ESTRUCTURA DE LA NORMA

ISO 27000

ESTRUCTURA ISO 27000

1. Política de Seguridad

Es el documento que la empresa firma aceptando las políticas de

calidad a revisar el cual debe contener:

Una definición de la seguridad de información y sus objetivos

globales y el alcance y su importancia como un mecanismo que

permite compartir información.

Una breve explicación de las políticas, principios, normas y

requisitos de conformidad más importantes para la organización.

Una definición de las responsabilidades generales y específicas

en materia de la gestión de seguridad de información, incluida el

reporte de las incidencias de seguridad.

2. Organización de seguridad.

Se debe establecer una estructura de la seguridad de la información de tal manera que satisfaga todos los requerimientos para lo cual es indispensable la participación de los representantes de las diferentes áreas dentro de la organización para cubrir distintas necesidades por ejemplo la participación de:

Comité de gestión de seguridad de la información

-Coordinación de la seguridad de la información.

-Asignación de las responsabilidades de la seguridad de información.

-Procesos de autorización para los recursos de tratamiento de la información

-Acuerdos de confidencialidad.

3. Administración de activos

Se debe asignar a los recursos de la organización, propietarios quienes serán los responsables de mantener una protección adecuada. La organización debe identificar los activos y su valor e importancia. Sobre esta base la organización puede proporcionar niveles de protección proporcionales a dicho valor e importancia. Debería establecerse y mantenerse el inventario de los activos importantes asociados con cada sistema de información.

Propiedad de los recursos

Todos los recursos de tratamiento de la información y los activos de información de la organización deben ser de propiedad de una parte designada. El dueño del recurso debe ser responsable de:

1. asegurar que recursos de tratamiento de la información y los activos de información sean apropiadamente clasificados;

2. definir y revisar periódicamente las restricciones de acceso y clasificación, tomando en cuenta políticas de control de acceso aplicables

4. Seguridad de recursos humanos

Asegurar que cada persona dentro de la organización comprenda sus responsabilidades, ya que es un factor que influye en la preservación de la seguridad de la información.

Implementar y actuar de acuerdo con las políticas de seguridad de información.

Proteger los activos de accesos no autorizados, divulgación, modificación, destrucción e interferencia.

Ejecutar procesos particulares de seguridad o actividades.

Garantizar que responsabilidades se asignen a los individuos para acciones tomadas.

Reportar eventos de seguridad o eventos potenciales u otros riesgos para la organización.

5. Seguridad física y mental

Los recursos importantes para el tratamiento de la información deben ser ubicados en áreas seguras de tal manera que se provenga el acceso no autorizado.

El perímetro de seguridad físico

Los perímetros de seguridad debe ser usadas para proteger áreas que contienen recursos de tratamiento de información. Se debe considerar los siguientes puntos:

a) el perímetro de seguridad deben ser definidos claramente.

El perímetro de un edificio o un lugar que contenga recursos de tratamiento de información debería tener solidez física.

Se debería instalar un área de recepción manual u otros medios de control del acceso físico al edificio o lugar. Dicho acceso se debería restringir solo al personal autorizado.

Las barreras físicas se deberían extender, si es necesario, desde el suelo al techo para evitar entradas no autorizadas o contaminación del entorno.

Todas las puertas para incendios del perímetro de seguridad deberían tener alarma y cierre automático.

6. Gestión de Comunicaciones y Operaciones

Establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos de tratamiento de información, de tal manera que se consiga reducir el riesgo de un mal uso del sistema deliberado o por negligencia.

Documentación de procedimientos operativos:

Se deberían documentar los procedimientos de operación y hacerlo disponible para todos los usuarios que necesitan de ellos. Los procedimientos de operación deberían especificar las instrucciones necesarias para la ejecución detallada de cada tarea, incluyendo:

El proceso y utilización correcta de la información.

Respaldo.

Los requisitos de planificación, incluyendo las interdependencias con otros sistemas, con los tiempos de comienzo más temprano y final más tardío posibles de cada tarea

7. Sistema de Control de Accesos

Se debería controlar el acceso a la información y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Se deberían tener en cuenta para ello las políticas de distribución de la información y de autorizaciones.

