ISO17799

5/24/2018 ISO17799

1/29

Cdigos debuenas prcticas

de seguridad.

UNE-ISO/IEC17799

Antonio Villaln HuertaGrupo S2

5/24/2018 ISO17799

2/29

2

Contenidos

Introduccin. Problemtica de seguridad.

Qu es ISO 17799?

Historia

Estructura de la norma. Dominios de control.

Objetivos de control.

Trabajando con ISO 17799. Auditora.

Consultora.

Implantacin.

Ventajas.

Conclusiones.

5/24/2018 ISO17799

3/29

3

Introduccin: problemtica

Cmo establecer qu entendemos por seguridad'?

Diferentes criterios de evaluacin de la seguridad: internos auna organizacin, sectoriales, nacionales, internacionales...

Multitud de estndares aplicables a diferentes niveles:

TCSEC (Trusted Computer Security, militar, US, 1985). ITSEC (Information Technology Security, europeo, 1991).

Common Criteria (internacional, 1986-1988).

*7799 (britnico + internacional, 2000).

...

Actualmente, tras adoptar *7799 como estndar internacional, es

el ms extendido y aceptado.

5/24/2018 ISO17799

4/29

4

Introduccin: qu es ISO 17799?

ISO 17799 es una norma internacional que ofrece recomendaciones pararealizar la gestin de la seguridad de la informacin dirigidas a losresponsables de iniciar, implantar o mantener la seguridad de unaorganizacin.

ISO 17799 define la informacin como un activo que posee valor para laorganizacin y requiere por tanto de una proteccin adecuada. El objetivo dela seguridad de la informacin es proteger adecuadamente este activo paraasegurar la continuidad del negocio, minimizar los daos a la organizacin y

maximizar el retorno de las inversiones y las oportunidades de negocio.

La seguridad de la informacin se define como la preservacin de:

Confidencialidad. Aseguramiento de que la informacin es accesible slopara aquellos autorizados a tener acceso.

Integridad. Garanta de la exactitud y completitud de la informacin y delos mtodos de su procesamiento.

Disponibilidad. Aseguramiento de que los usuarios autorizados tienenacceso cuando lo requieran a la informacin y sus activos asociados.

5/24/2018 ISO17799

5/29

5

Introduccin: qu es ISO 17799?

El objetivo de la norma ISO 17799 es proporcionar una base comn paradesarrollar normas de seguridad dentro de las organizaciones y ser unaprctica eficaz de la gestin de la seguridad.

La adaptacin espaola de la norma se denomina UNE-ISO/IEC 17799.

Se trata de una norma NO CERTIFICABLE, pero que recoge la relacin de

controles a aplicar (o al menos, a evaluar) para establecer un Sistema deGestin de la Seguridad de la Informacin (SGSI) segn la norma UNE71502, CERTIFICABLE.

5/24/2018 ISO17799

6/29

6

Introduccin: historia

En 1995 el British Standard Institute publica la norma BS 7799, un cdigode buenas prcticas para la gestin de la seguridad de la informacin.

En 1998, tambin el BSI publica la norma BS 7799-2, especificaciones para

los sistemas de gestin de la seguridad de la informacin; se revisa en

2002.

Tras una revisin de ambas partes de BS 7799 (1999), la primera es

adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:

Conjunto completo de controles que conforman las buenas prcticas de

seguridad de la informacin.

Aplicable por toda organizacin, con independencia de su tamao.

Flexible e independiente de cualquier solucin de seguridad concreta:

recomendaciones neutrales con respecto a la tecnologa.

En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE

17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2

(no existe equivalente ISO).

5/24/2018 ISO17799

7/29

7

Introduccin: historia

1995 1996 1997 1998 1999 2000 2001 2002 2003 2004

BS7779:1999

ISO/IEC 17779:2000

UNE-ISO/IEC 17779:2002:Cdigo de buenas prcticas parala gestin de la seguridad de lainformacin

UNE 71502:2004:Especificaciones para losSistemas de Gestin de laSeguridad de la Informacin

BS7779-2:2002

BS7799: Code of practice forinformation security management(BS7799-1)

BS7779:1999

BS7799-2: Specification forInformation SecurityManagement Systems

5/24/2018 ISO17799

8/29

8

Estructura: dominios de control

La norma UNE-ISO/IEC 17799 establece diez dominios de control quecubren por completo la Gestin de la Seguridad de la Informacin:

1. Poltica de seguridad.

2. Aspectos organizativos para la seguridad.3. Clasificacin y control de activos.

4. Seguridad ligada al personal.

5. Seguridad fsica y del entorno.

6. Gestin de comunicaciones y operaciones.7. Control de accesos.

8. Desarrollo y mantenimiento de sistemas.

9. Gestin de continuidad del negocio.

10.Conformidad con la legislacin. De estos diez dominios se derivan 36 objetivos de control (resultados que

se esperan alcanzar mediante la implementacin de controles) y 127controles (prcticas, procedimientos o mecanismos que reducen el nivel deriesgo).

