SGSI

Seguridad en Redes Telemáticas.

Sistemas de Gestión de la
Seguridad. ISO 17799 y
UNE 71502.

1
1.- Introducción INDICE
  1.1.- Glosario
  1.2- Problemática de seguridad y orígenes de ISO 17799.
1.3.- Definición de ISO 17799

 2.- Estructura de la norma

2.1.- Dominios de control y objetivos.
 
3.- Aplicación de ISO 17799
3.1.- Auditoría
  3.2.- Consultoría
  3.3.- Implantación. Ejemplo.
 
4.- Ventajas.
 
5.- SGSI en España: UNE 71502:2004
2
6.- Conclusiones.
 1.- Introducción. Glosario.
• Activo:
Recurso del sistema de información o relacionado con éste, necesario
para que la organización funcione correctamente y alcance los objetivos
propuestos por su dirección.

• Amenaza:
Evento que puede desencadenar un incidente en la organización,
produciendo daños o pérdidas materiales o inmateriales en sus activos.

• Riesgo:
Posibilidad de que una amenaza se materialice.

• Impacto:
Consecuencia sobre un activo de la materialización de una amenaza.

3
 1.- Introducción. Glosario.

• Control:
Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.

• BSI:
Instituto Británico de Normas Técnicas (British Standard Institute)

• ISO:
Organización de Regulación Internacional de Normas Técnicas.

• AENOR:
Asociación Española de Normalización y Certificación. Organismo
certificador español.

4
 1.- Introducción. Glosario.
• Auditoría:
– Examen sistemático de los estados de cualquier naturaleza de una
empresa u organización.

• Consultoría:
– Servicio prestado por un tercero independiente y calificada en la
investigación de problemas relacionados con politica,
organización, procedimientos y métodos: Recomendación de
medidas apropiadas y prestación de asistencia en la aplicación de
dichas recomendaciones.

5
1.- Introducción. Problemática de la seguridad.

• Establecer qué se entiende por seguridad.

• Diferentes criterios de evaluación de la

seguridad:

– Internos a una organización.

– Sectoriales
– Nacionales
– Internacionales

6
1.- Introducción. Problemática de la seguridad.
• La seguridad de la información se define como la
preservación de:

– Confidencialidad: Aseguramiento de que la información es

accesible sólo para aquellos autorizados a tener acceso.

– Integridad: Garantía de la exactitud y completitud de la

información y de los métodos de su procesamiento.

– Disponibilidad: Aseguramiento de que los usuarios

autorizados tienen acceso cuando lo requieran a la
información y sus activos asociados.

7
 1.- Introducción. Orígenes de ISO 17799.
• 1995 – El BSI publica la norma BS 7799: código de
buenas prácticas para la gestión de la seguridad de la
información.
• 1998 – El BSI publica BS 7799-2, especificaciones para
los SGSI.
• 2000 – Tras la revisión de ambas partes surge
ISO/IEC 17799.
• 2002 – La norma ISO 17799 se adopta como UNE
17799.
• 2004 –La norma se establece como UNE 71502.

8
 1.- Introducción. Definición ISO 17799.

• Objetivo ISO 17799: Proporcionar una base común

para desarrollar normas de seguridad dentro de las
organizaciones y ser una práctica eficaz de la gestión
de la seguridad.
• Se trata de una norma NO CERTIFICABLE, pero
que recoge la relación de controles a aplicar para
establecer un Sistema de Gestión de la Seguridad de
la Información (SGSI) según la norma UNE 71502,
CERTIFICABLE.

9
 2.- Estructura de la norma.

• UNE-ISO/IEC 17799 establece diez dominios de control que

cubren por completo la Gestión de la Seguridad de la Información:

1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10.Conformidad con la legislación.

10
 2.- Estructura de la norma.

• De estos diez dominios se derivan:

- 36 objetivos de control (resultados que

se esperan alcanzar mediante la implementación de
controles)

- 127 controles (prácticas, procedimientos o

mecanismos que reducen el nivel de riesgo).

11
 2.- Estructura de la norma.

• Niveles de seguridad:
– Lógica: Confidencialidad, integridad y disponibilidad
del software y datos de un SGI.
– Organizativa: Relativa a la prevención, detección y
corrección de riesgos.
– Física: Protección de elementos físicos de las
instalaciones: servidores, PCs…
– Legal: Cumplimiento de la legislación vigente.
En España: LOPD (Ley Orgánica de Protección de
Datos).

12
2.- Estructura de la norma.

