Auditoria De Seguridad Informática Iso 17799

ElZorro

En los últimos años se han venido desarrollando varias normas relacionadas con la seguridad informática siguiendo enfoques diferentes que a veces dan lugar a complementaciones y también algunas superposiciones.
Es así como encontramos normas como la ISO 17799, BS 7799-2, ISO 13335, ISO 15408 e ISO 21827. De todas ellas, la ISO 17799 y la BS 7799 -2 constituyen por su naturaleza la base de una auditoría de seguridad informática.
La ISO 17799, por ejemplo, es una guía de recomendaciones de buenas prácticas para la gestión de seguridad informática. Cubre no sólo la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedan afectar la seguridad informática. Para ello la norma define para su selección un total de 36 objetivos de control con 127 controles generales de seguridad estructurados en 10 áreas de control que incluyen cuestiones referidas al personal, ambientales, operaciones,
desarrollo y mantenimiento de sistemas, continuidad de negocios, cumplimiento, etc.
La ISO 17799 está redactada bajo la forma verbal "should", un término presente en otras normas ISO y también del
IETF que, por convención, expresa una forma condicional a modo de recomendación y no de imposición. Es así como la
norma hace precisamente recomendaciones y no establece requisitos cuyo cumplimiento pudieren certificarse.
Lamentablemente, errores en algunas traducciones han traido confusión en el verdadero alcance de esta norma.
Ocurre que la ISO 17799 deriva de la norma británica BS 7799-1 Parte 1 de la BS 7799 y en realidad prácticamente es igual a la misma.
Pero la norma británica tiene dos partes. La última versión de la Parte 2 es del 2002 denominándose entonces BS 7799-2:2002, aunque por simplicidad en lo sucesivo la mencionaremos simplemente como BS 7799-2.
La BS 7799-2 usa la expresión "shall", otro término habitual en ciertas normas, en este caso para expresar mandato u obligación. De esta manera la BS 7799-2 especifica los requisitos para establecer un plan de seguridad constituido por un Sistema de Gestión de Seguridad Informática SGSI o ISMS, por su nombre en inglés dentro del contexto de los riesgos totales de negocios de una empresa.
Estas especificaciones y la implementación correspondiente hacen que tanto la auditoría como la certificación se hagan con referencia a la BS 7799-2, toda vez que no hay una versión ISO equivalente de esta segunda parte de la BS 7799.
El proceso de implementación en cuestión incluye la selección y aplicación de los controles de seguridad definidos en la BS 7799-1 y por lo tanto en la ISO 17799. Dicha selección se realiza en base a una adecuada valuación de los riesgos a que están sujetos los activos a proteger en el SGSI. En este punto la BS 7799-2 no impone una forma determinada de realizar dicha valuación, pudiéndose recurrir a alguno de los diferentes métodos tanto de libre uso como de herramientas comerciales.
Una de las características más trascendentes de la BS 7799-2 es la incorporación del ciclo Deming o modelo de
procesos de cuatro fases Plan Do Check Act PDCA, que para el caso trata del establecimiento, implementación y operación, monitoreo y mejoramiento continuo del sistema de gestión de seguridad informática.
El resultado de estas estrategias hace que la estructura del SGSI conforme el paradigma de gestión de riesgos a partir del esquema de controles definidos en la ISO 17799, más el dinamismo propio del modelo PDCA.
La aplicación del modelo PDCA en la BS 7799-2 le permite alcanzar varios objetivos destacados:
