SlideShare una empresa de Scribd logo

Unidad 2 norma_iso17799

L
ludemer
1 de 11
Descargar para leer sin conexión
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web UNIDAD 5: Norma ISO 17799 Objetivo Terminal de la Unidad Aplicar las normas ISO17799 y las leyes por las cuales se rige la auditoría informática. Temas • Norma 17799 • Otras normas: ISO 13335, ISO 15408 • Leyes relacionadas con seguridad informática Norma 17799 Debido al avance progresivo de la tecnología y al nacimiento de las diferentes necesidades de cada compañía, un importante número de profesionales se dedicaron a analizar y diseñar normas para la administración de las diferentes plataformas informáticas. El British Standard en 1995 desarrolló la norma para la Administración de Seguridad de los Sistemas de Información (BS7799). En su primera edición, recibió muchas críticas por simplista, poco flexible y porque existían varios temas a los que las grandes compañías tenían asignados todos sus recursos y presupuesto, principalmente el cambio de milenio. Luego, en mayo de 1999, se publica la segunda versión y es adoptada por Australia, Nueva Zelanda, Los Países Bajos, Noruega, Sudáfrica y Suecia. Luego de un proceso de benchmarking realizado por la International Standard Organization (ISO), se transformó en la norma ISO 17799. Luego de un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El ISO/IEC 17799 ofrece recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión en el campo de la seguridad de la información. La seguridad de la Información se define en el estándar como la preservación de la confidencialidad, garantizando que sólo quienes estén autorizados pueden acceder a la información; integridad garantizando que la información y sus métodos de proceso son exactos y completos; y disponibilidad garantizando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. Uno de los objetivos principales de la norma ISO 17799, es proteger la confidencialidad, integridad y disponibilidad de la información escrita, almacenada, y transferida. Desde su publicación se presenta como una norma técnica de seguridad de la información reconocida a nivel mundial. Marco de las recomendaciones Las recomendaciones de la norma son neutrales en cuanto a la tecnología. Así por Pág. 1 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web ejemplo, la norma discute la necesidad de contar con firewalls, pero no profundiza sobre los tipos de firewalls y cómo se utilizan, lo que conlleva a que algunos detractores de la norma digan que es muy general y que tiene una estructura muy imprecisa y sin valor real. La flexibilidad e imprecisión es intencional por cuanto es difícil contar con una norma que funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse con el cambiante mundo tecnológico. El enfoque se basa más en un método efectivo para diseñar, comunicar y mantener las políticas y procedimientos de seguridad, frente a las necesidades actuales, donde: > Los usuarios necesitan políticas de seguridad claras y disponibles. > Los administradores necesitan técnicas de seguridad y control. > Los administradores de seguridad necesitan un entorno flexible para mantener y comunicar las políticas de seguridad. > Los recursos tecnológicos deben estar disponibles para todos los usuarios. > Debe contarse con métodos para garantizar la integridad, seguridad, validez y disponibilidad de la información. Las once áreas de control de ISO 17799 Tal y como se mencionó con anterioridad, la norma técnica ISO 17799 ofrece una serie de estándares reconocidos mundialmente sobre las áreas que se muestran en la Figura N° 1. Figura 5.1. Las 10 áreas que abarca la norma 17799. Tomado de: http://www.pc- news.com/detalle.asp?sid=&id=11&Ida=2019 Política de seguridad: se necesita una política que refleje las expectativas de la organización en materia de seguridad con el fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y Pág. 2 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web evaluación. Organización de la seguridad: sugiere el diseño de una estructura de administración dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes. Esta sección considera las políticas generales de la organización y detalla cómo se debe administrar la seguridad de la información dentro de la compañía. De la misma forma, define cómo mantener la seguridad de las instalaciones de procesamiento de información y los activos informáticos accedidos por terceros, tales como proveedores, clientes, etc. Control y clasificación de los recursos de información: detalla los elementos de la compañía, como los servidores, PCs, medios magnéticos, información impresa, documentos, etc., que deben ser considerados para establecer un mecanismo de seguridad, manteniendo una protección adecuada, y garantizando que reciban un nivel adecuado de protección. En este sentido, los activos deben ser clasificados en: confidenciales, privados, de uso interno y de uso público. Para cada clasificación se deben implantar los mecanismos adecuados de seguridad de acuerdo a su importancia. Seguridad del personal: establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y confidencialidad