PDF de programación - El sistema de gestión de la seguridad de la información - La nueva norma UNE 71502

Códigos de
buenas prácticas
de seguridad.
UNE-ISO/IEC
17799

Antonio Villalón Huerta
Grupo S2

Contenidos

● Introducción.

– Problemática de seguridad.
– ¿Qué es ISO 17799?
– Historia

● Estructura de la norma.
– Dominios de control.
– Objetivos de control.

● Trabajando con ISO 17799.

– Auditoría.
– Consultoría.
– Implantación.

● Ventajas.

● Conclusiones.

2

Introducción: problemática

● ¿Cómo establecer qué entendemos por ‘seguridad'?

● Diferentes criterios de evaluación de la seguridad: internos a

una organización, sectoriales, nacionales, internacionales...

● Multitud de estándares aplicables a diferentes niveles:

– TCSEC (Trusted Computer Security, militar, US, 1985).
– ITSEC (Information Technology Security, europeo, 1991).
– Common Criteria (internacional, 1986-1988).
– *7799 (británico + internacional, 2000).
– ...

● Actualmente, tras adoptar *7799 como estándar internacional, es

el más extendido y aceptado.

3

Introducción: ¿qué es ISO 17799?

● ISO 17799 es una norma internacional que ofrece recomendaciones para

realizar la gestión de la seguridad de la información dirigidas a los
responsables de iniciar, implantar o mantener la seguridad de una
organización.

● ISO 17799 define la información como un activo que posee valor para la

organización y requiere por tanto de una protección adecuada. El objetivo de
la seguridad de la información es proteger adecuadamente este activo para
asegurar la continuidad del negocio, minimizar los daños a la organización y
maximizar el retorno de las inversiones y las oportunidades de negocio.

● La seguridad de la información se define como la preservación de:

– Confidencialidad. Aseguramiento de que la información es accesible sólo

para aquellos autorizados a tener acceso.

– Integridad. Garantía de la exactitud y completitud de la información y de

los métodos de su procesamiento.

– Disponibilidad. Aseguramiento de que los usuarios autorizados tienen

acceso cuando lo requieran a la información y sus activos asociados.

4

Introducción: ¿qué es ISO 17799?

● El objetivo de la norma ISO 17799 es proporcionar una base común para

desarrollar normas de seguridad dentro de las organizaciones y ser una
práctica eficaz de la gestión de la seguridad.

● La adaptación española de la norma se denomina UNE-ISO/IEC 17799.

● Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de
controles a aplicar (o al menos, a evaluar) para establecer un Sistema de
Gestión de la Seguridad de la Información (SGSI) según la norma UNE
71502, CERTIFICABLE.

5

Introducción: historia

● En 1995 el British Standard Institute publica la norma BS 7799, un código

de buenas prácticas para la gestión de la seguridad de la información.

● En 1998, también el BSI publica la norma BS 7799-2, especificaciones para

los sistemas de gestión de la seguridad de la información; se revisa en
2002.

● Tras una revisión de ambas partes de BS 7799 (1999), la primera es

adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:
– Conjunto completo de controles que conforman las buenas prácticas de

seguridad de la información.

– Aplicable por toda organización, con independencia de su tamaño.
– Flexible e independiente de cualquier solución de seguridad concreta:

recomendaciones neutrales con respecto a la tecnología.

● En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE
17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2
(no existe equivalente ISO).

6

Introducción: historia

BS7799: Code of practice for
information security management
(BS7799-1)

BS7779:1999

ISO/IEC 17779:2000

UNE-ISO/IEC 17779:2002:
Código de buenas prácticas para
la gestión de la seguridad de la
información

UNE 71502:2004:
Especificaciones para los
Sistemas de Gestión de la
Seguridad de la Información

BS7799-2: Specification for
Information Security
Management Systems

BS7779:1999

BS7779-2:2002

1995

1996

1997

1998

1999

2000

2001

2002

2003

2004

7

Estructura: dominios de control

● La norma UNE-ISO/IEC 17799 establece diez dominios de control que

cubren por completo la Gestión de la Seguridad de la Información:
1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10.Conformidad con la legislación.

● De estos diez dominios se derivan 36 objetivos de control (resultados que

se esperan alcanzar mediante la implementación de controles) y 127
controles (prácticas, procedimientos o mecanismos que reducen el nivel de
riesgo).

