En esta presentación de presentaremos las relaciones de las diferentes normas de estandarización relacionadas con los sistemas informático y el Sistema Gestor de Seguridad de la Información.
2. ISO
(Organización Internacional de Normalizacion)
Es una organización no gubernamental establecida en
1947 integrada por cuerpos de estandarización
nacionales de 153 países que produce normas
internacionales, industriales y comerciales con el
propósito de facilitar el comercio, el intercambio de
información y contribuir con unos estándares para el
desarrollo y transferencia de tecnologías.
3. ¿DE DONDE PROVIENE EL NOMBRE
ISO?
“ISO” es una palabra, que deriva del Griego “isos”, que
significa “igual”, el cual es la raíz del prefijo “iso” el cual
aparece en infinidad de términos.
Desde “igual” a “estándar” es fácil seguir por esta línea de
pensamiento que fue lo que condujo a elegir “ISO” como
nombre de la Organización.
4. LOS ESTANDARES DE CALIDAD ISO
ESTANDAR ISO 9000- software
Este se ha convertido en el medio principal con el que los
clientes pueden juzgar la competencia de un desarrollador
de software.
5. ISO 9001
Este es un estándar que describe el sistema de calidad
utilizado para mantener el desarrollo de un producto que
implique diseño.
ISO 9000-3
Este es un documento específico que interpreta el ISO 9001
para el desarrollador de software.
ISO 9004-2
Este documento proporciona las directrices para el servicio
de facilidades del software como soporte de usuarios.
6. ESTANDAR ISO 9126
El estándar ISO 9126 ha sido desarrollado en un intento de
identificar los atributos clave de calidad para el software.
El estándar identifica 6 atributos clave de calidad:
• Funcionalidad: el grado en que el software satisface las
necesidades indicadas por los siguientes subatributos:
idoneidad, corrección, interoperatividad, conformidad y
seguridad.
7. • Confiabilidad: cantidad de tiempo que el software está
disponible para su uso. Está referido por los siguientes
subatributos: madurez, tolerancia a fallos y facilidad de
recuperación.
• Usabilidad: grado en que el software es fácil de usar.
Viene reflejado por los siguientes subatributos: facilidad de
comprensión, facilidad de aprendizaje y operatividad.
• Eficiencia: grado en que el software hace óptimo el uso
de los recursos del sistema. Está indicado por los siguientes
subatributos: tiempo de uso y recursos utilizados.
8. • Facilidad de mantenimiento: la facilidad con que una
modificación puede ser realizada. Está indicada por los
siguientes subatributos: facilidad de análisis, facilidad de
cambio, estabilidad y facilidad de prueba.
• Portabilidad: la facilidad con que el software puede ser
llevado de un entorno a otro. Está referido por los
siguientes subatributos: facilidad de instalación, facilidad de
ajuste, facilidad de adaptación al cambio.
9. ESTANDAR 17799-Redes
Es una norma internacional que ofrece recomendación para
la gestión de la seguridad de la información enfocada en el
inicio, implantación o mantenimiento de la seguridad en
una organización.
El objetivo de la norma es proporcionar una base para
desarrollar normas de seguridad dentro de las
organizaciones y ser una practica eficaz de la gestión de la
seguridad.
10. 1995- BS 7799-1
Código de buenas prácticas para la gestión de la seguridad
de la información.
1998- BS 7799-2
Especificaciones para la gestión de la seguridad de la
información.
Tras una revisión de ambas partes de BS 7799 (1999) la
primera es adoptada como norma ISO en el 2000 y
denominada ISO/IEC 17799.
11. REQUISITOS ESTANDAR 17799
1. Política de seguridad: dirige y da soporte a la gestión de
la seguridad de la información
2. Aspectos organizativos para la seguridad: gestiona la
seguridad de la información dentro de la organización;
mantiene la seguridad de los recursos de tratamiento de la
información y de los activos de información de la
organización que son accedidos por terceros y mantiene la
seguridad de la información cuando la responsabilidad de
su tratamiento se ha externalizado a otra organización.
12. 3. Clasificación y control de activos: mantiene una
protección adecuada sobre los activos de la organización y
el nivel de protección adecuado.
4. Seguridad ligada al personal: reduce el riesgo de lo
errores humanos, robos, fraudes o mal uso de la instalación
y los servicios; asegura que los usuarios son conscientes de
las amenazas y riesgo en el ámbito de la seguridad de la
información, y que están preparados para sostener las
políticas de seguridad de la organización.
