Tema 1 Introduccion A La Norma Iso 27002

1
8
O

2
7
0
0
2
8eguridad nformatica 2009 ng. Jorge Eterovic
ntroduccin a la
8eguridad nformatica
Conceptos Bsicos
2
8
O

2
7
0
0
2
La La informaci informaci n n es un es un recurso recurso que, como el resto de los que, como el resto de los
importantes importantes activos comerciales activos comerciales, tiene valor para una , tiene valor para una
organizaci organizaci n y por consiguiente debe ser n y por consiguiente debe ser debidamente debidamente
protegida protegida. .
La seguridad de la informaci La seguridad de la informaci n protege n protege sta de una sta de una
amplia gama de amenazas, a fin de amplia gama de amenazas, a fin de garantizar la garantizar la
continuidad del negocio continuidad del negocio, minimizar el da , minimizar el da o al mismo y o al mismo y
maximizar el retorno sobre las inversiones y las maximizar el retorno sobre las inversiones y las
oportunidades oportunidades" ". {8O . {8O- -EC 27002 EC 27002 - - A A o 2008} o 2008}
Ou Ou es la seguridad de la informaci es la seguridad de la informaci n? n?
Conceptos basicos:
2
3
8
O

2
7
0
0
2
Conceptos basicos:
La informaci La informaci n puede existir en muchas formas. n puede existir en muchas formas.
mpresa o escrita en papel mpresa o escrita en papel
Almacenada electr Almacenada electr nicamente nicamente
Transmitida por correo o utilizando medios electr Transmitida por correo o utilizando medios electr nicos nicos
Presentada en im Presentada en ima agenes genes
Expuesta en una conversaci Expuesta en una conversaci n n
Cualquiera sea la forma que adquiere la informaci Cualquiera sea la forma que adquiere la informaci n, o los n, o los
medios por los cuales se distribuye o almacena, siempre medios por los cuales se distribuye o almacena, siempre
debe ser protegida en forma adecuada. debe ser protegida en forma adecuada." " {8O {8O {8O {8O {8O {8O {8O {8O- -- - - -- -EC 27002} EC 27002} EC 27002} EC 27002} EC 27002} EC 27002} EC 27002} EC 27002}
4
8
O

2
7
0
0
2
La seguridad de la informacin se define aqui
como la preservacin de las siguientes
funcionalidades:
ntegridad ntegridad
Confidencialidad Confidencialidad
Disponibilidad Disponibilidad
de los recursos y de la informacin
Conceptos basicos:
3
5
8
O

2
7
0
0
2
Conceptos basicos:
1965 - Departamento de Defensa de Estados Unidos:
Orange Book.
1983 - Encripcin de la informacin.
1985 - Primer Virus de PC.
1990 - Concepto de 8eguridad en redes.
1995 - Aparece el Firewall.
2000 - 8eguridad en sistemas operativos. D8's
2003 - 8eguridad de la nformacin.
La evolucin de la 8eguridad nformatica:
6
8
O

2
7
0
0
2
Conceptos basicos:
Clientes
Procesos
negocio
TI
Distancia entre las Tecnologas de
la Informacin y los procesos de
negocio
Modelos de negocio tradicionales
Convergencia de las Tecnologas de
la Informacin y los procesos de
negocio
Modelos Business to Business y
Business to Consumer
Modelos e-business
Clientes Organizacin
Tecnologas de
la informacin
Procesos
negocio
TI
(mayor necesidad de
confianza, privacidad y
seguridad)
mayores
riesgos
Organizacin
Tecnologas de
la informacin
A medida que la distancia entre procesos de administracin,
negocio y tecnologias disminuye, el impacto de riesgos de
seguridad aumenta.
Crecimiento:
4
7
8
O

2
7
0
0
2
PRIVACIDAD
GESTIN DE USUARIOS
AUTENTICACIN
SEGURIDAD PERIMTRAL
SEGURIDAD EN
LAS
APLICACIONES
MONITORIZACIN
CONTINUDIAD DEL
NEGOCIO
GESTIN DE INCIDENCIAS
AUDITORAS
GESTIN DE SISTEMAS
INTEGRIDAD
SEGURIDAD FSICA
CONFIDENCIALIDAD
VALIDEZ LEGAL
DISPONIBILIDAD
ESCALABILIDAD
RENDIMIENTO
NO REPUDIO
Areas asociadas a la 8eguridad:
Conceptos basicos:
8
8
O

2
7
0
0
2
La seguridad informatica en nmeros:
85% 85% 85% 85% {grandes compaias y agencias del
gobierno} detectaron problemas de
seguridad en los ltimos 12 meses.
35% 35% 35% 35% pudieron cuantificar sus prdidas
financieras. De stas, 186 reportaron
prdidas financieras por S 377.828.700 S 377.828.700 S 377.828.700 S 377.828.700.-
Fuente: The Computer Security Institute with the participation o Fuente: The Computer Security Institute with the participation of the Federal f the Federal
Bureau of Investigation's (FBI) Computer Intrusion Bureau of Investigation's (FBI) Computer Intrusion Squad Squad. .
5
9
8
O