de la información que manejan. También determina cómo incide el papel que desempeñan los empleados como corresponsables de la seguridad de la información. En esta sección se busca minimizar los riesgos ocasionados por el personal, tales como hurto y manipulación de la información, fraudes y mal uso de la plataforma tecnológica. Su propósito es crear conciencia en los usuarios sobre los riesgos que pueden amenazar la información, para lo cual se toman en cuenta los mecanismos y medios para informar y capacitar periódicamente a todos los usuarios, como el personal interno de la compañía el y personal que brinde servicios, de todas las políticas, y establecer los mecanismos de prevención, identificación, notificación y corrección de posibles incidentes de seguridad. Seguridad física y ambiental: este responde a la necesidad de proteger las áreas, los equipos y los controles generales. El objetivo principal es la prevención de accesos no autorizados a las instalaciones de la compañía, con especial atención a todos los sitios en los cuales se procesa información, como los centros de cómputo, PC de usuarios críticos, equipos de los proveedores de servicios, etc., y las áreas en las cuales se recibe o se almacena la información, ya sea magnética o impresa; sensitiva como fax, áreas de envío y recepción de documentos, archivadores, etc., de esta forma minimizando los riesgos por pérdidas de información, hurto, daño de equipos y evitando la interrupción de las actividades productivas. Manejo de las comunicaciones y las operaciones: este define las políticas y procedimientos para garantizar la correcta operación de las instalaciones de procesamiento, como los servidores y equipos de comunicación. A continuación se enumeran los objetivos de esta sección: 1. Garantizar la protección y el funcionamiento correcto de las instalaciones de procesamiento de la información. 2. Minimizar el riesgo de falla de los sistemas. Pág. 3 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web 3. Proteger la integridad del software y la información. 4. Conservar la integridad y disponibilidad del procesamiento y transmisión de la información. 5. Garantizar la protección de la información en las redes y de la infraestructura de soporte. 6. Evitar los daños a los recursos de información e interrupciones en las actividades de la compañía. Control de acceso: este establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación para protegerlos contra los abusos internos e intrusos externos. De la misma forma, establece los diferentes tipos de accesos o privilegios a los recursos informáticos, como el sistema operativo, las aplicaciones, el correo electrónico, la Internet, las comunicaciones, las conexiones remotas, etc., que requiere cada empleado de la compañía y el personal externo que brinda servicios, en concordancia con sus responsabilidades. Esto permitirá identificar y evitar acciones o actividades no autorizadas, garantizando los servicios informáticos. Desarrollo y mantenimiento de los sistemas: se establece la necesidad de implantar medidas de seguridad y aplicación de controles de seguridad en todas las etapas del proceso de desarrollo y mantenimiento de los sistemas de información. Además, toma en cuenta los mecanismos de seguridad que deben implantarse en el proceso de adquisición de todos los sistemas o aplicaciones de la compañía, como la protección de archivos, programas, base de datos, políticas de cifrado, etc., para evitar pérdidas, modificaciones, o eliminación de los datos, asegurando así la confidencialidad e integridad de la información. Gestión de incidentes de seguridad: para la comunicación de eventos y puntos débiles de seguridad de la información; gestión de incidentes y mejoras de seguridad de la información. Manejo de la continuidad del negocio: este considera el análisis de todos los procesos y recursos críticos del negocio, y define las acciones y procedimientos a seguir en casos de fallas o interrupción de los mismos, evitando la pérdida de información y la cancelación de los procesos productivos del negocio, lo que podría provocar un deterioro de la imagen de la compañía, una posible pérdida de clientes o incluso una dificultad severa que impida continuar operando. Conformidad: esta imparte las instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799, se corresponde con otras leyes, reglamentos, obligaciones contractuales o cualquier requerimiento de seguridad, tales como propiedad intelectual, auditorias, contrato de servicios, etc. Esta sección también requiere una revisión de las políticas de seguridad, al cumplimiento y a las consideraciones técnicas; asimismo, busca garantizar que las políticas de seguridad se encuentren de acuerdo con la infraestructura tecnológica de la compañía. Además, existen políticas de cifrado que especifican todos los criterios que se deben tomar en cuenta para determinar qué tipo de información se debe almacenar en un formato ilegible, o método de cifrado, para evitar que personas no autorizadas puedan Pág. 4 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web acceder a la misma, así como también las políticas de