Universidad Nacional de Ingeniería

Facultad de Electrotecnia y Computación

UNI-FEC

Ingeniería de Software III

Elaborado por:

Elizabeth Margarita Chávez Molina 2006-22524

Oscar Eligio Ayestas Hernández 2006-23420
Marlon de Jesús García Ortiz 2005-21259

Grupo: # 9

Docente: MSc. María Lourdes Montes López

Fecha: Lunes 25 de Septiembre de 2010.

 Origen de la ISO 17799/27002
En 1995 el British Standard Institute (BSI) publica la norma BS 7799, un código de buenas prácticas para
la gestión de la seguridad de la información. En 1998 también el BSI publica la norma BS 7799-2 con
especificaciones para los sistemas de gestión de la seguridad de la información. Tras una revisión de
ambas partes de BS 7799, la primera es adoptada como norma ISO en el año 2000 y denominada
ISO/IEC 17799.

Actualmente las empresas deben asegurar que sus recursos y la propiedad intelectual estén protegidos y
que los clientes se sientan seguros de realizar negocios.
De acuerdo al BSI:

BS CIA 7799 es una guía de auditoría del Sistema de Gestión de Seguridad de la Información (ISMS)
basada en los requisitos que deben ser cubiertos por la organización. Contiene especificaciones para
certificar los dominios individuales de seguridad para poder registrarse

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Origen de la ISO 17799/27002

BS CIA 7799 es una guía de auditoría del Sistema de Gestión de Seguridad de la Información
(ISMS) basada en los requisitos que deben ser cubiertos por la organización. Contiene
especificaciones para certificar los dominios individuales de seguridad para poder registrarse a
esta norma.
ISO 17799 define la seguridad de la información como la preservación de la confidencialidad, la
integridad y la disponibilidad de la misma. Esta norma global basada en la norma BS 7799 que
define las mejores prácticas para gestión de la seguridad de la información, consta de las
siguientes partes:
Define un conjunto de objetivos principales e identifica un conjunto de controles de seguridad, que
son medidas que se pueden adoptar para cumplir los objetivos de la norma.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Especifica los controles de seguridad que se pueden utilizar, basándose en los resultados de una
evaluación de gestión de riesgos, como base para una certificación formal d una empresa TI bajo la norma
BS 7799.
ISO 17799 establece la base común para desarrollar normas de seguridad de control de las
organizaciones, definiendo diez dominios de control que cubren por completo la Gestión de la Seguridad de
la Información.
Dominios:

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Política de seguridad

 Aspectos organizativos para la seguridad

 Clasificación y control de activos

 Seguridad ligada al personal

 Seguridad física y del entorno

 Gestión de comunicaciones y de operaciones

 Control de accesos

 Desarrollo y mantenimiento de sistemas

 Gestión de continuidad del negocio

 Conformidad.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece
instrucciones y recomendaciones para la administración de la seguridad.
La norma 17799 también ofrece una estructura para identificar e implementar
soluciones para los siguientes riesgos:

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Política de seguridad: escribir y comunicar la política de seguridad de la compañía
 Organización de seguridad: definir los roles y las responsabilidades. Monitorear a los
socios y a las empresas tercer izadas
 Clasificación y control de activos: llevar un inventario de los bienes de la compañía y
definir cuán críticos son así como sus riesgos asociados
 Seguridad del personal: contratación, capacitación y aumento de concientización
relacionadas a la seguridad
 Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de
seguridad
 Comunicación / Administración de operaciones: procedimientos en caso de accidente,
plan de recuperación, definición de niveles de servicio y tiempo de recuperación,
protección contra programas ilegales, etc.
 Control de acceso: establecimiento de controles de acceso a diferentes niveles
(sistemas, redes, edificios, etc.)
 Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas
desde el diseño hasta el mantenimiento
 Plan de continuidad empresarial: definición de necesidades en términos de
disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia
 Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de
la compañía

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Definición

_ La información es un activo.

_ La seguridad de la información protege de un

amplio espectro de amenazas, tendientes a
garantizar la continuidad del negocio, minimizar
daños, y mejora el retorno de las inversiones y
oportunidades de negocio.

_ La información existe en múltiples formas.