a) Satisface los Principios formulados en la nueva versión de las Guías para la Seguridad de los Sistemas y Redes de Información de la Organización para la Cooperación y Desarrollo Económico OCDE.
b) Ofrece una interesante armonización con las normas ISO 9001 Calidad, ISO 14001 Ambiental y OHSAS 18001 Higiene y Seguridad Ocupacional, que también fueron desarrolladas en base al ciclo PDCA. Esto permite un
alineamiento entre estas normas en áreas comunes como partes de la documentación, entrenamiento, auditoría interna, etc. todo lo cual facilita una implementación consistente y semiintegrada, con la consiguiente reducción de costos y esfuerzos.
c) Al considerar los requisitos de seguridad de la información de negocios, e implementarse y operar en el contexto de la gestión de los riesgos totales de negocios, genera una importante sinergia con la implementación Turnbull de gestión de riesgos de negocios, también modelada con el ciclo PDCA.
d) El SGSI forma parte naturalmente de los procesos y procedimientos de riesgo del Corporate Governance.
Efectivamente, un buen Gobierno Corporativo se ocupa del establecimiento y mantenimiento de un proceso efectivo de
gestión de riesgos incluyendo un sistema de controles internos, así como también de fomentar la incorporación de la
función de auditoría interna en una organización, estas características quedan reflejadas en las diferentes fases del proceso PDCA de la BS 7799-2.
El conjunto de características mencionadas convierten a la BS 7799-2 en una importante ayuda para que una empresa pueda mejorar su actual nivel de seguridad y mitigar los riesgos significativos correspondientes que pudieren afectar sus negocios.
Una aplicación muy actual en este sentido responde a los desafíos que enfrenta una estrategia de seguridad para ecommerce y las múltiples cuestiones que pueden limitar el conocido escenario extranet de comunicaciones Empresa con Empresa B2B, efectivamente, en este caso a través de Internet se interconectan redes de diferentes empresas, proveedores, clientes, socios, muchas veces con niveles de seguridad desconocidos, la certificación con la BS 7799 -2 de las diferentes organizaciones interconectadas permite una garantía de aseguramiento entre ellas, sin importar el tipo de dispositivos, mecanismos, productos o marcas con que se hayan implementado los controles y contramedidas de seguridad del SGSI.
La BS 7799-2 aparece también como la norma idónea para medir la porción de seguridad informática de los riesgos operacionales que los bancos deben considerar ahora, además de los tradicionales riesgos crediticios, a la luz del Nuevo Acuerdo de Capitales Basilea II.
Finalmente, las demás normas mencionadas al principio pueden opcionalmente aportar su utilidad específica a una
implementación bajo BS 7799-2. Efectivamente:
a) La ISO 13335, o Directrices para la Gestión de la Seguridad GMITS, ofrece un marco de referencia especialmente a
cuanto a las técnicas de gestión de riesgos y al criterio de selección de las contramedidas.
b) La ISO 15408 o Criterios Comunes CC, con el objeto de reducir el nivel de riesgos conforme lo determina la norma BS 7799-2, permite seleccionar una gama de productos a modo de contramedidas con certificación de los niveles de aseguramiento que proporcionan.
c) La ISO 21827, o Ingeniería de Seguridad de Sistemas, Modelo de Madurez de Capacidad SSE-CMM, también es un marco de referencia, en este caso respecto al nivel de madurez de los procesos relacionados especialmente con los riesgos y el aseguramiento que define la BS 7799-2 bajo el esquema de mejoramiento continuo del ciclo PDCA.