2
7
0
0
2
La mayor prdida financiera es debido al robo de
informacin {34 respuestas reportaron S 151.230.100} y
fraude financiero {21 respuestas reportaron S
92.935.500}.
36% reportaron las intrusiones.
40% detectaron una intrusin proveniente del exterior
38% Detectaron ataques de Negacin del 8ervicio
91% Detectaron abusos de los empleados de los
privilegios de acceso sobre nternet
95% Detectaron virus informaticos y malware.
La seguridad informatica en nmeros:
8
O

2
7
0
0
2
ntroduccin a la Norma
RAM-8O 27002
Tecnologa de la informacin
Cdigo de prctica para la
administracin de la
seguridad de la informacin
6
11
8
O

2
7
0
0
2
La 8eguridad nformatica actual
Riesgos e impacto en los negocios
Normas aplicables
Enfoque RAM-8O 27002
12
8
O

2
7
0
0
2
No existe la verdad absoluta" en 8eguridad
nformatica.
No es posible eliminar todos los riesgos.
No se puede ser especialista en todos los
temas.
La Direccin esta convencida de que la
8eguridad nformatica no hace al negocio de la
compaia.
Cada vez los riesgos y el impacto en los
negocios son mayores.
8in embargo, .. debemos hacer algo en este
tema.
Algunas premisas:
7
13
8
O

2
7
0
0
2
8egn una encuesta del Departamento de
Defensa de U8A:
8obre aprox. 9.000 computadores atacados
{test de penetracin},
7.900 fueron daados.
400 detectaron el ataque.
8lo 19 informaron el ataque.
Algunos datos:
14
8
O

2
7
0
0
2
En mi compaia ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el area.
... en la ltima auditoria de sistemas no me
sacaron observaciones importantes.
... ya escribi las politicas.
... hice un test de penetracin y ya
arreglamos todo.
Algunas realidades:
8
15
8
O

2
7
0
0
2
en formato electrnico / magntico / ptico
en formato impreso
en el conocimiento de las personas
Ou nformacin proteger?
16
8
O

2
7
0
0
2
Principales riesgos y su impacto en
los negocios
9
17
8
O

2
7
0
0
2
Desde cualquier PC fuera de la Compaia se puede tomar
control de cualquier PC dentro de la Compaia.
Alguien puede mandar e-mails en nombre de otro.
En minutos, cualquier usuario puede conocer las
contraseas.
Los e-mails y documentos pueden ser consultados y
modificados" en cualquier punto de la red.
Cualquier usuario puede infectar con virus la red de la
Compaia.
La mayor parte de los fraudes son a travs del uso de los
sistemas.
Cualquier hacker puede de]ar los sistemas sin servicios.
Una compaia puede ser en]uiciada por incumplimiento de
leyes y reglamentaciones {Habeas Data, Propiedad
ntelectual, Ley de Delitos nformaticos}.
Principales riesgos y el impacto en
los negocios:
18
8
O

2
7
0
0
2
8e pueden robar o extraviar computadoras portatiles con
informacin critica.
8e puede acceder indebidamente a las redes a travs de
nternet con aplicaciones peer to peer, via Wi-Fi, etc.
Las comunicaciones satelitales pueden ser interceptadas.
Los equipos informaticos pueden sufrir caidas o
destrucciones.
Ciertos programadores pueden desarrollar programas tipo
bomba lgica".
Pueden existir programas tipo troyanos" para capturar
informacin sensitiva.
Puede haber escuchas" de comunicaciones de voz y de
datos.
los negocios:
10
19
8
O

2
7
0
0
2
Los comprobantes legalmente requeridos pueden no
estar disponibles.
La informacin impresa puede ser copiada.
En los sistemas de la Compaia se mantiene
informacin no apropiada.
En los equipos puede haber software no licenciado.
La propiedad de la informacin y desarrollo a favor de
la Compaia puede no estar asegurada.
El personal contratado puede no tener los mismos
niveles de seguridad en sus equipos.
Algunos empleados y terceros pueden no mantener
contratos de confidencialidad.
los negocios:
20
8
O

2
7
0
0
2
Los soportes de la informacin pueden ser robados o
destruidos.
8e puede distribuir informacin alterada a socios,
accionistas, auditores y entes de contralor {8OX}.
8e puede no disponer de la informacin en el momento
adecuado.
Puede haber envios de mails annimos" con informacin
critica o con agresiones.
8e pueden distribuir datos que atenten contra la privacidad
de los empleados.
8e puede obtener la documentacin impresa de la basura.
Alguien puede acceder a la informacin no recogida de las
impresoras.
los negocios:
11
21
8
O

2
7
0
0
2
En estos tipos de problemas es dificil:
Darse cuenta que pasan, hasta que pasan.
Poder cuantificarlos econmicamente, por e]emplo
cuanto le cuesta a la compaia 4 horas sin
sistemas?
Poder vincular directamente sus efectos sobre los
resultados de la compaia.
los negocios:
22
8
O