_ Confidencialidad, Integridad, Disponibilidad.

_ Se logra por el uso adecuado de Controles,

Políticas, procedimientos, Estructura Organizacional.
 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Por que se necesita?

_ La información, sistemas, redes son activos

importantes del negocio.

_ Las amenazas continúan aumentando y cada vez

con mayor impacto de tipo financiero.

_ La dependencia es creciente.

_ La mayoría de sistemas de información no se

diseñaron pensando en que fueran seguros.

_ No solo aplica a los empleados, sino a proveedores,

clientes y accionistas por ejemplo.

_ Los controles son considerablemente más

económicos si se establecen el la fase de diseño y
no al final.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Cada cuando?

_Considerar cambios en los requerimientos

del negocio y sus respectivas prioridades.

_Considerar nuevas amenazas y

vulnerabilidades.

_Confirmar que el control continua siendo

efectivo y apropiado.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Consideración sobre ISO 17799

_ La alta dirección debe definir una política que refleje las líneas
directrices de la organización en materia de seguridad, aprobarla y
publicitarla de la forma adecuada a todo el personal implicado en
la seguridad de la información.

_ Las políticas, se constituyen en la base de todo el sistema de

seguridad de la información.

_ La alta dirección debe apoyar visiblemente la seguridad de la

información en la compañía.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Beneficios
_ Procedimientos en línea con disposiciones de tipo gubernamental.(reconocimiento internacional)

_ Mejor protección a la confidencialidad, integridad y disponibilidad de la información.

_ Mitigar riesgo a diferentes ataques

_ Rápida y eficiente forma de recuperarse ante posibles amenazas.

_ Cumplimiento con disposiciones legales.

_ Aumento de la seguridad efectiva de los sistemas de información.

_ Correcta planificación y gestión de la seguridad.

_ Garantías de continuidad del negocio.

_ Mejora contínua a través del proceso de auditoría interna.

_ Incremento de los niveles de confianza de nuestros clientes y partners.

_ Aumento del valor comercial y mejora de la imagen de la organización.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Factores Críticos del Éxito

_Alineamiento con la organización.

_Consistente con la cultura de la org.

_Soporte visible y compromiso de las directivas.

_Buen entendimiento de los requerimientos de seguridad (risk assessment and risk

management)

_Educación

_Indicadores de Gestión

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Seguridad en la Organización

_ La administración de la seguridad, define los roles y responsabilidades dentro de la organización,

con el objetivo de mantener e implementar el Sistema de Gestión de Seguridad de la información.

_ Colaboración de directivos, usuarios, administradores, desarrolladores y personal de seguridad, así

como también especialistas en el área de aseguramiento y manejo de riesgo.

_ Visión multidisciplinaria a el tema de la seguridad de la información.

_ Cooperación entre Usuarios, gerentes, administradores etc

 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Definición de la Política.

_“La seguridad de la información es una responsabilidad compartida por

todos los miembros de la dirección. El Comité de Seguridad debe
garantizar que las políticas cumplen con los requerimientos de negocio de
la organización, y velar por el apoyo de la administración para su
implementación.”

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Temas asociados a la Política.

_ Roles y Responsabilidades de la administración de la seguridad.

_ Auditorias externas.

_ Seguridad en el acceso por parte de terceros.

_ Compra y mantenimiento de software comercial.

_ Outsourcing

_ Asistencia de especialista en S.I.

_ Revisión independiente de los Sistemas de Información.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Auditoria de la Seguridad (ISO 17799/27002) ITIL
 Funciones del Comité de Seguridad
 
_ Revisar y aprobar las políticas, procedimientos y estándares de seguridad.

_ Evaluar cambios significativos de la exposición de los activos de información a las

amenazas de seguridad.

_ Seguimiento de incidentes de seguridad reportados por el Oficial de Seguridad.

_ Apoyar a la administración en la implementación del entrenamiento en seguridad de la

información a los usuarios.

_ Evaluar los avances en los proyectos o iniciativas de seguridad.

 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Funciones del Oficial de la Seguridad
_ Desarrollar, implementar y administrar un programa de seguridad de la información.
_ Asesorar a la organización como incluir la seguridad de la información en las fases de inicio de todos
los proyectos de tecnología de la información.