13
2.- Estructura de la norma. Dominios de Control

• 1.- POLÍTICA DE SEGURIDAD (S. Organizativa)

– Dirigir y dar soporte a la gestión de la

seguridad de la información.

– Alta dirección: política que refleje las líneas

directrices de la organización en materia de
seguridad, aprobarla y publicitarla de la forma
adecuada a todo el personal implicado en la
seguridad de la información.
14
 2.- Estructura de la norma. Dominios de Control

• 2.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

(S. Organizativa)

– Gestionar la seguridad de la información dentro de la

organización.
– Mantener la seguridad de los activos accedidos por terceros.
– Mantener la seguridad de la información si la responsabilidad
de su tratamiento pasa a otra organización.
– Enfoque multidisciplinar: La seguridad no sólo es un aspecto
técnico.

15
 2.- Estructura de la norma. Dominios de Control

• 3.- CLASIFICACIÓN Y CONTROL DE ACTIVOS.

(S. Organizativa)

– Mantener una protección adecuada sobre los activos de la

organización.
– Asegurar un nivel de protección adecuado a los activos de
información.
– Inventario: Cada activo debe tener un nivel de protección de
acuerdo a su criticidad.

16
 2.- Estructura de la norma. Dominios de Control

• 4.- SEGURIDAD LIGADA AL PERSONAL. (S. Organizativa)

– Reducir los riesgos de errores humanos, robos, fraudes o mal

uso de las instalaciones y los servicios.
– Asegurar que los usuarios son conscientes de las amenazas Y
riesgos, y que están preparados para sostener la política de
seguridad de la organización.
– Minimizar los daños provocados por incidencias de seguridad y
por el mal funcionamiento, controlándolos y aprendiendo de
ellos.

17
 2.- Estructura de la norma. Dominios de Control

• 5.- SEGURIDAD FISICA Y DEL ENTORNO. (S. Física)

– Evitar accesos no autorizados, daños e interferencias contra

los locales y la información de la organización.
– Evitar pérdidas, daños o comprometer los activos así como la
interrupción de las actividades de la organización.
– Prevenir las exposiciones a riesgo o robos de información y
de
recursos de tratamiento de información.
– Areas de trabajo de la organización y sus activos protegidas
en función de su criticidad. Posibles riesgos: robo, incendio
… 18
 2.- Estructura de la norma. Dominios de Control

• 6.- GESTION DE COMUNICACIONES Y OPERACIONES

(S. Lógica)

– Minimizar el riesgo de fallos en los sistemas.

– Proteger la integridad del software y de la información.
– Mantener la integridad y la disponibilidad de los servicios de
tratamiento de información y comunicación.
– Asegurar la salvaguarda de la información en las redes y la
protección de su infraestructura de apoyo. Firewalls.
– Prevenir la pérdida, modificación o mal uso de la información
intercambiada entre organizaciones.
19
 2.- Estructura de la norma. Dominios de Control

• 7.- CONTROL DE ACCESOS. (S. Lógica)

– Controlar los accesos a la información.
– Evitar accesos no autorizados a los sistemas de información.
– Evitar el acceso de usuarios no autorizados.
– Protección de los servicios en red.
– Evitar accesos no autorizados a ordenadores.
– Evitar el acceso no autorizado a la información contenida en
los sistemas.
– Detectar actividades no autorizadas.
– Garantizar la seguridad de la información cuando se usan
dispositivos de informática móvil y teletrabajo.
20
 2.- Estructura de la norma. Dominios de Control

• 8.- DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

(s. Lógica)
– Asegurar que la seguridad está incluida dentro de los sistemas
de información.
– Evitar pérdidas, modificaciones o mal uso de los datos de
usuario en las aplicaciones.
– Proteger la confidencialidad, autenticidad e integridad de la
información.
– Mantener la seguridad del software y la información de la
aplicación del sistema.

21
 2.- Estructura de la norma. Dominios de Control

• 9.- GESTIÓN DE CONTINUIDAD DEL NEGOCIO.

(S. Organizativa)

– Reaccionar a la interrupción de actividades del negocio y

proteger sus procesos críticos frente grandes fallos o
desastres.
– Planes de contingencia probados y revisados periodicamente.

22
 2.- Estructura de la norma. Dominios de Control

• 10.- CONFORMIDAD CON LA LEGISLACIÓN.

(S. Legal)

– Evitar el incumplimiento de cualquier ley, estatuto, regulación

u obligación contractual y de cualquier requerimiento de
seguridad.
– Maximizar la efectividad y minimizar la interferencia de o
desde el proceso de auditoría de sistemas.