2
7
0
0
2
8e puede estar preparado para que ocurran lo menos
posible:
sin grandes inversiones en software/hardware
sin mucha estructura de personal
Tan solo:
ordenando la Gestin de 8eguridad
parametrizando adecuadamente la seguridad
propia de los sistemas
utilizando herramientas licenciadas y open source
los negocios:
12
23
8
O

2
7
0
0
2
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de 8eguridad de la
nformacin, podemos encontrar los siguientes:
nformation 8ystems and Audit Control Association - 8ACA:
COBT
British 8tandards nstitute: B8
nternational 8tandards Organization: Normas 8O RAM
Departamento de Defensa de U8A: Orange Book
T8EC - nformation Technology 8ecurity Evaluation
Criteria: White Book
8ans nstitute
N8T
CRTs
Normas aplicables:
24
8
O

2
7
0
0
2
Normas aplicables:
COBT COBT COBT COBT
Control Ob]ectives for nformation and Related Technology
Misin del COBT
nvestigar, desarrollar, publicar y promover un con]unto
de ob]etivos de control en tecnologia de informacin con
autoridad, actualizados, de caracter internacional y
aceptados generalmente para el uso cotidiano de
gerentes de empresas y auditores.
nformation 8ystems and Audit Control Association -
8ACA
13
25
8
O

2
7
0
0
2
Normas aplicables:
Este organismo emite las COBT AUDT GUDELNE8, que:
8on estandares internacionalmente aceptados para la
practica de seguridad informatica, definidos por la
nformation 8ystems and Audit Control Association -
8ACA.
Comprenden una serie de Ob]etivos de Control a cumplir
en los distintos aspectos del gobierno" de T, dentro de
los cuales se encuentran los temas especificos de
8eguridad y Control:
Planeacin y organizacin
Adquisicin e implementacin
Entrega de servicios y soporte
Monitoreo
26
8
O

2
7
0
0
2
Normas aplicables:
British 8tandards nstitute
Emiti el B8 Code of Practice for nformation 8ecurity
Management {B8 7799}, con un con]unto de estandares
internacionalmente aceptados para la practica de
seguridad informatica, sobre los que luego se basaron
para la emisin de la Norma 8O 17799 primero y 27002
despus.
14
27
8
O

2
7
0
0
2
Normas aplicables:
nternational 8tandards Organization: Normas 8O
La principal norma de Evaluacin e mplementacin de
medidas de 8eguridad en Tecnologias de la nformacin es
la NORMA 8O 27002.
Esta organizada en 11 capitulos en los que se tratan los
distintos criterios a ser tenidos en cuenta en cada tema.
28
8
O

2
7
0
0
2
Departamento de Defensa de U8A: Orange Book
Proporciona una base para la evaluacin de la eficacia de
los controles y de la seguridad en los recursos
informaticos de procesamiento de datos.
Tiene distintas categorias de clasificacin segn los
requerimientos que cumpla cada recurso informatico.
Tiene distintas categorias de clasificacin:
D Minimal 8ecurity Not provide security features
C1 Discretionary Protection No accountability or types of
access
C2 Controlled access protection Accountability of individual
users,ACL, Audit events
B1 Labeled Protection Mandatory access controls,
labeling requirements
B2 Mandatory Protection Labels include devices
B3 8ecurity Domains Highly resistant to penetration
A Verified Protection Trusted distribution
Normas aplicables:
15
29
8
O

2
7
0
0
2
Normas aplicables:
Estandar publicado en Alemania conocido como el White
Book de Europa, que sirve de estandar de seguridad para
nformation 8ecurity en paises europeos.
T8EC - nformation Technology 8ecurity
Evaluation Criteria
30
8
O

2
7
0
0
2
Normas aplicables:
8AN8 nstitute
Organizacin que nuclea a los Administradores de
8eguridad y que emite documentacin relacionada con
riesgos de 8eguridad y los mecanismos tcnicos para
combatirlos y para mitigarlos.
N8T
Organizacin que publica en su site 8tandards
tecnolgicos de seguridad.
16
31
8
O

2
7
0
0
2
Normas aplicables:
CRT {Computer ncident Response Team}
Los CRTs son organizaciones dedicadas al analisis de
ncidentes. El ob]etivo de estas organizaciones es crear
una comunidad de rapida respuesta ante incidentes de
seguridad informatica, brindando servicios de alerta
temprana, llevando estadisticas de los ataques mas
frecuentes y brindando recomendaciones para hacer las
redes mas seguras. Estos centros se alimentan de los
incidentes de seguridad de distintos usuarios en el
mundo.
32
8
O

2
7
0
0
2
Buenas Practicas en la Gestin de la
8eguridad de la nformacin
Norma 8O 27002
17
33
8
O

