You are on page 1of 7

ACTIVIDAD 2

ESTNDARES DE SEGURIDAD INFORMTICA

PRESENTADO POR ALEJANDRO GUTIRREZ RODRGUEZ 1022357799

PRESENTADO A CARLOS HUGO NEIVA REYES

FUNDACIN DE EDUCACIN SUPERIOR SAN JOS INGENIERA DE SISTEMAS SEMINARIO DE GRADO BOGOT D.C 2009

TALLER N 2 SEGURIDAD INFORMTICA

Basndote en las guas de ESTNDARES DE SEGURIDAD INFORMTICA y en tus propias investigaciones responde: 1. En qu consiste el modelo PDCA (Plan-Do-Check-Act)? El modelo PDA se basa en el sistema de gestin de seguridad de la informacin SGCI, el cual consiste en cuatro fases fundamentales para su uso: Planificar En esta primera fase se realiza un estudio de la situacin de la Organizacin (desde el punto de vista de la seguridad), para estimar las medidas que se van a implantar en funcin de las necesidades detectadas. Hay que tener en cuenta que no toda la informacin de la que dispone la organizacin tiene el mismo valor, e igualmente, no toda la informacin est sometida a los mismos riesgos. Por ello un hito importante dentro de esta fase es la realizacin de un Anlisis de Riesgos que ofrezca una valoracin de los activos de informacin y las vulnerabilidades a las que estn expuestos. As mismo se hace necesario una Gestin para dichos riesgos de cara a reducirlos en la medida de lo posible. El resultado de este Anlisis y Gestin de Riesgos ser establecer una serie de prioridades en las tareas a realizar para minimizar dichos riesgos. Puesto que los riesgos nunca van a desaparecer totalmente, es importante que la Direccin de la Organizacin asuma un riesgo residual, as como las medidas que se van a implantar para reducir al mnimo posible dicho riesgo residual. Ejecutar En esta fase se lleva a cabo la implantacin de los controles de seguridad escogidos en la fase anterior. En dicha implantacin se instalarn dispositivos fsicos (HW, SW,...), pero tambin se crear o revisar la documentacin necesaria (polticas, procedimientos, instrucciones y registros). Dentro de esta fase es muy importante dedicar un tiempo a la concienciacin y formacin del personal de la empresa de cara a que conozcan los controles implantados. Verificar Es importante que la Organizacin disponga de mecanismos que le permitan evaluar la eficacia y xito de los controles implantados. Es por esto que toman especial importancia los registros (evidencias) que dejan los diferentes controles, as como los indicadores que permiten verificar el correcto funcionamiento del SGSI. Actuar

En esta fase se llevarn a cabo las labores de mantenimiento del sistema as como las labores de mejora y de correccin si, tras la verificacin, se ha detectado algn punto dbil. Esta fase se suele llevar en paralelo con la verificacin y se acta al detectarse la deficiencia, no se suele esperar a tener la fase de verificacin completada para comenzar con las tareas de mejora y correccin. 2. Qu es un sistema de gestin de seguridad de la informacin SGSI y cmo puedo implementarlo? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad de la Informacin; En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita, de su origen o fecha de elaboracin. Esta es la forma o los pasos para poder implementar un SGSI: Planeacin: - Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. -Definicin de una poltica de seguridad que incluya requerimientos, alcances y objetivos de la informacin de la organizacin. - Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio. - Analizar y evaluar los riesgos - Identificar y evaluar las distintas opciones de tratamiento de los riesgos para aplicar controles adecuados y evitar los riesgos, y en caso que lleguen aceptarlos siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos. Implementar y utilizar el SGSI - Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. - Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades. - Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.

- Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. - Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal. - Gestionar las operaciones del SGSI. - Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la informacin.

Monitorizar y revisar el SGSI La organizacin deber: Ejecutar procedimientos de monitorizacin y revisin para: detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin; identificar brechas e incidentes de seguridad; ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto; detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores; determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.

Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-.

Realizar peridicamente auditoras internas del SGSI en intervalos planificados.

Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorizacin y revisin. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI. Mantener y mejorar el SGSI La organizacin deber regularmente: Implantar en el SGSI las mejoras identificadas. Realizar las acciones preventivas y correctivas adecuadas en relacin a la clasula de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad. REGLAS QUE SE DEBEN TENER EN CUENTA PARA IMPLEMENTAR UN SGSI

Ser objetivas: Debe aportar un criterio de recogida de datos medible y objetiva, que no dependa de valoraciones subjetivas. Ser fciles de obtener: Los datos sencillos, simples de calcular y poco costosos de recoger son buenos candidatos a ser mtricas. Al respecto, lo ms sencillo es recurrir a datos proporcionados por herramientas o procesados de forma automatizada. Expresables de forma numrica o porcentual. No deben estar basados en etiquetas cualitativas tales como "alto", "medio" o "bajo". Expresable usando algn tipo de unidad de medida: Siempre deben estar vinculadas a algo tangible basado en escalas como el tiempo, nmero de defectos, a cuantas econmicas. Significativas: Toda buena mtrica debe ser significativa, debe ser relevante para el hecho o circunstancia que se desea medir y debe aportar criterio. Una mtrica que no aporta informacin no es una buena mtrica y debe ser desechada.

3. Cul es la relacin existente entre cada uno de los estndares de la norma ISO 2700? A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044. ISO 27000: Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea gratuita, a diferencia de las dems de la serie, que tendrn un coste. ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. ISO 27002: Es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. ISO 27003: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2009. Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO 27004: Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. ISO 27005: Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO

27001, pero no es una norma de acreditacin por s misma. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en ISO.org. 4. Bajo tu punto de vista describe brevemente los pasos para implementar proyecto con la norma ISO 27000. Para poder implementar un proyecto basndose en la norma ISO se deben establecer al fin u objetivo principal a desarrollarse para poder basarlo sobre la estructura de la norma y basarse en las guas y soportes que nos da esta norma Compromiso y apoyo de la Direccin de la organizacin. Definicin clara de un alcance apropiado. Concienciacin y formacin del personal. Evaluacin de riesgos exhaustiva y adecuada a la organizacin. Compromiso de mejora contina. Establecimiento de polticas y normas. Organizacin y comunicacin. Integracin del SGSI en la organizacin.

You might also like