Ing. Telecomunicaciones
Páginas: 5 (1163 palabras)
Publicado: 26 de enero de 2013
Auditoria De Seguridad Informática Iso 17799
En los últimos años se han venido desarrollando varias normas relacionadas con la seguridad informática siguiendo enfoques diferentes que a veces dan lugar a complementaciones y también algunas superposiciones.
Es así como encontramos normas como la ISO 17799, BS 7799-2, ISO 13335, ISO 15408 e ISO 21827. De todas ellas, la ISO 17799 y la BS 7799-2 constituyen por su naturaleza la base de una auditoría de seguridad informática.
La ISO 17799, por ejemplo, es una guía de recomendaciones de buenas prácticas para la gestión de seguridad informática. Cubre no sólo la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedanafectar la seguridad informática. Para ello la norma define para su selección un total de 36 objetivos de control con 127 controles generales de seguridad estructurados en 10 áreas de control que incluyen cuestiones referidas al personal, ambientales, operaciones,
desarrollo y mantenimiento de sistemas, continuidad de negocios, cumplimiento, etc.
La ISO 17799 está redactada bajo la forma verbal"should", un término presente en otras normas ISO y también del
IETF que, por convención, expresa una forma condicional a modo de recomendación y no de imposición. Es así como la
norma hace precisamente recomendaciones y no establece requisitos cuyo cumplimiento pudieren certificarse.
Lamentablemente, errores en algunas traducciones han traido confusión en el verdadero alcance de esta norma.Ocurre que la ISO 17799 deriva de la norma británica BS 7799-1 Parte 1 de la BS 7799 y en realidad prácticamente es igual a la misma.
Pero la norma británica tiene dos partes. La última versión de la Parte 2 es del 2002 denominándose entonces BS 7799-2:2002, aunque por simplicidad en lo sucesivo la mencionaremos simplemente como BS 7799-2.
La BS 7799-2 usa la expresión "shall", otro término habitualen ciertas normas, en este caso para expresar mandato u obligación. De esta manera la BS 7799-2 especifica los requisitos para establecer un plan de seguridad constituido por un Sistema de Gestión de Seguridad Informática SGSI o ISMS, por su nombre en inglés dentro del contexto de los riesgos totales de negocios de una empresa.
Estas especificaciones y la implementación correspondiente hacen quetanto la auditoría como la certificación se hagan con referencia a la BS 7799-2, toda vez que no hay una versión ISO equivalente de esta segunda parte de la BS 7799.
El proceso de implementación en cuestión incluye la selección y aplicación de los controles de seguridad definidos en la BS 7799-1 y por lo tanto en la ISO 17799. Dicha selección se realiza en base a una adecuada valuación de losriesgos a que están sujetos los activos a proteger en el SGSI. En este punto la BS 7799-2 no impone una forma determinada de realizar dicha valuación, pudiéndose recurrir a alguno de los diferentes métodos tanto de libre uso como de herramientas comerciales.
Una de las características más trascendentes de la BS 7799-2 es la incorporación del ciclo Deming o modelo de
procesos de cuatro fases PlanDo Check Act PDCA, que para el caso trata del establecimiento, implementación y operación, monitoreo y mejoramiento continuo del sistema de gestión de seguridad informática.
El resultado de estas estrategias hace que la estructura del SGSI conforme el paradigma de gestión de riesgos a partir del esquema de controles definidos en la ISO 17799, más el dinamismo propio del modelo PDCA.
La aplicacióndel modelo PDCA en la BS 7799-2 le permite alcanzar varios objetivos destacados:
a) Satisface los Principios formulados en la nueva versión de las Guías para la Seguridad de los Sistemas y Redes de Información de la Organización para la Cooperación y Desarrollo Económico OCDE.
b) Ofrece una interesante armonización con las normas ISO 9001 Calidad, ISO 14001 Ambiental y OHSAS 18001 Higiene y...
En los últimos años se han venido desarrollando varias normas relacionadas con la seguridad informática siguiendo enfoques diferentes que a veces dan lugar a complementaciones y también algunas superposiciones.
Es así como encontramos normas como la ISO 17799, BS 7799-2, ISO 13335, ISO 15408 e ISO 21827. De todas ellas, la ISO 17799 y la BS 7799-2 constituyen por su naturaleza la base de una auditoría de seguridad informática.
La ISO 17799, por ejemplo, es una guía de recomendaciones de buenas prácticas para la gestión de seguridad informática. Cubre no sólo la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedanafectar la seguridad informática. Para ello la norma define para su selección un total de 36 objetivos de control con 127 controles generales de seguridad estructurados en 10 áreas de control que incluyen cuestiones referidas al personal, ambientales, operaciones,
desarrollo y mantenimiento de sistemas, continuidad de negocios, cumplimiento, etc.
La ISO 17799 está redactada bajo la forma verbal"should", un término presente en otras normas ISO y también del
IETF que, por convención, expresa una forma condicional a modo de recomendación y no de imposición. Es así como la
norma hace precisamente recomendaciones y no establece requisitos cuyo cumplimiento pudieren certificarse.
Lamentablemente, errores en algunas traducciones han traido confusión en el verdadero alcance de esta norma.Ocurre que la ISO 17799 deriva de la norma británica BS 7799-1 Parte 1 de la BS 7799 y en realidad prácticamente es igual a la misma.
Pero la norma británica tiene dos partes. La última versión de la Parte 2 es del 2002 denominándose entonces BS 7799-2:2002, aunque por simplicidad en lo sucesivo la mencionaremos simplemente como BS 7799-2.
La BS 7799-2 usa la expresión "shall", otro término habitualen ciertas normas, en este caso para expresar mandato u obligación. De esta manera la BS 7799-2 especifica los requisitos para establecer un plan de seguridad constituido por un Sistema de Gestión de Seguridad Informática SGSI o ISMS, por su nombre en inglés dentro del contexto de los riesgos totales de negocios de una empresa.
Estas especificaciones y la implementación correspondiente hacen quetanto la auditoría como la certificación se hagan con referencia a la BS 7799-2, toda vez que no hay una versión ISO equivalente de esta segunda parte de la BS 7799.
El proceso de implementación en cuestión incluye la selección y aplicación de los controles de seguridad definidos en la BS 7799-1 y por lo tanto en la ISO 17799. Dicha selección se realiza en base a una adecuada valuación de losriesgos a que están sujetos los activos a proteger en el SGSI. En este punto la BS 7799-2 no impone una forma determinada de realizar dicha valuación, pudiéndose recurrir a alguno de los diferentes métodos tanto de libre uso como de herramientas comerciales.
Una de las características más trascendentes de la BS 7799-2 es la incorporación del ciclo Deming o modelo de
procesos de cuatro fases PlanDo Check Act PDCA, que para el caso trata del establecimiento, implementación y operación, monitoreo y mejoramiento continuo del sistema de gestión de seguridad informática.
El resultado de estas estrategias hace que la estructura del SGSI conforme el paradigma de gestión de riesgos a partir del esquema de controles definidos en la ISO 17799, más el dinamismo propio del modelo PDCA.
La aplicacióndel modelo PDCA en la BS 7799-2 le permite alcanzar varios objetivos destacados:
a) Satisface los Principios formulados en la nueva versión de las Guías para la Seguridad de los Sistemas y Redes de Información de la Organización para la Cooperación y Desarrollo Económico OCDE.
b) Ofrece una interesante armonización con las normas ISO 9001 Calidad, ISO 14001 Ambiental y OHSAS 18001 Higiene y...
Leer documento completo
Regístrate para leer el documento completo.