2
7
0
0
2
nternational 8tandards Organization:
Normas 8O
8O 9001 - Calidad
8O 14001 - Ambiental
8O serie 27000 - 8eguridad de la nformacin
La principal norma de Evaluacin e
mplementacin de medidas de 8eguridad en
Tecnologias de la nformacin es la NORMA 8O
27001.
Basada en el BRT8H 8TANDARD 7799.
8O {Europa} y N8T {U8A}.
Normas de Gestin 8O
34
8
O

2
7
0
0
2
Tenemos 2 normas fundamentales:
17799 27002 : NORMALZACON {Me]ores Practicas}
Homologada en Argentina RAM-8O/EC 27002
27001: 8istema de Gestin de 8eguridad de la
nformacin {CERTFCACON}
Homologada en Argentina RAM-8O/EC 27001
Las certificaciones son con: B8 7799-2 8O 27001
Norma 8O 27000: 8eguridad de la
nformacin
18
35
8
O

2
7
0
0
2
Norma 8O 27002 8eguridad de la
nformacin
Esta organizada en 11 capitulos en los que se tratan
los distintos criterios a ser tenidos en cuenta en cada
tema para llevar adelante una correcta:
GE8TON DE 8EGURDAD DE LA NFORMACON GE8TON DE 8EGURDAD DE LA NFORMACON GE8TON DE 8EGURDAD DE LA NFORMACON GE8TON DE 8EGURDAD DE LA NFORMACON
Alcance:
Recomendaciones para la gestin de la seguridad
de la informacin
8irve de Base para el desarrollo de las politicas de
seguridad en las organizaciones
36
8
O

2
7
0
0
2
Preservar la:
confidencialidad:
accesible slo a aquellas personas autorizadas a
tener acceso.
integridad:
exactitud y totalidad de la informacin y los
mtodos de procesamiento.
disponibilidad:
acceso a la informacin y a los recursos
relacionados con ella toda vez que se requiera.
Norma 8O 17799 - Ob]etivo
19
37
8
O

2
7
0
0
2
Dominios:
1. Politica de 8eguridad
2. Organizacin de 8eguridad
3. Gestin de Activos
4. 8eguridad de los Recursos Humanos
5. Proteccin Fisica y Ambiental
6. Gestin de Comunicaciones y Operaciones
7. Control de Accesos
8. Adquisicin, Desarrollo y Mantenimiento de 8istemas
9. Gestin de los ncidentes de 8eguridad
10. Gestin de la Continuidad del Negocio
11. Cumplimiento
Norma 8O 27002 8eguridad de la
nformacin
38
8
O

2
7
0
0
2
La informacin = activo comercial
Tiene valor para una organizacin y por
consiguiente debe ser debidamente protegida.
Garantizar la continuidad comercial, minimizar
el dao al mismo y maximizar el retorno sobre
las inversiones y las oportunidades"
La seguridad que puede lograrse por medios
tcnicos es limitada y debe ser respaldada por
una gestin y procedimientos adecuados"
Ou es la 8eguridad de la nformacin?
20
39
8
O

2
7
0
0
2
mpresa,
escrita en papel,
almacenada electrnicamente,
transmitida por correo o utilizando medios
electrnicos,
presentada en imagenes, o
expuesta en una conversacin.
Formas o medios que se distribuye o
almacena:
40
8
O

2
7
0
0
2
mplementando un con]unto adecuado de
CONTROLE8":
Politicas
Me]ores Practicas
Normas
Procedimientos
Planes
Estndares Tecnolgicos
Estructuras Organizacionales
8oftware
Hardware
Gestin de 8eguridad de la nformacin
21
41
8
O

2
7
0
0
2
Cmo establecer los requerimientos
de 8eguridad?
Evalan los riesgos:
se hace un relevamiento de los activos,
se identifican las amenazas a esos activos,
se evalan vulnerabilidades y probabilidades de
ocurrencia,
se estima el impacto potencial y
se determina el nivel de riesgo de cada activo.
Evalan los Requisitos legales, normativos,
reglamentarios y contractuales que deben cumplir:
la organizacin,
sus socios comerciales,
los contratistas y los prestadores de servicios.
42
8
O

2
7
0
0
2
8eleccin de controles:
Los controles pueden seleccionarse sobre la base de la
Norma 8O 27002, de otros estandares, o pueden
disearse nuevos controles para satisfacer necesidades
especificas segn corresponda"
Costo de implementacin vs. riesgos a reducir y las
prdidas monetarias y no monetarias
Revisiones peridicas de:
Riesgos
Controles implementados
22
43
8
O

2
7
0
0
2
8eleccin de controles:
Controles esenciales" desde el punto de vista legal:
proteccin de datos y confidencialidad de informacin
personal
proteccin de registros y documentos de la organizacin
resguardo de derechos de propiedad intelectual
proteccin contra los delitos informaticos
Controles considerados como practica recomendada" de uso
frecuente en la implementacin de la seguridad de la
informacin:
documentacin de la politica
asignacin de responsabilidades en materia de seguridad
concientizacin, capacitacin y entrenamiento
comunicacin de incidentes relativos a la seguridad
administracin de la continuidad de los negocios
44
8
O