5/24/2018 ISO17799

9/29

9

Estructura: dominios de control

Poltica de seguridad

Aspectos organizativos para laseguridad

Clasificacin y control deactivos Control de accesos

Conformidad

Seguridad ligada alpersonal

Seguridad fsica y delentorno

Desarrollo y mantenimientode sistemas

Gestin de comunicaciones yoperaciones

Gestin de continuidad delnegocio

Seguridad organizativa

Seguridad lgica

Seguridad fsica

Seguridad legal

Tctic

o

Oper

ativ

o

Estratgico

5/24/2018 ISO17799

10/29

10

Estructura: objetivos de control

POLTICA DE SEGURIDAD

Dirigir y dar soporte a la gestin de la seguridad de la informacin.

La alta direccin debe definir una poltica que refleje las lneas directricesde la organizacin en materia de seguridad, aprobarla y publicitarla de laforma adecuada a todo el personal implicado en la seguridad de la

informacin.

La poltica se constituye en la base de todo el sistema de seguridad de lainformacin.

La alta direccin debe apoyar visiblemente la seguridad de la informacinen la compaa.

5/24/2018 ISO17799

11/29

11


ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

Gestionar la seguridad de la informacin dentro de la organizacin.

Mantener la seguridad de los recursos de tratamiento de la

informacin y de los activos de informacin de la organizacin que son

accedidos por terceros.

Mantener la seguridad de la informacin cuando la responsabilidad

de su tratamiento se ha externalizado a otra organizacin.

Debe disearse una estructura organizativa dentro de la compaa quedefina las responsabilidades que en materia de seguridad tiene cada

usuario o rea de trabajo relacionada con los sistemas de informacin decualquier forma.

Dicha estructura debe poseer un enfoque multidisciplinar: los problemasde seguridad no son exclusivamente tcnicos.

5/24/2018 ISO17799

12/29

12


CLASIFICACIN Y CONTROL DE ACTIVOS

Mantener una proteccin adecuada sobre los activos de la

organizacin.Asegurar un nivel de proteccin adecuado a los activos de

informacin.

Debe definirse una clasificacin de los activos relacionados con lossistemas de informacin, manteniendo un inventario actualizado queregistre estos datos, y proporcionando a cada activo el nivel de proteccinadecuado a su criticidad en la organizacin.

5/24/2018 ISO17799

13/29

13


SEGURIDAD LIGADA AL PERSONAL

Reducir los riesgos de errores humanos, robos, fraudes o mal uso

de las instalaciones y los servicios.Asegurar que los usuarios son conscientes de las amenazas y

riesgos en el mbito de la seguridad de la informacin, y que estn

preparados para sostener la poltica de seguridad de la organizacin

en el curso normal de su trabajo.

Minimizar los daos provocados por incidencias de seguridad y porel mal funcionamiento, controlndolos y aprendiendo de ellos.

5/24/2018 ISO17799

14/29

14


SEGURIDAD LIGADA AL PERSONAL (II)

Las implicaciones del factor humano en la seguridad de la informacin sonmuy elevadas.

Todo el personal, tanto interno como externo a la organizacin, debeconocer tanto las lneas generales de la poltica de seguridad corporativacomo las implicaciones de su trabajo en el mantenimiento de la seguridad

global. Diferentes relaciones con los sistemas de informacin: operador,

administrador, guardia de seguridad, personal de servicios, etc. Procesos de notificacin de incidencias claros, giles y conocidos por

todos.

5/24/2018 ISO17799

15/29

15


SEGURIDAD FSICA Y DEL ENTORNO

Evitar accesos no autorizados, daos e interferencias contra los

locales y la informacin de la organizacin.

Evitar prdidas, daos o comprometer los activos as como la

interrupcin de las actividades de la organizacin.

Prevenir las exposiciones a riesgo o robos de informacin y de

recursos de tratamiento de informacin.

Las reas de trabajo de la organizacin y sus activos deben ser clasificadasy protegidas en funcin de su criticidad, siempre de una forma adecuada

y frente a cualquier riesgo factible de ndole fsica (robo, inundacin,incendio...).

