6. Norma 27000
description
Transcript of 6. Norma 27000
ESTRUCTURA DE LA NORMA
ISO 27000
ESTRUCTURA ISO 27000
1. Política de Seguridad
Es el documento que la empresa firma aceptando las políticas de
calidad a revisar el cual debe contener:
Una definición de la seguridad de información y sus objetivos
globales y el alcance y su importancia como un mecanismo que
permite compartir información.
Una breve explicación de las políticas, principios, normas y
requisitos de conformidad más importantes para la organización.
Una definición de las responsabilidades generales y específicas
en materia de la gestión de seguridad de información, incluida el
reporte de las incidencias de seguridad.
2. Organización de seguridad.
Se debe establecer una estructura de la seguridad de la información de tal manera que satisfaga todos los requerimientos para lo cual es indispensable la participación de los representantes de las diferentes áreas dentro de la organización para cubrir distintas necesidades por ejemplo la participación de:
Comité de gestión de seguridad de la información
-Coordinación de la seguridad de la información.
-Asignación de las responsabilidades de la seguridad de información.
-Procesos de autorización para los recursos de tratamiento de la información
-Acuerdos de confidencialidad.
3. Administración de activos
Se debe asignar a los recursos de la organización, propietarios quienes serán los responsables de mantener una protección adecuada. La organización debe identificar los activos y su valor e importancia. Sobre esta base la organización puede proporcionar niveles de protección proporcionales a dicho valor e importancia. Debería establecerse y mantenerse el inventario de los activos importantes asociados con cada sistema de información.
Propiedad de los recursos
Todos los recursos de tratamiento de la información y los activos de información de la organización deben ser de propiedad de una parte designada. El dueño del recurso debe ser responsable de:
1. asegurar que recursos de tratamiento de la información y los activos de información sean apropiadamente clasificados;
2. definir y revisar periódicamente las restricciones de acceso y clasificación, tomando en cuenta políticas de control de acceso aplicables
4. Seguridad de recursos humanos
Asegurar que cada persona dentro de la organización comprenda sus responsabilidades, ya que es un factor que influye en la preservación de la seguridad de la información.
Implementar y actuar de acuerdo con las políticas de seguridad de información.
Proteger los activos de accesos no autorizados, divulgación, modificación, destrucción e interferencia.
Ejecutar procesos particulares de seguridad o actividades.
Garantizar que responsabilidades se asignen a los individuos para acciones tomadas.
Reportar eventos de seguridad o eventos potenciales u otros riesgos para la organización.
5. Seguridad física y mental
Los recursos importantes para el tratamiento de la información deben ser ubicados en áreas seguras de tal manera que se provenga el acceso no autorizado.
El perímetro de seguridad físico
Los perímetros de seguridad debe ser usadas para proteger áreas que contienen recursos de tratamiento de información. Se debe considerar los siguientes puntos:
a) el perímetro de seguridad deben ser definidos claramente.
El perímetro de un edificio o un lugar que contenga recursos de tratamiento de información debería tener solidez física.
Se debería instalar un área de recepción manual u otros medios de control del acceso físico al edificio o lugar. Dicho acceso se debería restringir solo al personal autorizado.
Las barreras físicas se deberían extender, si es necesario, desde el suelo al techo para evitar entradas no autorizadas o contaminación del entorno.
Todas las puertas para incendios del perímetro de seguridad deberían tener alarma y cierre automático.
6. Gestión de Comunicaciones y Operaciones
Establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos de tratamiento de información, de tal manera que se consiga reducir el riesgo de un mal uso del sistema deliberado o por negligencia.
Documentación de procedimientos operativos:
Se deberían documentar los procedimientos de operación y hacerlo disponible para todos los usuarios que necesitan de ellos. Los procedimientos de operación deberían especificar las instrucciones necesarias para la ejecución detallada de cada tarea, incluyendo:
El proceso y utilización correcta de la información.
Respaldo.
Los requisitos de planificación, incluyendo las interdependencias con otros sistemas, con los tiempos de comienzo más temprano y final más tardío posibles de cada tarea
7. Sistema de Control de Accesos
Se debería controlar el acceso a la información y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Se deberían tener en cuenta para ello las políticas de distribución de la información y de autorizaciones.