_ Revisar las políticas, procedimientos y estándares según lo estipulado y presentar los cambios para la
aprobación del comité de seguridad.

_ Participar en la definición de los controles de seguridad para la plataforma tecnológica de la

organización.

_ Evaluar, realizar el seguimiento y reportar los incidentes de seguridad relevantes al comité.

_ Asegurar que los planes de contingencia sean desarrollados, mantenidos y probados regularmente
para su funcionamiento.

_ Asegurar que los controles de acceso de cada sistema de información estén de acuerdo con el nivel de
riesgo evaluado.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 El Recurso Humano

• El recurso humano es uno de los elementos fundamentales dentro del modelo de seguridad de la
organización.

• Las políticas, los procedimientos y estándares de seguridad, son llevados a cabo en el desarrollo
diario de las actividades por el personal vinculado a la organización, y sin su compromiso, el modelo
no sería exitoso.

• Evitar errores humanos, robo, fraude o uso inadecuado de los recursos.

• Debe empezar con el proceso de contratación.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

El Seguridad en aspectos relacionado s con el recurso
humano

_ Soportar las políticas de seguridad de la compañía en el curso del trabajo normal.

_ Minimizar el daño ocasionado por incidentes de seguridad y poder aprender de ellos.

_ Entrenamiento y Concientización.

_ Acuerdos de confidencialidad.

_ Respuesta a incidentes de seguridad.

_ Reportes de vulnerabilidades y funciones equivocadas del software.

_ Procesos disciplinarios.
 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 El Clasificación y Control de activos

• El objetivo de esta sección es mantener una apropiada protección de los activos de la

compañía y garantizar que los activos informáticos reciban un nivel apropiado de Seguridad.

• Para todos los activos se debe identificar un dueño y responsables para la implementación de
los controles.

• Inventarios de activos.

• Clasificación de la información.(Labelling and Handling).

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Beneficios

 
_ Muestra el compromiso de la organización hacia la seguridad de la información.

_ Ayuda a identificar que información es la más valiosa para la organización.

_ Permite identificar que protecciones aplican a que información.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

  
Administración de operaciones
Garantizar operaciones seguras en sitios de procesamiento de la información.

 Minimizar el riesgo de fallas de los sistemas usando por ejemplo segregación de las actividades o
funciones.

 Proteger la integridad del software y la información.

 Mantener la integridad y la disponibilidad de los sistemas de información.

 Garantizar la protección de las redes y la infraestructura de soporte.

Prevenir daños a los activos y fallas en la continuidad del negocio.

 Prevenir perdida, modificaciones, o un mal uso de la información.

Control de Cambios.

Information Back up.

 Operators logs.

 Disposal of media.

  Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Administración de operaciones
 Information Handling Procedures.

 Seguridad de documentos.

 Seguridad de los medios en transito.

Seguridad en email.

 Planeamiento futuro de capacidad.

Protección contra software malicioso.

Asegurar la operación correcta y segura de los recursos de tratamiento de información.

Minimizar el riesgo de fallos en los sistemas.

Proteger la integridad del software y de la información.

Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y

comunicación.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Administración de operaciones

Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de

apoyo.

Evitar daños a los activos e interrupciones de actividades de la organización.

Prevenir la pérdida, modificación o mal uso de la información intercambiada entre

organizaciones.

 Se debe garantizar la seguridad de las comunicaciones y de la operación

de los sistemas críticos para el negocio.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Sistemas de control de acceso
Los objetivos de esta sección:
 Controlar el acceso a la información.
 Prevenir el acceso no autorizado a los sistemas de información.(O.S)
 Protección de los servicios de redes.
 Detectar actividades no autorizadas.
 Garantizar seguridad con sistemas móviles o portátiles.
 Password use
 Equipos no atendidos.
Authentication.
 Segregation of Networks.
 Monitoreo.
Controlar los accesos a la información.
Evitar accesos no autorizados a los sistemas de información.
Evitar el acceso de usuarios no autorizados.
Protección de los servicios en red.
Evitar accesos no autorizados a ordenadores.
Evitar el acceso no autorizado a la información contenida en los
sistemas.
Detectar actividades no autorizadas.
Garantizar la seguridad de la información cuando se usan
dispositivos de informática móvil y teletrabajo.