13. 5. Seguridad física y del entorno: evita el acceso no
autorizado, daños e interferencias contra los locales y la
información de la organización.
6. Gestión de comunicación y operaciones: asegura la
operación correcta y segura de los recursos de tratamiento
de la información; minimiza el riesgo de fallos en el sistema;
protege la integridad del software y de la información;
mantiene la integridad y la disponibilidad de los servicios de
tratamiento de información y de comunicación
14. 7. Control de acceso: controla los accesos a la información;
protege los servicios en red; evita el acceso no autorizado a
la información contenida en el sistema; detecta actividades
no autorizadas y garantiza la seguridad de la información
cuando se usan dispositivos de información móvil o
teletrabajo.
8. Desarrollo y mantenimiento de sistema: asegura que la
seguridad esta incluida dentro de los sistemas de
información; evita perdidas, modificaciones o mal uso de
los datos de usuario en las aplicaciones; protege la
confidencialidad, integridad y autenticidad de la
información.
15. 9. Gestión de continuidad del negocio: reacciona a la
interrupción de actividades del negocio y protege sus
procesos críticos frente a grandes fallos o desastres.
10. Conformidad con la legislación: evita el incumplimiento
de cualquier ley, estatuto, regulación u obligación
contractual y de cualquier requerimiento de seguridad;
garantiza la alineación de los sistemas con la política de
seguridad de la organización y con la normativa derivada de
la misma y maximiza la efectividad y minimiza la
interferencia de o desde el proceso de auditoria del
sistema.
16. ESTANDAR ISO 27000-Redes
Es un conjunto de estándares desarrollados en fase de
desarrollo por ISO e IEC que proporciona un marco de
gestión de la seguridad de la información utilizable por
cualquier tipo de organización, publica o privada, grande o
pequeña.
17. ISO 27001
Es la norma principal de la serie y contiene los requisitos del
sistema de gestión de seguridad de la información.
Este estándar internacional ha sido preparado para
proporcionar un modelo para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema
de Gestión de Seguridad de la Información (SGSI).
18. Este estándar adopta el modelo de proceso Planear-hacer-chequear-actuar
(PDCA), el cual se puede aplicar a todos los procesos SGSI.
19.
20. Términos y definiciones:
•Seguridad de información: preservación de la
confidencialidad, integridad, disponibilidad de la
información; además, también pueden estar involucradas
otras propiedades como la autenticidad, responsabilidad,
no-repudio, y confiabilidad.
•Sistema de gestión de la seguridad de la información:
esa parte del sistema gerencial general, basada en un
enfoque de riesgo comercial; para establecer,
implementar, monitorear, revisar, mantener y mejorar la
seguridad de la información
21. ISO 27002
Es una guía de buenas prácticas que describe los objetivos
de control y controles recomendables en cuanto a
seguridad de la información. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios.
ISO 27003
Es una guía de implementación de SGSI e información
acerca del uso del modelo PDCA y de los requerimientos de
sus diferentes fases.
23. ISO 27004
Especifica las métricas y las técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados.
ISO 27005
Establece las directrices para la gestión del riesgo en la seguridad
de la información.
Está diseñada para ayudar a la aplicación satisfactoria de la
seguridad de la información basada en un enfoque de gestión
de riesgos, es aplicable a todo tipo de organizaciones que tienen
la intención de gestionar los riesgos que puedan comprometer la
organización de la seguridad de la información.
24. ISO 27011
Es una guía de gestión de seguridad de la información
específica para telecomunicaciones, elaborada
conjuntamente con la ITU (Unión Internacional de
Telecomunicaciones).
Esta norma está orientada a los organismos que
proporcionan procesos de apoyo e información en las
telecomunicaciones, instalaciones de telecomunicaciones,
redes y líneas y para los que éstos suponen importantes
activos empresariales.
25. ISO 27799
Publicada el 12 de Junio de 2008. Es un estándar de gestión
de seguridad de la información en el sector sanitario
aplicando ISO 17799 (actual ISO 27002).
26. Especifica un conjunto detallado de controles y directrices
de buenas prácticas para la gestión de la salud y la
seguridad de la información por organizaciones sanitarias y
otros custodios de la información sanitaria en base a
garantizar un mínimo nivel necesario de seguridad
apropiado para la organización y circunstancias que van a
mantener la confidencialidad, integridad y disponibilidad de
información personal de salud.