2
7
0
0
2
politica de seguridad, ob]etivos y actividades que
refle]en los ob]etivos de la empresa;
una estrategia de implementacin de seguridad que
sea consecuente con la cultura organizacional;
apoyo y compromiso manifiestos por parte de la
gerencia;
un claro entendimiento de los requerimientos de
seguridad, la evaluacin de riesgos y la
administracin de los mismos;
comunicacin eficaz de los temas de seguridad a
todos los gerentes y empleados;
capacitacin del area de T.
Factores criticos del xito:
23
45
8
O

2
7
0
0
2
distribucin de las politicas y estandares de
seguridad de la informacin a todos los
empleados y contratistas;
Concientizacin, capacitacin y
entrenamiento adecuados;
un sistema integral y equilibrado de medicin
que se utilice para evaluar el desempeo de la
gestin de la seguridad de la informacin y
para brindar sugerencias tendientes a
me]orarlo.
Factores criticos del xito:
46
8
O

2
7
0
0
2
Dominio 1
Politica de 8eguridad
24
47
8
O

2
7
0
0
2
Dominio 1: POLTCA DE 8EGURDAD
Nivel gerencial debe:
aprobar y publicar la politica de seguridad
comunicarlo a todos los empleados
48
8
O

2
7
0
0
2
Debe incluir:
ob]etivos y alcance generales de seguridad
apoyo expreso de la direccin
breve explicacin de los valores de seguridad de
la organizacin
definicin de las responsabilidades generales y
especificas en materia de gestin de la seguridad
de la informacin
referencias a documentos que puedan respaldar
la politica
25
49
8
O

2
7
0
0
2
Politica de
8eguridad
Autorizacin
Proteccin
Fisica
Propiedad
Eficacia
Eficiencia
Exactitud
ntegridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
50
8
O

2
7
0
0
2
Es politica de la compaia:
Eficacia:
Garantizar que toda la informacin utilizada es
necesaria y til para el desarrollo de los negocios.
Eficiencia:
Asegurar que el procesamiento de la informacin se
realice mediante una ptima utilizacin de los
recursos humanos y materiales.
Confiabilidad:
Garantizar que los sistemas informaticos brindan
informacin correcta para ser utilizada en la
operatoria de cada uno de los procesos.
26
51
8
O

2
7
0
0
2
ntegridad:
Asegurar que sea procesada toda la informacin
necesaria y suficiente para la marcha de los negocios
en cada uno de los sistemas informaticos y procesos
transaccionales.
Exactitud:
Asegurar que toda la informacin se encuentre libre de
errores y/o irregularidades de cualquier tipo.
Disponibilidad:
Garantizar que la informacin y la capacidad de su
procesamiento manual y automatico, sean
resguardados y recuperados eventualmente cuando sea
necesario, de manera tal que no se interrumpa
significativamente la marcha de los negocios.
52
8
O

2
7
0
0
2
Legalidad:
Asegurar que toda la informacin y los medios fisicos
que la contienen, procesen y/o transporten, cumplan
con las regulaciones legales vigentes en cada ambito.
Confidencialidad:
Garantizar que toda la informacin esta protegida del
uso no autorizado, revelaciones accidentales,
espiona]e industrial, violacin de la privacidad y otras
acciones similares de accesos de terceros no
permitidos.
27
53
8
O

2
7
0
0
2
Autorizacin:
Garantizar que todos los accesos a datos y/o
transacciones que los utilicen cumplan con los niveles
de autorizacin correspondientes para su utilizacin y
divulgacin.
Proteccin Fisica:
Garantizar que todos los medios de procesamiento y/o
conservacin de informacin cuentan con medidas de
proteccin fisica que eviten el acceso y/o utilizacin
indebida por personal no autorizado.
Propiedad:
Asegurar que todos los derechos de propiedad sobre la
informacin utilizada por todos sus empleados en el
desarrollo de sus tareas, estn adecuadamente
establecidos a favor de la compaia.
54
8
O

2
7
0
0
2
Dominio 2
Organizacin de la 8eguridad
28
55
8
O

2
7
0
0
2
Dominio 2: ORGANZACON DE LA
8EGURDAD
nfraestructura de seguridad de la informacin:
Debe establecerse un marco gerencial para
iniciar y controlar la implementacin.
Deben establecerse adecuados foros de gestin
de seguridad que asignen responsabilidades para
cada usuario en la organizacin.
8e debe establecer una fuente de asesoramiento
especializado en materia de seguridad y
contactos con organizaciones externas
56
8
O

2
7
0
0
2
Foros de Gestin: Comit de 8eguridad
aprobar la politica de seguridad de la informacin
asignar funciones de seguridad
actualizarse ante cambios
coordinar la implementacin
definir metodologias y procesos especificos de
seguridad
monitorear incidentes de seguridad
lidera el proceso de concientizacin de usuarios
8EGURDAD
29
57
8
O