comercio electrónico que establecen todas las consideraciones que se deben adoptar si la compañía cuenta con presencia en la Internet, y cuenta con prácticas de comercio electrónico. Al considerar las áreas que cubre esta norma técnica, si una organización no ha adoptado un programa de protección definido de la información, ISO 17799 puede servir de parámetro para que lo defina, e incluso, puede servirle de guía para configurar la política de seguridad de cualquier empresa. En general, las mejores prácticas son simplemente la mejor manera de cumplir con un proceso de negocio. Algunos de los beneficios perseguidos por las organizaciones al adoptar, mantener y comunicar un marco de referencia son: • Presentan una ventaja significativa desde la perspectiva de la seguridad y control sobre aquellas que carecen de dicho marco de referencia. • Si se utiliza un criterio estándar para la configuración y administración de los sistemas de la organización, se puede minimizar la posibilidad de que una debilidad en uno de estos pueda comprometer los controles de acceso de los restantes, a pesar de que éstos cuenten con medidas de seguridad robustas, explotando sus vínculos habituales. • Al adoptar los estándares y marcos de referencia comunes, la organización puede construir una arquitectura de seguridad que permita minimizar las brechas que se puedan registrar entre las amenazas detectadas y los controles existentes, mitigando el riesgo asociado a una eventual ocurrencia de dicha amenaza. • Las partes interesadas, como es Auditoria Interna y Administradores del Seguridad, pueden ser apoyadas por la existencia de un marco de referencia en el área de TI, facilitando su entendimiento respecto a los roles, políticas y estándares y la tarea de lograr el cumplimiento de los mismos. • Se le facilita a la organización la simplificación, estandarización y automatización de los servicios de seguridad. Otras normas: ISO 13335, ISO 15408 ISO 15408 Es un Estándar Internacional creado en conjunto por Estados Unidos, Canadá, Francia, Alemania e Inglaterra, para reemplazar al obsoleto “Libro Naranja”, llamado también Trusted Computer System Evaluation Criteria; que fue un Libro creado por el Ministerio de Defensa norteamericano para certificar el nivel de seguridad de los sistemas operativos para sus computadores desde el año 1983. La ISO o Organización Internacional para la Estandarización, y la IEC o Comisión Electrotécnica Internacional, a través de sus comisiones técnicas desarrollaron la ISO 15408, conocida también como Common Criteria, con la participación de otras instituciones patrocinadoras gubernamentales y no gubernamentales. Objetivos: Los objetivos de la ISO 15408, son: Pág. 5 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web • Definir un criterio común para la especificación del nivel de seguridad de sistemas y productos de Tecnología de Información (TI) de diverso tipo. • Definir un conjunto de requerimientos común para las funciones de seguridad de productos del área. • Permitir efectuar un análisis de evaluación de seguridad independiente, para distintos objetos de TI. • Proporcionar una guía para el desarrollo de productos o sistemas de TI con funciones de seguridad. • Contar con una guía para la adquisición y configuración de productos de tecnología y seguridad. Partes que la componen Este estándar se divide en tres partes, que son: Parte 1 Modelo General Parte 2 Requisitos Funcionales: que definen el comportamiento de seguridad deseado frente a las amenazas que se encuentran presentes en el entorno de operación del TOE (Target Of Evaluation). Por ejemplo, los requisitos para la identificación, no rechazo, auditabilidad de la seguridad y otros. Parte 3 Requisitos para Aseguramiento: son requisitos para otorgar una certeza razonable de la Seguridad del Sistema. Son las propiedades del TOE que dan la confianza de que la seguridad que el TOE dice proporcionar es efectiva, y se implementa de forma correcta. ISO 13335 El objetivo de este estándar es el de ofrecer una serie de guías, no soluciones, sobre los aspectos para administrar la seguridad de TI. Está dirigido a las funciones responsables de administrar la seguridad, ellas deben poder aplicar esta guía para sus entornos específicos de trabajo. Objetivos Los objetivos principales de esta guía son: • Definir y describir los conceptos asociados con Seguridad de TI. • Identificar las relaciones que deben existir entre la administración de seguridad en TI con la administración general de TI. • Presentar modelos definidos para analizar e implementar una estructura adecuada de seguridad en TI. • Ofrecer una guía general de referencia para evaluar e implementar la seguridad de TI. Pág. 6 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web Elementos que la componen El estándar está compuesto de las siguientes partes: • Parte 1: Conceptos y Modelos de Seguridad en TI. • Parte 2: Planificación y Administración de la Seguridad de TI. • Parte 3: Técnicas de Administración de Seguridad de TI. • Parte 4: Selección de Salvaguardas. • Parte 5: Guías de Administración para Seguridad de redes. Las partes descritas se refieren a: Parte 1: ofrece los conceptos fundamentales y los modelos para describir la administración de seguridad en TI. Este material esta orientado para los responsables de la seguridad de TI y responsables de seguridad a nivel negocio. Parte 2: describe los aspectos de planificación y administración. Relevante para gerentes con responsabilidad relacionada con la organización de los sistemas de TI, estos pueden ser: • Responsables del diseño, implementación, testeo y operación de sistemas de TI. • Gerentes propietarios de sistemas de información. Parte 3: describe las técnicas relevantes orientadas para aquellas personas involucradas con actividades de administración y gerencia durante el ciclo de vida del proyecto, como son la planificación, el diseño, la implementación, el testeo, y la adquisición u operación. Parte 4: ofrece las pautas para la selección de salvaguardas, y cómo estas pueden ser soportadas con el uso de un modelo básico y los respectivos controles. Describe cómo estas salvaguardas complementan las técnicas descritas en la Parte 3 y cómo los métodos adicionales de evaluación pueden ser utilizados para la selección de las salvaguardas. Parte 5: ofrece las pautas con respecto a las redes y comunicaciones para aquellos responsables por su seguridad. Considera la identificación y análisis de factores que pueden ser considerados al momento de establecer los requerimientos de seguridad de una red. También incluye un borrador para identificar las áreas de salvaguarda. Leyes relacionadas con la Seguridad Informática Ley Especial sobre Delitos Informáticos: Esta ley tiene por objetivo la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías, en los términos previstos en dicha ley. Esta ley tipifica los delitos y establece las penas con sus circunstancias agravantes y atenuantes; así como también las penas accesorias, entre las clases de delitos que establece se encuentran: Pág. 7 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web 1. Contra los sistemas que utilizan tecnologías de información: acceso indebido; sabotaje o daño a sistemas; sabotaje o daño culposo; acceso indebido o sabotaje a sistemas protegidos; posesión de equipos o prestación de servicios de sabotaje; espionaje informático y falsificación de documentos. 2. Delitos contra la propiedad: hurto, fraude, obtención indebida de bienes o servicios; apropiación o manejo fraudulento de tarjetas inteligentes o instrumentos análogos; provisión indebida de bienes o servicios; posesión de equipo para falsificaciones. 3. Delitos contra la privacidad de las personas y de las comunicaciones: la violación de la privacidad de la data o información de carácter personal; violación de la privacidad de las comunicaciones y la revelación indebida de data o información de carácter personal. 4. Delitos contra niños, niñas o adolescentes: la difusión o exhibición de material pornográfico; exhibición pornográfica de niños o adolescentes. 5. Delitos contra el orden económico: apropiación de propiedad intelectual; oferta engañosa, entre otras disposiciones comunes. Los delitos contra los sistemas que utilizan tecnología de información son los siguientes: a) El acceso indebido a un sistema, penado con prisión de uno a cinco años y multa de 10 a 50 unidades tributarias (UT); b) El sabotaje o daño a sistemas, incluyendo cualquier acto que altere su funcionamiento, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT, que aumentará a prisión de cinco a diez años y multa de 500 a 1.000 UT si para su comisión se utiliza un virus o medio análogo. Si se trata de sabotaje o daño culposo, la pena se reduce entre la mitad y dos tercios. Si se trata de sabotaje o acceso indebido a sistemas protegidos, la pena aumenta entre la tercera parte y la mitad. c) La posesión de equipos o prestación de servicios para actividades de sabotaje, penado con prisión de tres a seis años y multa de 300 a 600 UT. d) El espionaje informático, que incluye la obtención, difusión y revelación de información, hechos o conceptos contenidos en un sistema, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. El aumento será de la mitad a dos tercios si se pone en peligro la seguridad del Estado, la confiabilidad de la operación de las personas afectadas o si como resultado de la revelación alguna persona sufre un daño. e) La falsificación de documentos mediante el uso de tecnologías de información o la Pág. 8 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web creación, modificación o alteración de datos en un documento, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. Si el hecho resulta en un perjuicio para otro, el aumento será de la mitad a dos tercios. Así mismo los delitos contemplados contra la propiedad son: a) El hurto, que consiste básicamente en apoderarse de un bien o valor tangible o intangible de carácter patrimonial, sustrayéndolo a su tenedor mediante el acceso, interceptación, interferencia, manipulación o uso de un sistema que utilice tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT. b) El fraude realizado mediante el uso indebido de tecnologías de información, penado con prisión de tres a siete años y multa de 300 a 