Por el Ing. Carlos Ormella Meyer

Ray iturry C

Holas bueno no se si alguien tiene una guia para aplicar(procedimientos) el ISO 17799.... se lo agradeceria..ricdevaa@hot...

Drakyto

Muy buen aporte...
Gracias.

Eres nuevo?	Información útil	Información útil
Herramientas y opciones Solicitar Baja Recuperar contraseña REGISTRATE!	Soporte Tecnico Como pedir ayuda Consultas Frecuentes Reglamento Privacidad Denuncias	Contáctenos Trabaja en el Foro Lista de Miembros Estadística

Auditoria De Seguridad Informática Iso 17799

Búsquedas:

normas de calidad iso 15408

bs 17799 informatica

normas iso para auditoria informatica

iso 17799 seguridad informatica

bs 17799 en informatica

auditoria de seguridad informática iso 17799

que es BS 17799 en informatica

17-Aug-2008
ElZorro Forero Senior Mensajes: 230	Auditoria De Seguridad Informática Iso 17799 Auditoria De Seguridad Informática Iso 17799 En los últimos años se han venido desarrollando varias normas relacionadas con la seguridad informática siguiendo enfoques diferentes que a veces dan lugar a complementaciones y también algunas superposiciones. Es así como encontramos normas como la ISO 17799, BS 7799-2, ISO 13335, ISO 15408 e ISO 21827. De todas ellas, la ISO 17799 y la BS 7799 -2 constituyen por su naturaleza la base de una auditoría de seguridad informática. La ISO 17799, por ejemplo, es una guía de recomendaciones de buenas prácticas para la gestión de seguridad informática. Cubre no sólo la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedan afectar la seguridad informática. Para ello la norma define para su selección un total de 36 objetivos de control con 127 controles generales de seguridad estructurados en 10 áreas de control que incluyen cuestiones referidas al personal, ambientales, operaciones, desarrollo y mantenimiento de sistemas, continuidad de negocios, cumplimiento, etc. La ISO 17799 está redactada bajo la forma verbal "should", un término presente en otras normas ISO y también del IETF que, por convención, expresa una forma condicional a modo de recomendación y no de imposición. Es así como la norma hace precisamente recomendaciones y no establece requisitos cuyo cumplimiento pudieren certificarse. Lamentablemente, errores en algunas traducciones han traido confusión en el verdadero alcance de esta norma. Ocurre que la ISO 17799 deriva de la norma británica BS 7799-1 Parte 1 de la BS 7799 y en realidad prácticamente es igual a la misma. Pero la norma británica tiene dos partes. La última versión de la Parte 2 es del 2002 denominándose entonces BS 7799-2:2002, aunque por simplicidad en lo sucesivo la mencionaremos simplemente como BS 7799-2. La BS 7799-2 usa la expresión "shall", otro término habitual en ciertas normas, en este caso para expresar mandato u obligación. De esta manera la BS 7799-2 especifica los requisitos para establecer un plan de seguridad constituido por un Sistema de Gestión de Seguridad Informática SGSI o ISMS, por su nombre en inglés dentro del contexto de los riesgos totales de negocios de una empresa. Estas especificaciones y la implementación correspondiente hacen que tanto la auditoría como la certificación se hagan con referencia a la BS 7799-2, toda vez que no hay una versión ISO equivalente de esta segunda parte de la BS 7799. El proceso de implementación en cuestión incluye la selección y aplicación de los controles de seguridad definidos en la BS 7799-1 y por lo tanto en la ISO 17799. Dicha selección se realiza en base a una adecuada valuación de los riesgos a que están sujetos los activos a proteger en el SGSI. En este punto la BS 7799-2 no impone una forma determinada de realizar dicha valuación, pudiéndose recurrir a alguno de los diferentes métodos tanto de libre uso como de herramientas comerciales. Una de las características más trascendentes de la BS 7799-2 es la incorporación del ciclo Deming o modelo de procesos de cuatro fases Plan Do Check Act PDCA, que para el caso trata del establecimiento, implementación y operación, monitoreo y mejoramiento continuo del sistema de gestión de seguridad informática. El resultado de estas estrategias hace que la estructura del SGSI conforme el paradigma de gestión de riesgos a partir del esquema de controles definidos en la ISO 17799, más el dinamismo propio del modelo PDCA. La aplicación del modelo PDCA en la BS 7799-2 le permite alcanzar