2
7
0
0
2
8EGURDAD
8ponsoreo y seguimiento
Direccin de la Compaia
Foro / Comit de 8eguridad
Autorizacin
Dueo de datos
Definicin
Area de 8eguridad
nformatica
Area de Legales
Administracin
Administrador de 8eguridad
Cumplimiento directo
Usuarios finales
Terceros y personal
contratado
Area de sistemas
Control
Auditoria nterna
Auditoria Externa
Principales roles y funciones:
58
8
O

2
7
0
0
2
8eguridad frente al acceso por parte de terceros:
El acceso por parte de terceros debe ser
controlado.
Debe llevarse a cabo una evaluacin de
riesgos: determinar las incidencias en la
seguridad y los requerimientos de control.
Los controles deben ser acordados y definidos
en un contrato con la tercera parte.
8EGURDAD
30
59
8
O

2
7
0
0
2
Tipos de terceros:
personal de mantenimiento y soporte de
hardware y software
limpieza, "catering", guardia de seguridad y
otros servicios de soporte tercerizados
pasantias de estudiantes y otras
designaciones contingentes de corto plazo
consultores.
8EGURDAD
60
8
O

2
7
0
0
2
Dominio 3
Gestin de Activos
31
61
8
O

2
7
0
0
2
Hacer un nventario de los Activos de
nformacin
Designar a un propietario para cada uno de
ellos
Hacer la Clasificacin de la informacin
Dominio 3: GE8TON DE ACTVO8
62
8
O

2
7
0
0
2
nventario:
Cada activo debe ser claramente identificado y su
propietario y clasificacin en cuanto a seguridad deben ser
acordados y documentados, ]unto con la ubicacin vigente
del mismo"
E]emplos:
recursos de informacin:
bases de datos y archivos, documentacin de
sistemas, manuales de usuario, material de
capacitacin, procedimientos operativos o de soporte,
planes de continuidad, informacin archivada;
recursos de software:
software de aplicaciones, software de sistemas,
herramientas de desarrollo y utilitarios;
32
63
8
O

2
7
0
0
2
Designar a un propietario para cada recurso de
informacin:
dentificarse claramente los diversos recursos y procesos
de seguridad relacionados con cada uno de los sistemas.
Designar al responsable de cada recurso o proceso de
seguridad y se deben documentar los detalles de esta
responsabilidad.
Los niveles de autorizacin deben ser claramente definidos
y documentados.
64
8
O

2
7
0
0
2
Clasificacin de la informacin:
Garantizar que los recursos de informacin reciban un
apropiado nivel de proteccin.
8e debe utilizar un sistema de clasificacin de la informacin
para definir un con]unto apropiado de niveles de proteccin y
comunicar la necesidad de medidas de tratamiento especial.
La informacin debe ser clasificada para sealar:
la necesidad,
las prioridades y
el grado de proteccin.
33
65
8
O

2
7
0
0
2
Pautas de clasificacin:
Considerar las necesidades de la empresa con respecto a la
distribucin {uso compartido} o restriccin de la informacin,
e incidencia de dichas necesidades en las actividades de la
organizacin.
La informacin de]a de ser sensible o critica despus de un
cierto periodo de tiempo.
La clasificacin por exceso {"over classification"} puede
traducirse en gastos adicionales innecesarios para la
organizacin.
66
8
O

2
7
0
0
2
La informacin y las salidas de los sistemas que administran
datos clasificados deben ser rotuladas segn su valor y
grado de sensibilidad para la organizacin.
8e debe considerar el nmero de categorias de clasificacin.
La responsabilidad por la definicin de la clasificacin debe
ser asignada al propietario designado de la informacin.
34
67
8
O

2
7
0
0
2
Dominio 4
8eguridad de los Recursos
Humanos
68
8
O

2
7
0
0
2
8eguridad en la definicin de puestos de traba]o y
la asignacin de recursos
Las responsabilidades en materia de seguridad deben
ser:
explicitadas en la etapa de reclutamiento,
incluidas en los contratos y
monitoreadas durante el desempeo como empleado.
Dominio 4: 8EGURDAD DE LO8
RECUR8O8 HUMANO8
35
69
8
O

2
7
0
0
2
Capacitacin del usuario
Garantizar que los usuarios estan al corriente de
las amenazas e incumbencias en materia de
seguridad de la informacin, y estan capacitados
para respaldar la politica de seguridad de la
organizacin en el transcurso de sus tareas
normales.
RECUR8O8 HUMANO8
70
8
O

2
7
0
0
2
Respuesta a incidentes y anomalias en materia
de seguridad
Minimizar el dao producido por incidentes y
anomalias en materia de seguridad, y monitorear
dichos incidentes y aprender de los mismos.
RECUR8O8 HUMANO8
36
71
8
O

2
7
0
0
2
Proceso disciplinario
Debe existir un proceso disciplinario formal para los
empleados que violen las politicas y procedimientos
de seguridad de la organizacin.
RECUR8O8 HUMANO8
72
8
O