23
 3.- Aplicación de ISO 17799

• 3.1.- AUDITORÍA.
• Trabajo de auditoría en 4 niveles:
– Seguridad lógica.
– Seguridad física.
– Seguridad organizativa.
– Seguridad legal.

Una auditoría ISO 17799 proporciona información precisa

acerca del nivel de cumplimiento de la norma a diferentes
niveles: global, por dominios, por objetivos y por controles.
24
 3.- Aplicación de ISO 17799

• 3.2.- CONSULTORÍA.
– Conociendo el nivel de cumplimiento actual, es
posible determinar el nivel mínimo aceptable y el
nivel objetivo en la organización:
• Nivel mínimo aceptable. Estado con las mínimas
garantías de seguridad necesarias para trabajar con la
información corporativa.
• Nivel objetivo: Estado de seguridad de referencia
para la organización,con un alto grado de cumplimiento
ISO 17799. Previo a la Certificación UNE 71502.

25
 3.- Aplicación de ISO 17799

• 3.3.- IMPLANTACIÓN. EJEMPLO.

• ISO 17799 no es una norma tecnológica.

– Redactada de forma flexible.
– Implantación en todo tipo de organizaciones sin importar su
tamaño o sector de negocio.

26
 3.- Aplicación de ISO 17799

• 3.3.- IMPLANTACIÓN. EJEMPLO.

• Dominio de control: Gestión de comunicaciones y operaciones

– Objetivo de control: proteger la integridad del software y de la
informacion.
• Control: Controles contra software malicioso.

“Se deberían implantar controles para detectar el software

malicioso y prevenirse contra él, junto a procedimientos
adecuados para concienciar a los usuarios”.

27
 3.- Aplicación de ISO 17799

• 3.3.- IMPLANTACIÓN. EJEMPLO.

• Tras un trabajo de Consultoría se establecería:

– Normativa de uso de software: definición y publicitación en

la Intranet.
– Filtrado de contenidos: X - Content Filtering v3.4.
– Antivirus de correo: Y – Antivirus v2.0.
– Antivirus personal: Z - Antivirus v4.5.

28
 4.- Ventajas.

– Aumento de la seguridad efectiva de los sistemas de

información.
– Garantías de continuidad del negocio.
– Correcta planificación y gestión de la seguridad.
– Mejora contínua a través del proceso de auditoría interna.
– Incremento de los niveles de confianza de los clientes.
– Aumento del valor comercial y mejora de la imagen de la
organización.
– CERTIFICACIÓN UNE 71502.

29
 5.- SGSI en España: UNE 71502:2004

• Marco general del SGSI:

– La organización debe establecer y mantener un SGSI
documentado.

• Proceso de Certificación (AENOR):

– Certificación del SGSI conforme a la Norma UNE
71502:2004  implantación de los controles descritos en la
norma UNE-ISO/IEC 17799.
– Procesos de certificación en las empresas de mayor tamaño:
MAGERIT, (Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información de las Administraciones
Públicas). 30
 5.- SGSI en España: UNE 71502:2004
• Fases proceso de Certificación (AENOR):
– Solicitud de la certificación: cumplimentar
cuestionario(Empresa).
– Análisis de la documentación: Informe de deficiencias de la
documentación (AENOR).
– Visita previa para analizar el SGSI: Informe de la visita previa
(AENOR).
– Auditoría del SGSI:
• Informe de disconformidades (AENOR).
• Plan de acciones correctivas (Empresa).
– Evaluación y decisión: Auditoría extraordinaria, en caso de no
cumplimiento de los requisitos de certificación (Empresa).
– Emisión del certificado.
31
– Auditorías de seguimiento anuales.
 5.- SGSI en España: UNE 71502:2004

• Modelo PDCA:
– Plan-Do-Check-Act (Planificar, Hacer, Verificar, Actuar)

32
 6.- Conclusiones.

• ISO 17799: norma internacional. Recomendaciones para realizar

la gestión de la seguridad de la información, adoptada en España
como norma UNE-ISO/IEC 17799 (UNE 71502).
• Estructura: 10 dominios de control que cubren por completo
todos los aspectos relativos a la seguridad de la información.
• Implantación ISO 17799: Consultoría que adapte los
requerimientos de la norma a las necesidades de cada
organización concreta.
• Ventaja principal ISO 17799: primer paso hacia la certificación
según UNE 71502.
• La seguridad TOTAL no existe.

33