varios objetivos destacados: a) Satisface los Principios formulados en la nueva versión de las Guías para la Seguridad de los Sistemas y Redes de Información de la Organización para la Cooperación y Desarrollo Económico OCDE. b) Ofrece una interesante armonización con las normas ISO 9001 Calidad, ISO 14001 Ambiental y OHSAS 18001 Higiene y Seguridad Ocupacional, que también fueron desarrolladas en base al ciclo PDCA. Esto permite un alineamiento entre estas normas en áreas comunes como partes de la documentación, entrenamiento, auditoría interna, etc. todo lo cual facilita una implementación consistente y semiintegrada, con la consiguiente reducción de costos y esfuerzos. c) Al considerar los requisitos de seguridad de la información de negocios, e implementarse y operar en el contexto de la gestión de los riesgos totales de negocios, genera una importante sinergia con la implementación Turnbull de gestión de riesgos de negocios, también modelada con el ciclo PDCA. d) El SGSI forma parte naturalmente de los procesos y procedimientos de riesgo del Corporate Governance. Efectivamente, un buen Gobierno Corporativo se ocupa del establecimiento y mantenimiento de un proceso efectivo de gestión de riesgos incluyendo un sistema de controles internos, así como también de fomentar la incorporación de la función de auditoría interna en una organización, estas características quedan reflejadas en las diferentes fases del proceso PDCA de la BS 7799-2. El conjunto de características mencionadas convierten a la BS 7799-2 en una importante ayuda para que una empresa pueda mejorar su actual nivel de seguridad y mitigar los riesgos significativos correspondientes que pudieren afectar sus negocios. Una aplicación muy actual en este sentido responde a los desafíos que enfrenta una estrategia de seguridad para ecommerce y las múltiples cuestiones que pueden limitar el conocido escenario extranet de comunicaciones Empresa con Empresa B2B, efectivamente, en este caso a través de Internet se interconectan redes de diferentes empresas, proveedores, clientes, socios, muchas veces con niveles de seguridad desconocidos, la certificación con la BS 7799 -2 de las diferentes organizaciones interconectadas permite una garantía de aseguramiento entre ellas, sin importar el tipo de dispositivos, mecanismos, productos o marcas con que se hayan implementado los controles y contramedidas de seguridad del SGSI. La BS 7799-2 aparece también como la norma idónea para medir la porción de seguridad informática de los riesgos operacionales que los bancos deben considerar ahora, además de los tradicionales riesgos crediticios, a la luz del Nuevo Acuerdo de Capitales Basilea II. Finalmente, las demás normas mencionadas al principio pueden opcionalmente aportar su utilidad específica a una implementación bajo BS 7799-2. Efectivamente: a) La ISO 13335, o Directrices para la Gestión de la Seguridad GMITS, ofrece un marco de referencia especialmente a cuanto a las técnicas de gestión de riesgos y al criterio de selección de las contramedidas. b) La ISO 15408 o Criterios Comunes CC, con el objeto de reducir el nivel de riesgos conforme lo determina la norma BS 7799-2, permite seleccionar una gama de productos a modo de contramedidas con certificación de los niveles de aseguramiento que proporcionan. c) La ISO 21827, o Ingeniería de Seguridad de Sistemas, Modelo de Madurez de Capacidad SSE-CMM, también es un marco de referencia, en este caso respecto al nivel de madurez de los procesos relacionados especialmente con los riesgos y el aseguramiento que define la BS 7799-2 bajo el esquema de mejoramiento continuo del ciclo PDCA. Por el Ing. Carlos Ormella Meyer ► Compartir Compartir este contenido en: Facebook! Twitter! Temas Similares Normas de seguridad informática Auditoría de sistemas Manual auditoria wireless Auditoria de sistemas informáticos Informatica Última edición por ElZorro; 17-Aug-2008 a las 19:01

21-Jan-2009
Ray iturry C Forero junior Mensajes: 1	iso 17799 Holas bueno no se si alguien tiene una guia para aplicar(procedimientos) el ISO 17799.... se lo agradeceria..ricdevaa@hot... ► Compartir Compartir este contenido en: Facebook! Twitter!

22-Nov-2012
Drakyto Forero junior Mensajes: 2	Respuesta: Auditoria De Seguridad Informática Iso 17799 Muy buen aporte... Gracias. ► Compartir Compartir este contenido en: Facebook! Twitter!