sábado, 31 de enero de 2009

Terminos_Seguridad_Informatica

Esta es una actividad que me toco hacer por no respetar en todo el sentido de la palabra a un compañero.

Pero la hago con honor.

  1. Acceso Remoto: Utilidad para que un usuario acceda desde su propio PC a otro que se halle remotamente y opere sobre el.
  2. AES--Estandar de Cifrado Avanzado: Conocido tambien como "Rijndael", algoritmo de encriptacion simetrica de 128 bits desarrollado por los belgas Joan Daemen y Vincent Rijmen. El Instituto Nacional de Estandares y Tecnologia, seleccionó en 2000 como estandar de cifrado reemplazando el hasta entonces estandar DES.
  3. Analisis Heuristico: Es un analisis adicional que solamente algunos programas anti-virus pueden realizar para detectar virus que hasta este momento son desconocidos.
  4. Blowfish: codificador simetrico de bloques. Toma una clave de longitud variable, entre 32 y 448 bits.
  5. Criptologia: Ciencia que estudia el arte de crear y utilizar sistemas de encriptacion.

NORMATIVIDAD-ISO-27000

¿Qué es ISO 27000 ?

•Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI).
  • Requisitos para la especificación de sistemas de gestión de la seguridad de la información
  • Proceso del análisis y gestión del riesgo
  • Métricas y medidas de protección
  • Guías de implantación
  • Vocabulario claramente definido para evitar distintas interpretaciones de conceptos técnicos y de gestión y mejora continua.


IMPLANTAR EL SASI





  • Definir el alcance y las fronteras del SASI en términos de las características del negocio.
  • Definir la aproximación a la evaluación del riesgo de la organización.
  • Identificar los riesgos.
  • Analizar y evaluar los riesgos.
  • Identificar y evaluar opciones para el tratamiento de riesgos.Seleccionar objetivos de control y controles para el tratamiento de riesgos.
  • Obtener aprobación de la gerencia de los riesgos remanentes propuestos.
  • Preparar una declaración de aplicabilidad.
  • Monitorear y revisar el SASI.
  • Mantener y mejorar el SASI.

PROCESO ISMS





¿Qué debe incluir el SASI?
  • Enunciados documentados de la política del SASI y los objetivos;
  • El alcance del SASI;
  • Procedimientos y controles que soportan el SASI;
  • Una descripción de la metodología de evaluación de riesgos;
  • El reporte de evaluación de riesgos;
  • El plan de tratamiento del riesgo;
  • Procedimientos documentados necesarios para que la organización asegure una planeación, operación y control efectivo de sus procesos de seguridad de la información y describir como medir la efectividad de los controles;
  • Registros requeridos por este Estándar Internacional;
  • La declaración de aplicabilidad.
Áreas que se deben cubrir
  • Marco de las normas de gestión de la seguridad de la información.
  • Sistema de gestión de la seguridad de la información.
  • Análisis y gestión de riesgos.
  • Controles y salvaguardas.
  • Métricas.
  • Auditoria.
  • Directrices de implantación de los sistemas de gestión de la seguridad de la información.
  • Difusión y concienciación.
  • Así también, cabe considerar aspectos tales como los siguientes:
    –Productos y servicios.
    –Política y procedimientos.
    –Personal
    –Seguridad Física
    –Esquemas de Reporte.
Medidas del ISMS

Objetivos
Evaluar la efectividad de las medidas de seguridad del SMSI con respecto a las métricas preestablecidas.
  • Evaluar el ISMS y su permanente actualización.
  • Proveer una guía estándar para evaluar las revisiones, facilitar las mejoras y para proveer trazar para posibles auditorias
  • Comunicar, dentro de la organización, la importancia de la seguridad.
  • Ser una herramienta para el análisis y tratamiento del riesgo.
  • Activos, implementos para la seguridad, vulnerabilidades e impacto






    ISO 27001

    • Esta norma muestra como aplicar los controles propuestos en la ISO 17799, estableciendo los requisitos para construir un SGSI, “auditable” y “certificable”.

    ISO 27002

    • Está en fase de desarrollo, es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información, esta norma no es certificable.

    ISO 27003

    • Se estima que se publique en Octubre de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act: Tomado del ciclo de calidad de Edwards Deming) y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.

    ISO 27004

    • Publicada probablemente en Noviembre de 2006. Especificará las métricas y técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

    ISO 27005

    • Consiste en una guía para la gestión del riesgo de la seguridad de la información y servirá de apoyo a la ISO 27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.

    ISO 27006

    • Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.

    NORMATIVIDAD-ISO/IEC-17799


    ISO 17799

    ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización”.

    Define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada.

    El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

    El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.

    ● La adaptación española de la norma se denomina UNE-ISO/IEC 17799.

    ● Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma UNE 71502, CERTIFICABLE.