2
7
0
0
2
Dominio 5
Proteccin Fisica y Ambiental
37
73
8
O

2
7
0
0
2
Dominio 5: PROTECCON F8CA Y
AMBENTAL
mpedir accesos no autorizados, daos e
interferencia a:
8edes
nstalaciones
nformacin
74
8
O

2
7
0
0
2
Perimetro de seguridad fisica
Controles de acceso fisico
8eguridad del equipamiento
8uministros de energia
Cableado de energia elctrica y de
comunicaciones
Mantenimiento de equipos
8eguridad del equipamiento fuera del ambito de
la organizacin
Politicas de escritorios y pantallas limpias
Retiro de bienes
AMBENTAL
38
75
8
O

2
7
0
0
2
E]emplos:
8uministro de energia:
Asegurar el suministro permanente de corriente elctrica,
instalando UP8 y generadores alternativos. Asegurar el combustible
necesario para dichos generadores.
Escritorios y pantallas limpias:
8obre los escritorios no deben de quedar papeles sensibles.
Las pantallas deben quedar protegidas con protectores de pantalla
con contrasea.
Retiro de bienes:
Establecer politicas de retiros de bienes de la compaia, ya sea por
reparacin, mantenimiento, traba]os fuera de la oficina, etc.
AMBENTAL
76
8
O

2
7
0
0
2
Dominio 6
Gestin de Operaciones y
Comunicaciones
39
77
8
O

2
7
0
0
2
Dominio 6: GE8TON DE OPERACONE8 Y
COMUNCACONE8
Garantizar el funcionamiento correcto y seguro
de las instalaciones de procesamiento de la
informacin.
8e deben establecer las responsabilidades y
procedimientos para la gestin y operacin de
todas las instalaciones de procesamiento de
informacin.
8e debe implementar la separacin de
funciones cuando corresponda.
8e deben documentar los procedimientos de
operacin
78
8
O

2
7
0
0
2
COMUNCACONE8
8eparacin entre instalaciones de desarrollo e
instalaciones operativas
Deben separarse las instalaciones de:
Desarrollo
Prueba
Operaciones
8e deben definir y documentar las reglas para la
transferencia de software desde el estado de
desarrollo hacia el estado operativo.
40
79
8
O

2
7
0
0
2
Procesos / Procedimientos de:
Planificacin y aprobacin de sistemas
Proteccin contra software malicioso
Mantenimiento back up
Administracin de la red
Administracin y seguridad de los medios de
almacenamiento
Acuerdos de intercambio de informacin y
software
COMUNCACONE8
80
8
O

2
7
0
0
2
Dominio 7
Control de Accesos
41
81
8
O

2
7
0
0
2
Dominio 7: CONTROL DE ACCE8O8
Requerimientos de negocio para el control de
accesos:
Coherencia entre las politicas de control de
acceso y de clasificacin de informacin de
los diferentes sistemas y redes
Administracin de accesos de usuarios:
8e deben implementar procedimientos
formales para controlar la asignacin de
derechos de acceso a los sistemas y
servicios de informacin.
82
8
O

2
7
0
0
2
Administracin de accesos de usuarios
Administracin de privilegios
Responsabilidades del usuario
Control de acceso a la red
Camino forzado
Autenticacin de usuarios para conexiones
externas
Monitoreo del acceso y uso de los sistemas
42
83
8
O

2
7
0
0
2
E]emplo:
Camino forzado:
Forzar" al usuario a seguir una ruta de men preestablecida
hasta llegar al recuso y/o transaccin solicitada sin la
posibilidad de evitar algn paso previo.
84
8
O

2
7
0
0
2
Dominio 8
Adquisicin, Desarrollo y
Mantenimiento de 8istemas de
nformacin
43
85
8
O

2
7
0
0
2
Dominio 8: ADOU8CON, DE8ARROLLO
Y MANTENMENTO DE 88TEMA8
Requerimientos de seguridad de los sistemas.
Asegurar que la seguridad es incorporada a los
sistemas de informacin.
Los requerimientos de seguridad deben ser
identificados y aprobados antes del desarrollo
de los sistemas de informacin.
86
8
O

2
7
0
0
2
8eguridad en los sistemas de aplicacin
8e deben disear en los sistemas de aplicacin,
incluyendo las aplicaciones realizadas por el
usuario, controles apropiados y pistas de auditoria
o registros de actividad, incluyendo:
la validacin de datos de entrada,
procesamiento interno, y
salidas.
Dominio 8: ADOU8CON, DE8ARROLLO
Y MANTENMENTO DE 88TEMA8
44
87
8
O

2
7
0
0
2
Dominio 9
Gestin de los ncidentes de
8eguridad de la nformacin
88
8
O

2
7
0
0
2
Dominio 9: GE8TON DE LO8
NCENTE8 DE 8EGURDAD
Garantizar que los eventos de seguridad de la
informacin y las debilidades asociadas a los
sistemas de informacin sean comunicados para
que puedan ser corregidos en tiempo y forma.
Reporte de eventos de seguridad de la informacin
Reporte de las debilidades de la seguridad
Gestin de incidentes y me]oras
Recoleccin de evidencia
45
89
8
O

