SEGURIDAD INFORMÁTICA
La seguridad
informática es la disciplina que se ocupa de diseñar las
normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de
información seguro y confiable.
La seguridad informática o seguridad de tecnologías de la información es el área de
la informática que se enfoca
en la protección de la infraestructura computacional y todo lo relacionado con
esta y, especialmente, la información contenida o circulante. Para ello existen
una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la
información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un
riesgo si esta información confidencial llega a manos de otras personas,
convirtiéndose, por ejemplo, en información privilegiada.
FAMILIA ISO 27000
Origen:
Proviene
de la norma BS 7799 de British Standards Institution (organización británica
equivalente a AENOR en España) creada en 1995 con el fin de facilitar a
cualquier empresa un conjunto de buenas prácticas para la gestión de la
seguridad de la información.
La
norma ISO 27001 fue aprobada y publicada como estándar internacional
en octubre de 2005 por International Organization for Standardization y por la
comisión International Electrotechnical Commission.
Objetivos:
Esta
familia de normas que tiene como objetivo definir requisitos para un sistema
de gestión de la seguridad de la información (SGSI), con el fin de
garantizar la selección de controles de seguridad adecuados y
proporcionales, protegiendo así la información, es recomendable para
cualquier empresa grande o pequeña de cualquier parte del mundo y más
especialmente para aquellos sectores que tengan información crítica o
gestionen la información de otras empresas.
Familia 27000:
· ISO/IEC 27000:
1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que
componen la serie 27000, una introducción a los Sistemas de Gestión de
Seguridad de la Información, una breve descripción del proceso
Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie
27000. Sin traducción.
· ISO/IEC 27001:
15 de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestión de seguridad de la información. Sin traducir.
Actualmente, este estándar se encuentra en periodo de revisión en el subcomité
ISO SC27, con fecha prevista de publicación en 2012.
·ISO/IEC 27002:
Del año 2005. Es una guía de buenas prácticas que describe los objetivos de
control y controles recomendables en cuanto a seguridad de la información. No
es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en
11 dominios.
·ISO/IEC 27003:
01 de Febrero de 2010. No certificable. Es una guía que se centra en los
aspectos críticos necesarios para el diseño e implementación con éxito de un
SGSI de acuerdo ISO/IEC 27001:2005.
· ISO/IEC 27004:
7 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y
utilización de métricas y técnicas de medida aplicables para determinar la
eficacia de un SGSI y de los controles o grupos de controles implementados
según ISO/IEC 27001. Sin traducir.
·ISO/IEC 27005:
4 de Junio de 2008. No certificable. Proporciona directrices para la gestión
del riesgo en la seguridad de la información. Apoya los conceptos generales
especificados en la norma ISO/IEC 27001. Sin traducir todavía.
· ISO/IEC 27006:
1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades
de auditoría y certificación de sistemas de gestión de seguridad de la
información. Sin traducir todavía en España, pero traducida en México
(NMX-I-041/06-NYCE).
Norma Técnica Peruana NTP-ISO/IEC 17799.
La Norma
Técnica Peruana NTP-ISO/IEC 17799, documento titulado "Código de
buenas prácticas para la gestión de la seguridad de la información". Esta
pretende ofrecer recomendaciones para realizar la gestión de la seguridad de la
información y servir como guía para desarrollar estándares de seguridad dentro
de las organizaciones.
La NTP 17799 tiene 11 claúsulas de
control de seguridad con 39 categorías contenidas en estas. Estas son :
1 Politica de seguridad
1.1
Documento de politica de seguridad de la informacion.
1.2
Revision y evaluacion.
2 Organización de la seguridad
2.1 Organización interna
2.2
Seguridad de acceso a terceros
3 Clasificacion y control de activos
3.1 Inventario de activos
3.2 Clasificacion de la informacion
4 Seguridad del personal
4.1
Seguridad antes del empleo
4.2
Durante el empleo
4.3
Finalizacion o cambio de empleo
5 Seguridad fisica y el entorno
5.1
Areas seguras
5.2
Seguridad de los equipos
6 Gestion de las comunicaciones y
operaciones
6.1
Procedimientos y responsabilidades de operación
6.2
Gestion de servicios externos
6.3
Planificacion y aceptacion del sistema
6.4
Proteccion contra software malicioso
6.5
Gestion de respaldo y comunicación
6.6
Gestion de seguridad en redes
6.7
Utilizacion de los medios de informacion
6.8
Intercambio de informacion
6.9
Servicios de correo electronico
6.10
Monitoreo
7.1
Requisitos del negocio para el control de acceso
7.2
Gestion de acceso de usuarios
7.3
Responsabilidades de los usuarios
7.4
Control de acceso a la red
7.5
Control de acceso al sistema operativo
7.6
Control de acceso a las apllicaciones y a la informacion
7.7
Informatica movil y teletrabajo
8 Adquisicion, desarrollo y
mantenimiento de sistemas:
8.1
Requisitos de seguridad de los sistemas
8.2
Seguridad de las aplicaciones del sistema
8.3
Controles criptográficos
8.4
Seguridad de los archivos del sistema
8.5
Seguridad en el proceso de desarrollo y soporte
8.6
Gestión de la vulnerabilidad técnica
9 Gestión de incidentes de seguridad
informática:
9.1
Reportando eventos y debilidades de seguridad.
9.2
Gestion de las mejoras e incidentes en seguridad de la información.
10 Gestion de la continuidad del
negocio:
10.1
Aspectos de la gestion de la continuidad del negocio.
11 Cumplimiento:
11.1
Cumplimiento de los requisitos legales.
11.2
Revisiones de la politica de seguridad.
11.3
Consideraciones sobre la auditoria de sistemas.
No hay comentarios:
Publicar un comentario