    ● En 1995 el British Standard Institute publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información.
    ● En 1998, también el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestión de la seguridad de la información; se revisa en 2002.

    ● Tras una revisión de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:

    – Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información.

    – Aplicable por toda organización, con independencia de su tamaño.

    – Flexible e independiente de cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la tecnología.

    ● En 2002 la norma ISO se adopta como UNE sin apenas modificación (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).

    La norma UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información:

    1. Política de seguridad.
    2. Aspectos organizativos para la seguridad.
    3. Clasificación y control de activos.
    4. Seguridad ligada al personal.
    5. Seguridad física y del entorno.
    6. Gestión de comunicaciones y operaciones.
    7. Control de accesos.
    8. Desarrollo y mantenimiento de sistemas.
    9. Gestión de continuidad del negocio.
    10.Conformidad con la legislación.


    De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de
    riesgo).

    OBJETIVOS DE CONTROL

    POLÍTICA DE SEGURIDAD
    • Dirigir y dar soporte a la gestión de la seguridad de la información.


    ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

    • Gestionar la seguridad de la información dentro de la organización.

    • Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que sonaccedidos por terceros.

    • Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.


    CLASIFICACIÓN Y CONTROL DE ACTIVOS

    • Mantener una protección adecuada sobre los activos de la organización.

    • Asegurar un nivel de protección adecuado a los activos de información.


    SEGURIDAD LIGADA AL PERSONAL

    • Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.

    • Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.

    • Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.

    • Las implicaciones del factor humano en la seguridad de la información son muy elevadas.

    • Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global.

    • Diferentes relaciones con los sistemas de información: operador, administrador, guardia de seguridad, personal de servicios, etc.

    • Procesos de notificación de incidencias claros, ágiles y conocidos por todos.


    SEGURIDAD FÍSICA Y DEL ENTORNO

    • Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.

    • Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.

    • Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.


    GESTIÓN DE COMUNICACIONES Y OPERACIONES

    • Asegurar la operación correcta y segura de los recursos de tratamiento de información.

    • Minimizar el riesgo de fallos en los sistemas.

    • Proteger la integridad del software y de la información.

    • Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.

    • Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo.

    • Evitar daños a los activos e interrupciones de actividades de la organización.

    • Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.


    CONTROL DE ACCESOS

    • Controlar los accesos a la información.

    • Evitar accesos no autorizados a los sistemas de información.

    • Evitar el acceso de usuarios no autorizados.

    • Protección de los servicios en red.

    • Evitar accesos no autorizados a ordenadores.

    • Evitar el acceso no autorizado a la información contenida en los sistemas.

    • Detectar actividades no autorizadas.

    • Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo.


    DESARROLLO Y MANTENIMIENTO DE SISTEMAS

    • Asegurar que la seguridad está incluida dentro de los sistemas de información.

    • Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.

    • Proteger la confidencialidad, autenticidad e integridad de la información.

    • Asegurar que los proyectos de Tecnología de la Información y las actividades complementarias son llevadas a cabo de una forma segura.

    • Mantener la seguridad del software y la información de la aplicación del sistema.


    GESTIÓN DE CONTINUIDAD DEL NEGOCIO

    • Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres.


    CONFORMIDAD

    • Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad.

    • Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma.

    • Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas.


    AUDITORIA

    • Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles.

    • Nivel mínimo aceptable. Estado con las mínimas garantías de seguridad necesarias para trabajar con la información corporativa.

    • Nivel objetivo. Estado de seguridad de referencia para la organización, con un alto grado de cumplimiento ISO 17799.


    ISO 17799 no es una norma tecnológica.

    • Ha sido redactada de forma flexible e independiente de cualquier solución de seguridad específica.

    • Proporciona buenas prácticas neutrales con respecto a la tecnología y a las soluciones disponibles en el mercado.

    • Estas características posibilitan su implantación en todo tipo de organizaciones, sin importar su tamaño o sector de negocio, pero al mismo tiempo son un argumento para los detractores de la norma.


    La adopción de la norma ISO 17799 proporciona diferentes ventajas a cualquier organización.

    • Aumento de la seguridad efectiva de los sistemas de información.

    • Correcta planificación y gestión de la seguridad.

    • Garantías de continuidad del negocio.

    • Mejora contínua a través del proceso de auditoría interna.

    • Incremento de los niveles de confianza de nuestros clientes y partners.

    • Aumento del valor comercial y mejora de la imagen de la organización.

    • ¡CERTIFICACIÓN! (UNE 71502).

    ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información, adoptada en España como norma UNE-ISO/IEC 17799.

    • La norma se estructura en diez dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.

    • Implantar ISO 17799 requiere de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización concreta.

    • La adopción de ISO 17799 presenta diferentes ventajas para la organización, entre ellas el primer paso para la certificación según UNE 71502.




    "Ni la adopción de ISO 17799, ni la certificación UNE 71502, garantizan la inmunidad de la organización frente a problemas de seguridad."