5/24/2018 ISO17799

16/29

16


GESTIN DE COMUNICACIONES Y OPERACIONES

Asegurar la operacin correcta y segura de los recursos de

tratamiento de informacin.

Minimizar el riesgo de fallos en los sistemas.

Proteger la integridad del software y de la informacin.

Mantener la integridad y la disponibilidad de los servicios de

tratamiento de informacin y comunicacin.

Asegurar la salvaguarda de la informacin en las redes y la

proteccin de su infraestructura de apoyo.

Evitar daos a los activos e interrupciones de actividades de la

organizacin.

Prevenir la prdida, modificacin o mal uso de la informacin

intercambiada entre organizaciones.

Se debe garantizar la seguridad de las comunicaciones y de la operacinde los sistemas crticos para el negocio.

5/24/2018 ISO17799

17/29

17


CONTROL DE ACCESOS

Controlar los accesos a la informacin.

Evitar accesos no autorizados a los sistemas de informacin.

Evitar el acceso de usuarios no autorizados.

Proteccin de los servicios en red.

Evitar accesos no autorizados a ordenadores.

Evitar el acceso no autorizado a la informacin contenida en los

sistemas.

Detectar actividades no autorizadas.

Garantizar la seguridad de la informacin cuando se usan

dispositivos de informtica mvil y teletrabajo.

Se deben establecer los controles de acceso adecuados para protegerlos sistemas de informacin crticos para el negocio, a diferentes niveles:sistema operativo, aplicaciones, redes, etc.

5/24/2018 ISO17799

18/29

18


DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Asegurar que la seguridad est incluida dentro de los sistemas de

informacin.

Evitar prdidas, modificaciones o mal uso de los datos de usuario

en las aplicaciones.

Proteger la confidencialidad, autenticidad e integridad de la

informacin.

Asegurar que los proyectos de Tecnologa de la Informacin y las

actividades complementarias son llevadas a cabo de una forma

segura.

Mantener la seguridad del software y la informacin de la

aplicacin del sistema.

Debe contemplarse la seguridad de la informacin en todas las etapas delciclo de vida del software en una organizacin: especificacin de requisitos,desarrollo, explotacin, mantenimiento...

5/24/2018 ISO17799

19/29

19


GESTIN DE CONTINUIDAD DEL NEGOCIO

Reaccionar a la interrupcin de actividades del negocio y proteger

sus procesos crticos frente grandes fallos o desastres.

Todas las situaciones que puedan provocar la interrupcin de lasactividades del negocio deben ser prevenidas y contrarrestadas mediantelos planes de contingencia adecuados.

Los planes de contingencia deben ser probados y revisadosperidicamente.

Se deben definir equipos de recuperacin ante contingencias, en los quese identifiquen claramente las funciones y responsabilidades de cadamiembro en caso de desastre.

5/24/2018 ISO17799

20/29

20


CONFORMIDAD

Evitar el incumplimiento de cualquier ley, estatuto, regulacin u

obligacin contractual y de cualquier requerimiento de seguridad.

Garantizar la alineacin de los sistemas con la poltica de

seguridad de la organizacin y con la normativa derivada de la

misma.

Maximizar la efectividad y minimizar la interferencia de o desde el

proceso de auditora de sistemas.

Se debe identificar convenientemente la legislacin aplicable a lossistemas de informacin corporativos (en nuestro caso, LOPD, LPI, LSSI...),integrndola en el sistema de seguridad de la informacin de la compaa y

garantizando su cumplimiento.

Se debe definir un plan de auditora interna y ser ejecutadoconvenientemente, para garantizar la deteccin de desviaciones conrespecto a la poltica de seguridad de la informacin.

5/24/2018 ISO17799

21/29

21

Auditora

Somos seguros? Muy seguros? Poco seguros? Relativamenteseguros?...

Trabajo de auditora ISO 17799: valoracin del nivel de adecuacin,implantacin y gestin de cada control de la norma en la organizacin:

Seguridad lgica.

Seguridad fsica.

Seguridad organizativa. Seguridad legal.

Referencia de la seguridad de la informacin estndar y aceptada

internacionalmente.

Una vez conocemos el estado actual de la seguridad de la informacin en la

organizacin, podemos planificar correctamente su mejora o sumantenimiento.

5/24/2018 ISO17799

22/29

22

Auditora

Una auditora ISO 17799 proporciona informacin precisa acerca delnivel de cumplimiento de la norma a diferentes niveles: global, pordominios, por objetivos y por controles.