En la política de control de accesos se debería tener bien definido y documentado los requisitos del negocio para el control de acceso, definiéndose de forma clara las reglas y derechos de cada usuario. Debería contemplar:

Requisitos de seguridad de cada aplicación de

negocio individualmente.

Identificación de toda la información relativa a

las aplicaciones.

Políticas para la distribución de la información y

las autorizaciones.

Coherencia entre las políticas de control de

accesos y las políticas de clasificación de la

información en los distintos sistemas y redes

8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

Todos los requisitos de seguridad, incluyendo las disposiciones para contingencias, la infraestructura, las aplicaciones de negocio y las aplicaciones desarrolladas por usuario; deberían ser identificados y justificados en la fase de requisitos de un proyecto, consensuados y documentados como parte del proceso de negocio global para un sistema de información.

Análisis y especificación de los requisitos de seguridad:

Los requisitos y controles de seguridad deberían reflejar el valor de los

activos de información implicados y el posible daño a la organización que

resultaría de fallos o ausencia de seguridad. La estimación del riesgo y su

gestión son el marco de análisis de los requisitos de seguridad y de la

identificación de los controles y medidas para conseguirla

Autenticación de mensajes

La autenticación de mensajes es una técnica utilizada para detectar

cambios no autorizados o una corrupción del contenido de un mensaje

transmitido electrónicamente.

Se debería establecer en aplicaciones que requieran protección de la

integridad del contenido de los mensajes, por ejemplo, transferencia

electrónica de fondos, especificaciones, contratos, propuestas u otros

intercambios electrónicos de datos importantes.

9. Administración de Incidentes de Seguridad de la Información

Para asegurar los eventos y las debilidades de la seguridad de la información asociados a los sistemas de información, los procedimientos formales de la divulgación y de escalada del acontecimiento deben estar en lugar. Todos los empleados, contratistas y usuarios de los terceros deben ser enterados de los procedimientos para divulgar diversos tipos de eventos y de debilidad que pudieron tener un impacto en la seguridad de activos de organización.

Procedimientos de divulgación formal del acontecimiento de la seguridad de la información se deben establecer, junto con una respuesta del incidente y un procedimiento de escalada, precisando la acción que se adquirirá recibo de un informe de un acontecimiento de la seguridad de la información. Los mismos que deben incluir:

El comportamiento correcto que se emprenderá en caso de que se de un evento de la seguridad de la información.

Un proceso disciplinario formal establecido para los empleados, contratistas o usuarios de los terceros que ocasionen riesgos de la seguridad.

10. Plan de Continuidad del Negocio

La gestión de la continuidad del negocio debería incluir controles para la identificación y reducción de riesgos, limitar las consecuencias de incidencias dañinas y asegurar la reanudación, a tiempo, de las operaciones esenciales.

Así como reducir la interrupción causada por desastres y fallas de seguridad.

Proceso de gestión de la continuidad del negocio

Debería incluir los siguientes elementos clave:

Comprender los riesgos que la organización corre desde el punto de vista de su vulnerabilidad e impacto.

Identificar los activos envueltos en el proceso crítico del negocio.

Comprender el impacto que tendrían las interrupciones en el negocio;

Considerar la adquisición de los seguros adecuados que formarán parte del proceso de continuidad del negocio.

Continuidad del negocio y análisis de impactos

El estudio para la continuidad del negocio

debería empezar por la identificación de

los eventos que pueden causar

interrupciones en los procesos de negocio.

Se debería continuar con una evaluación

del riesgo para determinar el impacto de

dichas interrupciones.

11. CUMPLIMIENTO CON LOS REQUISITOS LEGALES

Con este control se busca evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulación u obligación contractual, y de todo requisito de seguridad. El diseño, operación, uso y gestión de los sistemas de información puede estar sujeto a requisitos estaestutarios, regulatorios y contractuales de seguridad.

Identificación de la legislación aplicable

Se deberían definir y documentar de forma explícita todos los requisitos legales, regulatorios

y contractuales que sean importantes para cada sistema de información.

Derechos de propiedad intelectual Se deberían implantar los procedimientos apropiados

para asegurar el cumplimiento de las restricciones legales sobre el uso del material

protegido como derechos de autor y los productos de software propietario. Se debería

considerar:

Publicar una política de conformidad de los derechos de propiedad intelectual.

Publicar normas para los procedimientos de adquisición de productos de software.