En la política de control de accesos se debería tener bien definido y documentado los requisitos del negocio para el control de acceso, definiéndose de forma clara las reglas y derechos de cada usuario. Debería contemplar:
Requisitos de seguridad de cada aplicación de
negocio individualmente.
Identificación de toda la información relativa a
las aplicaciones.
Políticas para la distribución de la información y
las autorizaciones.
Coherencia entre las políticas de control de
accesos y las políticas de clasificación de la
información en los distintos sistemas y redes
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
Todos los requisitos de seguridad, incluyendo las disposiciones para contingencias, la infraestructura, las aplicaciones de negocio y las aplicaciones desarrolladas por usuario; deberían ser identificados y justificados en la fase de requisitos de un proyecto, consensuados y documentados como parte del proceso de negocio global para un sistema de información.
Análisis y especificación de los requisitos de seguridad:
Los requisitos y controles de seguridad deberían reflejar el valor de los
activos de información implicados y el posible daño a la organización que
resultaría de fallos o ausencia de seguridad. La estimación del riesgo y su
gestión son el marco de análisis de los requisitos de seguridad y de la
identificación de los controles y medidas para conseguirla
Autenticación de mensajes
La autenticación de mensajes es una técnica utilizada para detectar
cambios no autorizados o una corrupción del contenido de un mensaje
transmitido electrónicamente.
Se debería establecer en aplicaciones que requieran protección de la
integridad del contenido de los mensajes, por ejemplo, transferencia
electrónica de fondos, especificaciones, contratos, propuestas u otros
intercambios electrónicos de datos importantes.
9. Administración de Incidentes de Seguridad de la Información
Para asegurar los eventos y las debilidades de la seguridad de la información asociados a los sistemas de información, los procedimientos formales de la divulgación y de escalada del acontecimiento deben estar en lugar. Todos los empleados, contratistas y usuarios de los terceros deben ser enterados de los procedimientos para divulgar diversos tipos de eventos y de debilidad que pudieron tener un impacto en la seguridad de activos de organización.
Procedimientos de divulgación formal del acontecimiento de la seguridad de la información se deben establecer, junto con una respuesta del incidente y un procedimiento de escalada, precisando la acción que se adquirirá recibo de un informe de un acontecimiento de la seguridad de la información. Los mismos que deben incluir:
El comportamiento correcto que se emprenderá en caso de que se de un evento de la seguridad de la información.
Un proceso disciplinario formal establecido para los empleados, contratistas o usuarios de los terceros que ocasionen riesgos de la seguridad.
10. Plan de Continuidad del Negocio
La gestión de la continuidad del negocio debería incluir controles para la identificación y reducción de riesgos, limitar las consecuencias de incidencias dañinas y asegurar la reanudación, a tiempo, de las operaciones esenciales.
Así como reducir la interrupción causada por desastres y fallas de seguridad.
Proceso de gestión de la continuidad del negocio
Debería incluir los siguientes elementos clave:
Comprender los riesgos que la organización corre desde el punto de vista de su vulnerabilidad e impacto.
Identificar los activos envueltos en el proceso crítico del negocio.
Comprender el impacto que tendrían las interrupciones en el negocio;
Considerar la adquisición de los seguros adecuados que formarán parte del proceso de continuidad del negocio.
Continuidad del negocio y análisis de impactos
El estudio para la continuidad del negocio
debería empezar por la identificación de
los eventos que pueden causar
interrupciones en los procesos de negocio.
Se debería continuar con una evaluación
del riesgo para determinar el impacto de
dichas interrupciones.
11. CUMPLIMIENTO CON LOS REQUISITOS LEGALES
Con este control se busca evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulación u obligación contractual, y de todo requisito de seguridad. El diseño, operación, uso y gestión de los sistemas de información puede estar sujeto a requisitos estaestutarios, regulatorios y contractuales de seguridad.
Identificación de la legislación aplicable
Se deberían definir y documentar de forma explícita todos los requisitos legales, regulatorios
y contractuales que sean importantes para cada sistema de información.
Derechos de propiedad intelectual Se deberían implantar los procedimientos apropiados
para asegurar el cumplimiento de las restricciones legales sobre el uso del material
protegido como derechos de autor y los productos de software propietario. Se debería
considerar:
Publicar una política de conformidad de los derechos de propiedad intelectual.
Publicar normas para los procedimientos de adquisición de productos de software.