3. Historia y evolución de la ISO serie 27000, ISO 17799
Anuncio
ISO SERIE 27000, ISO 17799 OSCAR ANDRES RIOS GUTIERREZ TRABAJO DE INVESTIGACION ASOCIADO A LA ASIGNATURA: AUDITORIA II PRESENTADO A: Carlos Hernán Gómez Gómez UNIVERSIDAD NACIONAL SEDE MIZALES DEPARTAMENTO DE INFORMATICA Y COMPUTACION ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS MANIZALES 2010 Índice Introducción 1. Marco teórico de ISO serie 27000, ISO 17799 2. Introducción a ISO serie 27000, ISO 17799 3. Historia y evolución de la ISO serie 27000, ISO 17799 4. Descripción general de ISO serie 27000, ISO 17799 5. Comparativo entre ISO serie 27000, ISO 17799 y COBIT. Resumen del trabajo. Conclusiones y observaciones. Bibliografía. Introducción Con este trabajo de compilación voy a tratar de explicar de una forma muy integral y completa las normas establecidas en los estándares ISO serie 27000 e ISO 17799, explicando cómo son sus marcos de trabajo, sus puntos a evaluar y como estos van ligados estos a unos buenos procesos dentro de la organización en términos de tecnología, información y sistemas, ofreciendo y garantizando un buen marco de referencia para ordenar y asegurar que nuestra empresa está trabajando bajo unas buenas prácticas que otras empresas ya han utilizado y les han funcionado de una excelente forma, adicional a la explicación y argumentación que cada una de estas normas, incluye realizaremos al final un paralelo entre las buenas prácticas determinadas en los estándares ISO serie 27000 e ISO 17799 y los establecidos por COBIT en su última edición no con el fin de indicar cuál de las opciones es la mejor sino con el fin de establecer que en temas de buenas prácticas a nivel informático y tecnológico hay muchas opciones y que muchas de esas opciones se están convirtiendo en un requerimiento a la hora de tratar de salir a otros mercados y que por este motivo debemos estar preparados para establecer estos buenos lineamientos en nuestra empresa para garantizar que el manejo de la información está siendo eficaz y eficiente. Marco Teórico Realizar una argumentación lo más completa posible de todas las normas establecidas dentro de la serie ISO 27000 pasando por obviamente una explicación de esta serie 27000 hasta la norma 27799, donde argumentaremos que trata de controlar cada una de ellas con el fin de describir por que estos modelos y estos estándares establecen un marco de buenas prácticas a seguir y a trabajar en nuestra organización para garantizar que la información si sea manejada de la forma correcta y así atacar los baches que se detecten en el proceso de mejora, adicional integraremos a esta explicación a la norma 17799 que también ha sido conocida como una más de la seria 27000, mas puntualmente como la norma 27002 ya que estaría involucrada con todo lo relacionado con la seguridad de la información. Al tener conocimiento de cómo estos estándares ayudan a dar solución a los baches en la administración, gestión y control de la información brindando puntos de control que debemos establecer en nuestra empresa para poder certificar el proceso que queramos certificar, vamos a realizar un paralelo con las buenas prácticas de control para temas de tecnología, información y otros puntos relacionados con TI, dadas por COBIT con el fin de demostrar los diferentes caminos y cuáles de ellos se pueden ajustar según nuestros objetivos en el momento de tomar en cuenta un proceso de mejora o de certificación en buenas prácticas para el tema integral de TI en nuestra organización . Introducción a ISO serie 27000 e ISO 17799 ISO 27000: Garantizar la Seguridad de la Información ISO 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por ISO International Organization for Standardization) e IEC (International ElectrotechnicalCommission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la información (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001para calidad, ISO 14001 para medio ambiente, etc.). Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y tras superar con éxito la misma, recibir la certificación en ISO 27001 Historia ISO 27000. Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como: 1979 Publicación BS 5750 - ahora ISO 9001 1992 Publicación BS 7750 - ahora ISO 14001 1996 Publicación BS 8800 - ahora OHSAS 18001 La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.W27000.ES © En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. Familias ISO 27000 A semejanza de otras familias de normas ISO, la 27000 está formada por: ISO 27000: Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido. ISO 27001. Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información. No es certificable. ISO 27003: Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. ISO 27004: Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. ISO 27005: Consistirá en una guía de técnicas para la gestión del riesgo de la Seguridad de la Información y servirá, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de Sistemas de Gestión de Seguridad de la Información. ISO 27007: Consistirá en una guía de auditoría de un SGSI. ISO 27011: Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones. ISO 27031: Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. ISO 27032: Consistirá en una guía relativa a la ciberseguridad. ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. ISO 27034: Consistirá en una guía de seguridad en aplicaciones. ISO 27799: Es un estándar de gestión de seguridad de la información en el sector. Procesos de la ISO 27000 e ISO 17799 ISO/IEC 17799 Denominada también como ISO 27002; es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)” Historia de ISO 17799 En 1995 el British Standard Institute publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información. En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en 2002. Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información. Aplicable por toda organización, con independencia de su tamaño. Flexible e independiente de cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología. En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO). Normas anteriores a la ISO 17799 Multitud de estándares aplicables a diferentes niveles: 1. TCSEC (Trusted Computer Security, militar, US, 1985). 2. ITSEC (Information Technology Security, europeo, 1991). 3. Common Criteria (internacional, 1986-1988). 4. *7799 (británico + internacional, 2000) CARACTERISTICAS DE ISO 17799 Las principales secciones de esta norma son: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. De estos quince dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo). La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. ISO 17799 define la información como un activo que posee valor para la Organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. COMPARATIVO GRAFICO ENTRE ISO 27000 E ISO 17799 Comparativo de estas normas ISO con COBIT. Para realizar un comparativo entre ambos estándares de buenas prácticas para TI podemos citar la siguiente imagen donde está basada la diferencia por lo diferentes puntos que tienen sus marcos de trabajo: Realizando una diferencia entre ambos estándares debemos aclarar los objetivos de ambos estándares para allí fundamentar la diferencia entre los estándares; de la siguiente forma el objetivo de ISO es proporcionar información a las partes responsables para implementar la seguridad de la información dentro de una organización, puede verse como una mejor practica para desarrollar y mantener estándares de seguridad y prácticas de gestión de una organización para mejorar la confianza sobre la seguridad de la información en las relaciones inter organizacionales, ISO define 133 estrategias de controles de seguridad bajo 11 títulos haciendo hincapié en la gestión de riesgos y deja claro que no tiene que implementar toda la guía solo lo importante. Y el objetivo es investigar, desarrollar, publicitar y promocionar un marco de trabajo de control de gobierno de TI autoritario, actualizado y aceptado internacionalmente que se adopte por las empresas y se emplee en el día a día por los gerentes de negocio, profesionales de TI y profesionales de aseguramiento. COBIT está de pie para el Control del objetivo sobre la información y la tecnología relacionada. COBIT expedido por ISACA (Sistema de Información de la norma de control), una organización sin fines de lucro para el Gobierno de TI. La principal función de COBIT es ayudar a la empresa, mapeo de sus procesos de TI a las prácticas de mejor estándar de ISACA. COBIT general elegido por la empresa que la información de auditoría del sistema de realizar, ya sea relacionado con la auditoría financiera o generales de auditoría de TI. ISO 27000 es mucho más diferente entre COBIT e ITIL, ISO27001, porque es un estándar de seguridad, por lo que tiene, pero más profundo dominio más pequeño en comparación con COBIT e ITIL. ÁREA COBIT ITIL Asignación de TI Mapeo de procesos Gestión de Nivel de Función de TI Servicio 4 Proceso y de 9 Proceso Espacio dominio 34 ISACA OGC Emisor La información de Gestionar de nivel Aplicación auditoría del sistema de servicio Firma de Contabilidad, Consultoría empresa Consultor Consultoría Empresa ISO27001 Información Marco de Seguridad 10 de dominio ISO Junta Cumplimiento con el estándar de seguridad Consultoría empresa, empresa de seguridad, Consultor de la Red Resumen del trabajo. ISO serie 27000 e ISO 17799 ISO 27000: Garantizar la Seguridad de la Información ISO 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por ISO International Organization for Standardization) e IEC (International ElectrotechnicalCommission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la información (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001para calidad, ISO 14001 para medio ambiente, etc.). Familias ISO 27000 A semejanza de otras familias de normas ISO, la 27000 está formada por: ISO 27000: Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido. ISO 27001. Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. ISO 27002: Desde el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información. No es certificable. ISO 27003: Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. ISO 27004: Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. ISO 27005: Consistirá en una guía de técnicas para la gestión del riesgo de la Seguridad de la Información y servirá, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de Sistemas de Gestión de Seguridad de la Información. ISO 27007: Consistirá en una guía de auditoría de un SGSI. ISO 27011: Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones. ISO 27031: Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. ISO 27032: Consistirá en una guía relativa a la ciberseguridad. ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. ISO 27034: Consistirá en una guía de seguridad en aplicaciones. ISO 27799: Es un estándar de gestión de seguridad de la información en el sector. Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799: Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información. Aplicable por toda organización, con independencia de su tamaño. Flexible e independiente de cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología. En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO). CARACTERISTICAS DE ISO 17799 Las principales secciones de esta norma son: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. Comparativo de estas normas ISO con COBIT. Y el objetivo es investigar, desarrollar, publicitar y promocionar un marco de trabajo de control de gobierno de TI autoritario, actualizado y aceptado internacionalmente que se adopte por las empresas y se emplee en el día a día por los gerentes de negocio, profesionales de TI y profesionales de aseguramiento. COBIT está de pie para el Control del objetivo sobre la información y la tecnología relacionada. COBIT expedido por ISACA (Sistema de Información de la norma de control), una organización sin fines de lucro para el Gobierno de TI. La principal función de COBIT es ayudar a la empresa, mapeo de sus procesos de TI a las prácticas de mejor estándar de ISACA. COBIT general elegido por la empresa que la información de auditoría del sistema de realizar, ya sea relacionado con la auditoría financiera o generales de auditoría de TI. ISO 27000 es mucho más diferente entre COBIT e ITIL, ISO27001, porque es un estándar de seguridad, por lo que tiene, pero más profundo dominio más pequeño en comparación con COBIT e ITIL. ÁREA COBIT ITIL Asignación de TI Mapeo de procesos Gestión de Nivel de Función de TI Servicio 4 Proceso y de 9 Proceso Espacio dominio 34 ISACA OGC Emisor La información de Gestionar de nivel Aplicación auditoría del sistema de servicio Firma de Contabilidad, Consultoría empresa Consultor Consultoría Empresa ISO27000 Información Marco de Seguridad 10 de dominio ISO Junta Cumplimiento con el estándar de seguridad Consultoría empresa, empresa de seguridad, Consultor de la Red Conclusiones y observaciones. Se describió en tres estándares internacionales como las buenas prácticas en administración, gestión y procesamiento de TI hacen que la información sea relevante para la información y allí se le da el verdadero valor que tiene, donde el procesamiento efectivo de esta hace que la empresa tenga un valor agregado a los procesos de empresa, todos los estándares explicados en este documento muestran que en verdad es necesario manipular la información en la empresa de una forma que sea eficaz y eficiente y que para eso estos estándares ya tiene controles y lineamientos que han sido utilizados exitosamente en otras organización y que por este motivo no es necesario crearlos sino aplicarlos de una forma correcta. Bibliografía. http://www.noweco.com/risk/riske13.htm http://es.wikipedia.org/wiki/ISO/IEC_17799 http://cibsi05.inf.utfsm.cl/presentaciones/empresas/Neosecure.pdf http://www.shutdown.es/ISO17799.pdf http://www.iso27000.es/herramientas.html http://www.scribd.com/doc/6285687/ISO-90012000-ISO-27000 http://www.derkeiler.com/Mailing-Lists/securityfocus/security-basics/200802/msg00487.html http://www.slideshare.net/rsoriano/cobit-itil-iso-27000-marcos-de-gobierno http://www.securityprocedure.com/comparison-between-cobit-itil-and-iso-27001