frente a grandes fallos o desastres.
  10. Conformidad con la legislacion: evita el incumplimiento de cualquier ley, estatuto, regulacion u obligacion contractual y de cualquier requerimiento de seguridad; garantiza la alineacion de los sistemas con la politica de seguridad de la organizacion y con la normativa derivada de la misma y maximiza la efectividad y minimiza la interferencia de o desde el proceso de auditoria del sistema.
ISO 17799 no es una norma tecnologica:
  • ha sido redacrada de forma flexible e independiente de cualquier solucion de seguridad especifica
  • proporciona buenas practicas neutrakes con respecto a la tecnologia y a las soluciones disponibles en el mercado.
ISO 27001:

Esta norma muestra como aplicar los controles propuestod en la iso 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".

COMPARACION 17799 Y 27001:
  • ISO 17799 es un conjunto de buenas practicas en seguridad de la informacion contiene 133 controles aplicables.
  • La ISO 17799 no es certificable, ni fue diseñada para esto.
  • La norma que si es certificable es ISO 27001 como tambien lo fue su antecedora BS 7799-2.
  • ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible apñlicacion en el SGSI que implanta cada organizacion
  • ISO 17799 es para ISO 27001, por tanto, una ralacion de contoles necesarios para garantizar la seguridad de la informacion.
  • ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente. ISO 27001 permite auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS (information security management system)

ENTIDAD COLOMBIANA:

CERT: Computer Emergency Response Team- Equipo de Respuesta a Emergencias Infomarticas:
CERT Colombia es un centro de coordinacion y atenecion a insidentes de seguridad informatica colombiana antes, m
ediante y despues de este; mantiene contacto directo con las empresas afiliadas y esta en la capacidad coordinar el tratamiento y solucion de las solitudes y denuncias sobre problemas de seguridad infomartica que sean recibidas en la cuenta de correo. Actualmente se trabaja en contra de los robos de informacion privada (phishing), esta es usada posteriormente para sustraer dinero de la cuentas bancarias. Este anti-phishing se esta realizando de forma coordinada entre las entidades bancarias y las y las empresas prestadoras de servicio de internet que estan agrupadas en la NAP Colombia. CERT Colombia mantiene comunicacion constante con organizaciones internaciones que trabajan en el sector de seguridad informatica ellos advierten al CERT Colombia sobre cualquier tipo malicioso que puede estar alojado dentro de sus redes. En conclusion, CERT colombia es un punto de contacto nacional, mediante el cual la comunidad nacional e internacional pueden comunicarse con las mas grandes empresas proveedoras de internet en Colombia, con el objetico de gestionar una pronta y eficiente atencion a los incidentes de la seguridad informatica que involucren redes y/o servicios Colombianos.
El CERT Colombia se encuentra patrocinado directamente por el NAP Colombia y sus afiliados, quienes conforman el grupo de las empresas provedoras de internet mas grande de Colombia. Debido al compromiso de sus integrantes con esta l
abor, el CERT Colombiano ha podido desarrollar importantes actividades en contra del ciber delito que han arrojado resultados muy satisfactorios. En la siguiente imagen se muestra las empresas afiliadas a CERT Colombia



OTRAS ENTIDADES:

ISC2:
Es un organismo internacional fundando en 1996 que lleva a cabo certificados de sistemas de seguridad; pensado para profesionales en seguridad. Provee nuevas herramientas para realizar acciones de proteccion en las empresas, brinda capacitaciones en seguridad informatica a profesionales de ambito tecnologico. De este modo se distingue las clases CSSCP que engloba a administradores de sistemas y redes y CISSP que comprende a diseñadores de politics y procesos de seguridad.

CISSP: Certified Information Systems Security Profesionals- Certificado para Prefesionales en Sistemas de Seguridad de Informacion: Certificacion acreditidad internacionamente, mas reconocifo a nivel mundial y es avalado por la ISC2, diseñada con el fin de reconocer una maestria de conocimiento y esperiencia en seguridad de la informacion con una etica comprobada en el desarrollo de la profesion.

SANS: Proporciona un conjunto de cusros que ayuda a dominar los pasos practicos necesarios para defender los sistemas y las redes contra las amenazas mas peligrosas, aquellas que estan siendo activamente explotadas. Los cursos desarrollados con el consenso de los cientos de administradores, responsables de la seguridad y otros profesionales,tratan tanto los fundamentos como los detalles tecnicos de las areas mas criticas de la seguridad de la informacion. Sus principales objetivos:
  • Reune informacion sobre seguridad informatica (S.O, router, firewall, etc)
  • Ofrece capacitacion y certificacion en la seguridad informatica.
GLOSARIO:
  • SGSI: SGSI es la abreviatura comunmente utilizada para referirse a un Sistema de Gestión de la Seguridad de la Informacion.Por información se entiende toda aquella documentación en poder de una organización e independientemente de la forma en que se guarde o transmita.Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

    • Plan (planificar): establecer el SGSI.

    • Do (hacer): implementar y utilizar el SGSI.

    • Check (verificar): monitorizar y revisar el SGSI.

    • Act (actuar): mantener y mejorar el SGSI.


  • ISMS: Information Security Management System
  • SASI: Sistema de Administracion de Seguridad de la Informacion
  • IEC:Comision Electronica Internacion junto con la ISO forman el sistema especializado para la estadarizacion mundial
  • NAP COLOMBIA: tien como mision lograr que todos lo ISP del pais intercambien su trafico local de manera directa .

1 comentarios:

Arturo dijo...

bueno sin dudas