2
7
0
0
2
Dominio 10
Gestin de la Continuidad
del Negocio
90
8
O

2
7
0
0
2
Dominio 10: GE8TON DE LA
CONTNUDAD DEL NEGOCO
Contrarrestar las interrupciones de las
actividades comerciales y proteger los
procesos criticos del negocio de los efectos de
fallas significativas o desastres.
8e debe implementar un proceso de
administracin de la continuidad del negocio
8e deben analizar las consecuencias de
desastres, fallas de seguridad e interrupciones
del servicio.
46
91
8
O

2
7
0
0
2
8e deben desarrollar e implementar planes de
contingencia para garantizar que los procesos de
negocios puedan restablecerse dentro de los
plazos requeridos.
Los planes deben mantenerse en vigencia y
transformarse en una parte integral del resto de
los procesos de administracin y gestin.
La administracin de la continuidad del negocio
debe incluir controles destinados a identificar y
reducir riesgos, atenuar las consecuencias de los
incidentes per]udiciales y asegurar la reanudacin
oportuna de las operaciones indispensables.
92
8
O

2
7
0
0
2
Principales etapas:
Clasificacin de los distintos escenarios de
desastres
Evaluacin de impacto en el negocio
Desarrollo de una estrategia de recupero
mplementacin de la estrategia
Documentacin del plan de recupero
Testing y mantenimiento del plan
47
93
8
O

2
7
0
0
2
Dominio 11
Cumplimiento
94
8
O

2
7
0
0
2
Dominio 11 : CUMPLMENTO
mpedir infracciones y violaciones de las leyes
del derecho civil y penal; de las obligaciones
establecidas por leyes, estatutos, normas,
reglamentos o contratos; y de los requisitos de
seguridad.
Garantizar la conformidad de los sistemas con
las politicas y estandares de seguridad de la
organizacin.
Maximizar la efectividad y minimizar las
interferencias de los procesos de auditoria de
sistemas.
48
95
8
O

2
7
0
0
2
Recoleccin de evidencia:
La evidencia presentada debe cumplir con las
pautas establecidas en la ley pertinente o en las
normas especificas del tribunal en el cual se
desarrollara el caso:
Validez de la evidencia: si puede o no utilizarse
la misma en el tribunal
Peso de la evidencia: la calidad y totalidad de la
misma
96
8
O

2
7
0
0
2
Adecuada evidencia de que los controles han
funcionado en forma correcta y consistente
durante todo el periodo en que la evidencia a
recuperar fue almacenada y procesada por el
sistema.
Para lograr la validez de la evidencia, las
organizaciones deben garantizar que sus sistemas
de informacin cumplan con los estandares o
cdigos de practica relativos a la produccin de
evidencia valida.
49
97
8
O

2
7
0
0
2
Revisiones de la politica de seguridad y la
compatibilidad tcnica:
Garantizar la compatibilidad de los sistemas con
las politicas y estandares {normas} de seguridad de
la organizacin.
98
8
O

2
7
0
0
2
Auditoria de sistemas:
Optimizar la eficacia del proceso de auditoria de
sistemas y minimizar los problemas que pudiera
ocasionar el mismo, o los obstaculos que pudieran
afectarlo.
Deben existir controles que prote]an los sistemas
de operaciones y las herramientas de auditoria en
el transcurso de las auditorias de sistemas.
50
99
8
O

2
7
0
0
2
Delitos tradicionalmente denominados informaticos
Relacin entre RE8GO8 y DELTO8
informaticos:
Delitos convencionales
nfracciones por Mal uso"
100
8
O

2
7
0
0
2
Proteccin de Datos Personales - Habeas Data"
Firma Digital.
Propiedad intelectual / 8oftware Legal
Regulacin de las Comunicaciones Comerciales
Publicitarias por Correo Electrnico - Antispam"
Delitos nformaticos
Confidencialidad de la nformacin y productos
protegidos
Normativa especifica del Banco Central de la
Repblica Argentina
Principales Principales Principales Principales Leyes Leyes Leyes Leyes y y y y Proyectos Proyectos Proyectos Proyectos de de de de Ley Ley Ley Ley
relacionados relacionados relacionados relacionados con la con la con la con la 8eguridad 8eguridad 8eguridad 8eguridad nform nform nform nforma aa atica tica tica tica en en en en
Argentina: Argentina: Argentina: Argentina:
51
101
8
O

2
7
0
0
2
?
Preguntas
102
8
O

2
7
0
0
2
Contacto:
ng. Jorge Eterovic
]orge_eterovicyahoo.com.ar

Tema 1 Introduccion A La Norma Iso 27002

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tema 1 Introduccion A La Norma Iso 27002

Uploaded by

Copyright:

Available Formats

1

You might also like