8

Estructura: dominios de control

Táctico

Política de seguridad

Aspectos organizativos para la

seguridad

Seguridad organizativa
Seguridad lógica
Seguridad física
Seguridad legal

Clasificación y control de

Control de accesos

activos

Conformidad

Seguridad ligada al

Seguridad física y del

personal

entorno

Estratégico

O perativo

Desarrollo y mantenimiento

Gestión de comunicaciones y

Gestión de continuidad del

de sistemas

operaciones

negocio

9

Estructura: objetivos de control

POLÍTICA DE SEGURIDAD

Dirigir y dar soporte a la gestión de la seguridad de la información.

La alta dirección debe definir una política que refleje las líneas directrices
de la organización en materia de seguridad, aprobarla y publicitarla de la
forma adecuada a todo el personal implicado en la seguridad de la
información.

La política se constituye en la base de todo el sistema de seguridad de la
información.

La alta dirección debe apoyar visiblemente la seguridad de la información
en la compañía.

10




Estructura: objetivos de control

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

Gestionar la seguridad de la información dentro de la organización.
Mantener la seguridad de los recursos de tratamiento de la
información y de los activos de información de la organización que son
accedidos por terceros.
Mantener la seguridad de la información cuando la responsabilidad
de su tratamiento se ha externalizado a otra organización.

Debe diseñarse una estructura organizativa dentro de la compañía que
defina las responsabilidades que en materia de seguridad tiene cada
usuario o área de trabajo relacionada con los sistemas de información de
cualquier forma.

Dicha estructura debe poseer un enfoque multidisciplinar: los problemas

de seguridad no son exclusivamente técnicos.

11

Estructura: objetivos de control

CLASIFICACIÓN Y CONTROL DE ACTIVOS

Mantener una protección adecuada sobre los activos de la
organización.
Asegurar un nivel de protección adecuado a los activos de
información.

Debe definirse una clasificación de los activos relacionados con los
sistemas de información, manteniendo un inventario actualizado que
registre estos datos, y proporcionando a cada activo el nivel de protección
adecuado a su criticidad en la organización.

12

Estructura: objetivos de control

SEGURIDAD LIGADA AL PERSONAL

Reducir los riesgos de errores humanos, robos, fraudes o mal uso
de las instalaciones y los servicios.
Asegurar que los usuarios son conscientes de las amenazas y
riesgos en el ámbito de la seguridad de la información, y que están
preparados para sostener la política de seguridad de la organización
en el curso normal de su trabajo.
Minimizar los daños provocados por incidencias de seguridad y por
el mal funcionamiento, controlándolos y aprendiendo de ellos.

13

Estructura: objetivos de control

SEGURIDAD LIGADA AL PERSONAL (II)

Las implicaciones del factor humano en la seguridad de la información son
muy elevadas.

Todo el personal, tanto interno como externo a la organización, debe

conocer tanto las líneas generales de la política de seguridad corporativa
como las implicaciones de su trabajo en el mantenimiento de la seguridad
global.

Diferentes relaciones con los sistemas de información: operador,
administrador, guardia de seguridad, personal de servicios, etc.

Procesos de notificación de incidencias claros, ágiles y conocidos por

todos.

14


Estructura: objetivos de control

SEGURIDAD FÍSICA Y DEL ENTORNO

Evitar accesos no autorizados, daños e interferencias contra los
locales y la información de la organización.
Evitar pérdidas, daños o comprometer los activos así como la
interrupción de las actividades de la organización.
Prevenir las exposiciones a riesgo o robos de información y de
recursos de tratamiento de información.

Las áreas de trabajo de la organización y sus activos deben ser clasificadas
y protegidas en función de su criticidad, siempre de una forma adecuada
y frente a cualquier riesgo factible de índole física (robo, inundación,
incendio...).

15


Estructura: objetivos de control

GESTIÓN DE COMUNICACIONES Y OPERACIONES

Asegurar la operación correcta y segura de los recursos de
tratamiento de información.
Minimizar el riesgo de fallos en los sistemas.
Proteger la integridad del software y de la información.
Mantener la integridad y la disponibilidad de los servicios de
tratamiento de información y comunicación.
Asegurar la salvaguarda de la información en las redes y la
protección de su infraestructura de apoyo.
Evitar daños a los activos e interrupciones de actividades de la
organización.
Prevenir la pérdida, modificación o mal uso de la información
intercambiada entre organizaciones.

Se debe garantizar la seguridad de las comunicaciones y de la operación

de los sistemas críticos para el negocio.

16

Estructura: objetivos de control

CONTROL DE ACCESOS

Controlar los accesos