 ”Se deben establecer los controles de acceso adecuados para proteger

los sistemas de información críticos para el negocio, a diferentes niveles:
sistema operativo, aplicaciones, redes, etc.”

  Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Desarrollo y mantenimiento de
sistemas
Garantizar seguridad en los sistemas operacionales.
Prevenir perdidas, modificaciones o mal uso de los datos de las aplicaciones.
 Proteger la confidencialidad, autenticidad e integridad de la información.
 Garantizar que los proyectos de IT son conducidos de una manera segura.
 Mantener la seguridad del software y sus respectivos datos.
Asegurar que la seguridad está incluida dentro de los sistemas de
información.
Evitar pérdidas, modificaciones o mal uso de los datos de usuario
en las aplicaciones.
Proteger la confidencialidad, autenticidad e integridad de la
información.
Asegurar que los proyectos de Tecnología de la Información y las
actividades complementarias son llevadas a cabo de una forma
segura.
Mantener la seguridad del software y la información de la
aplicación del sistema.
 

“Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software
en una organización: especificación de requisitos,
desarrollo, explotación, mantenimiento...”

 
Auditoria de la Seguridad (ISO 17799/27002) ITIL
 Seguridad Física y del entorno

Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la

organización.
Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la
organización.
Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de
información.
 
Las áreas de trabajo de la organización y sus activos deben ser clasificadas
y protegidas en función de su criticidad, siempre de una forma adecuada
y frente a cualquier riesgo factible de índole física (robo, inundación,
incendio...)

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Objetivo de la seguridad Física

• Entender la importancia de la seguridad física en la

protección de activos valiosos de información para
los negocios de la empresa.

Objetivo Cont.

• El objetivo fundamental de la seguridad física es garantizar un ambiente

seguro para todos los activos e intereses de la organización, incluyendo los
sistemas de información.
• Aspectos mecánicos, organizacionales, naturales (CPTED).

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Centro de computo (Mejores prácticas)

• No más que dos puertas, con seguros electrónicos.

• Control de acceso (Tarjeta mas un PIN)
•No alimentos, bebidas, cigarrillos, combustibles, no trabajos de construcción sin autorización.
• Tomas eléctricas adicionales para equipos eléctricos de mantenimiento
• Paredes de altura completa
• Paredes, puertas y techo deben tener una adecuada resistencia al fuego.
• Redundancia en general.(HVAC, Potencia, Electricidad, etc)
• Teléfonos de emergencia y salidas de emergencia delimitadas.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Gestión de Continuidad del Negocio

Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente
grandes fallos o desastres.
 
Todas las situaciones que puedan provocar la interrupción de las actividades del negocio deben ser
prevenidas y contrarrestadas mediante los planes de contingencia adecuados.
Los planes de contingencia deben ser probados y revisados
periódicamente.
Se deben definir equipos de recuperación ante contingencias, en los que se identifiquen claramente
las funciones y responsabilidades de cada miembro en caso de desastre.
 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 Conformidad

Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de

cualquier requerimiento de seguridad.
Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la
normativa derivada de la misma.
Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de
sistemas.
 Se debe identificar convenientemente la legislación aplicable a los sistemas de información
corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrándola en el sistema de seguridad de la
información de la compañía y garantizando su cumplimiento.
Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para garantizar
la detección de desviaciones con respecto a la política de seguridad de la información.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Trabajo de auditoría ISO 17799: valoración del nivel de adecuación, implantación y gestión de
cada control de la norma en la organización:
– Seguridad lógica.
– Seguridad física.
– Seguridad organizativa.
– Seguridad legal.
Referencia de la seguridad de la información estándar y aceptada internacionalmente.
Una vez conocemos el estado actual de la seguridad de la información en la organización,
podemos planificar correctamente su mejora o su mantenimiento.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

 “La seguridad de la información es una responsabilidad compartida por
todos los miembros de la dirección. El Comité de Seguridad debe
garantizar que las políticas cumplen con los requerimientos de negocio de
la organización, y velar por el apoyo de la administración para su
implementación.

GRACIAS !!!

Auditoria de la Seguridad (ISO 17799/27002) ITIL