5/24/2018 ISO17799

23/29

23

Consultora

Conociendo el nivel de cumplimiento actual, es posible determinar el nivel

mnimo aceptable y el nivel objetivo en la organizacin:

Nivel mnimo aceptable. Estado con las mnimas garantas deseguridad necesarias para trabajar con la informacin corporativa.

Nivel objetivo. Estado de seguridad de referencia para la organizacin,con un alto grado de cumplimiento ISO 17799.

Nivel objetivo ISO 17799

0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% 100,0%

Poltica de seguridad

Seguridad organizativa. Organizacin

de la seguridad

Clasificacin y control de activos

Seguridad de personal

Seguridad fsica o ambiental

Gestin de comunicaciones y

operaciones

Control de acceso

Desarrollo y mantenimiento de

sistemas

Gestin de continuidad del negocio

Cumplimientos con la normativa

Dominiosdecontrol

Grado de cumplimiento

5/24/2018 ISO17799

24/29

24

Consultora

A partir del nivel mnimo aceptable y el nivel objetivo, podemos definir un

plan de trabajo para alcanzar ambos a partir del estado actual.

Nivel mnimo aceptable. Implantacin de los controles tcnicos ms

urgentes, a muy corto plazo. Nivel objetivo. Se desarrolla en el tiempo dentro del Plan Director deSeguridad corporativo, y es el paso previo a la certificacin UNE71502.

PAUAcciones urgentes

Situacinactual

%

t0 t2 t3

Y%

Z%Objetivo estratgico: Nivel de seguridad

Nivel decumplimiento

ISO 17799 (%)

Tiempo

A

CNivel de seguridadnecesario a corto plazo

D

t1

B

5/24/2018 ISO17799

25/29

25

Implantacin

ISO 17799 no es una norma tecnolgica.

Ha sido redactada de forma flexible e independiente de cualquier

solucin de seguridad especfica.

Proporciona buenas prcticas neutrales con respecto a la tecnologa y

a las soluciones disponibles en el mercado.

Estas caractersticas posibilitan su implantacin en todo tipo de

organizaciones, sin importar su tamao o sector de negocio, pero al mismotiempo son un argumento para los detractores de la norma.

Cmo traducir especificaciones de alto nivel a soluciones concretas, para

poder implantar ISO 17799? Trabajo de consultora, interna o externa.

5/24/2018 ISO17799

26/29

26

Implantacin: un ejemplo

Dominio de control: Gestin de comunicaciones y operaciones

Objetivo de control: proteger la integridad del software y de lainformacin.

Control: Controles contra software malicioso. Se deberan implantar controles para detectar el software malicioso y

prevenirse contra l, junto a procedimientos adecuados para concienciar a los

usuarios.

Consultora

Normativa de uso de software: definicin y publicitacin en la

Intranet. Filtrado de contenidos: X - Content Filtering v3.4.

Antivirus de correo: Y Antivirus v2.0.

Antivirus personal: Z - Antivirus v4.5.

5/24/2018 ISO17799

27/29

27

Ventajas de la norma

La adopcin de la norma ISO 17799 proporciona diferentes ventajas acualquier organizacin:

Aumento de la seguridad efectiva de los sistemas de informacin.

Correcta planificacin y gestin de la seguridad.

Garantas de continuidad del negocio.

Mejora contnua a travs del proceso de auditora interna.

Incremento de los niveles de confianza de nuestros clientes y partners.

Aumento del valor comercial y mejora de la imagen de laorganizacin.

...

CERTIFICACIN! (UNE 71502)

5/24/2018 ISO17799

28/29

28

Conclusiones

ISO 17799 es una norma internacional que ofrece recomendaciones pararealizar la gestin de la seguridad de la informacin, adoptada en Espaa

como norma UNE-ISO/IEC 17799.

La norma se estructura en diez dominios de control que cubren porcompleto todos los aspectos relativos a la seguridad de la informacin.

Implantar ISO 17799 requiere de un trabajo de consultora que adapte losrequerimientos de la norma a las necesidades de cada organizacin concreta.

La adopcin de ISO 17799 presenta diferentes ventajas para la organizacin,entre ellas el primer paso para la certificacin segn UNE 71502.

Ni la adopcin de ISO 17799, ni la certificacin UNE 71502, ni...garantizan la inmunidad de la organizacin frente a problemas de

seguridad.

5/24/2018 ISO17799

29/29

ISO17799

Documents

Transcript of ISO17799