700 UT. c) La obtención indebida de bienes o servicios mediante el uso de tarjetas inteligentes; tarjetas de crédito, de débito o de identificación que garanticen el acceso a un sistema reservado u otras similares, penado con prisión de dos a seis años y multa de 200 a 600 UT. d) El manejo fraudulento de tarjetas inteligentes, o la creación, duplicación o incorporación indebida de datos a registros, listas de consumo o similares, penado con prisión de cinco a diez años y multa de 500 a 1.000 UT. La misma pena será impuesta a quienes sin tomar parte en los hechos descritos se beneficien de resultados obtenidos. e) La apropiación indebida de tarjetas inteligentes, penado con prisión de uno a cinco años y multa de 10 a 50 UT. La misma pena se impondrá a quien reciba o adquiera dichas tarjetas. f) Provisión indebida de bienes o servicios utilizando una tarjeta inteligente, a sabiendas de que dicho instrumento ha sido falsificado, está vencido o ha sido alterado, penado con prisión de dos a seis años y multa de 200 a 600 UT. g) La posesión de equipos para falsificaciones, penado con prisión de tres a seis años y multa de 300 a 600 UT. Para el caso de los delitos contra la privacidad de las personas y las comunicaciones, se tienen los siguientes: a) La violación de la privacidad de la data o información de carácter personal que se encuentre en un sistema que use tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si como consecuencia del delito descrito resulta un perjuicio para el titular de la información o para un tercero. b) La violación de la privacidad de las comunicaciones, penado con prisión de dos a seis años de prisión y una multa de 200 a 600 UT. Pág. 9 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web c) La revelación indebida de datos o información obtenidos por los medios descritos en los literales a) o b) anteriores, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si el delito se cometió con fines de lucro o si resulta en un perjuicio para otro. Adicionalmente, para los delitos contra niños y adolescentes se tienen: a) La difusión o exhibición de material pornográfico sin la debida advertencia para que se restrinja el acceso a menores de edad, penado con prisión de dos a seis años y multa de 200 a 600 UT. b) La exhibición pornográfica de niños o adolescentes, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT. Por último tipo contempla los delitos contra el orden económico, que son los siguientes: a) La apropiación indebida de propiedad intelectual mediante la reproducción, divulgación, modificación o copia de un software, penado con prisión de uno a cinco años y multa de 100 a 500 UT. b) La oferta engañosa de bienes o servicios mediante la utilización de tecnologías de la información, penado con prisión de uno a cinco años y multa de 100 a 500 UT, sin perjuicio de la comisión de un delito más grave. Además de las penas principales indicadas antes se impondrán, sin perjuicio de las establecidas en el Código Penal, las siguientes penas adicionales: (i) El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otro objeto que haya sido utilizado para la comisión de los delitos previstos en los artículos 10 y 19 de la Ley; la posesión de equipos o prestación de servicios de sabotaje y posesión de equipos para falsificaciones. (ii) Trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos los artículos 6 y 8 de la Ley; por el acceso indebido y favorecimiento culposo del sabotaje o daño. (iii) La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión, arte o industria; o para laborar en instituciones o empresas del ramo por un período de hasta tres años después de cumplida o conmutada la sanción principal, cuando el delito se haya cometido con abuso de la posición de acceso a data o información reservadas, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función público, del ejercicio privado de una profesión u oficio, o del desempeño en una institución o empresa privada. (iv) La suspensión del permiso, registro o autorización para operar o para ejercer cargos directivos y de representación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta por el período de tres años después de cumplida o conmutada la Pág. 10 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web sanción principal, si para cometer el delito el agente se valió de o hizo figurar a una persona jurídica. (v) Además, el tribunal podrá disponer la publicación o difusión de la sentencia condenatoria por el medio que considere más idóneo. Pág. 11 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799

Recomendados

Recomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - IngertecRecomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - Ingertec
Grupo Ingertec
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799
Lilia Quituisaca-Samaniego
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticos
ydaleuporsiempre_16
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
dianalloclla
 
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
solecito222
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
DC FCP
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Jorge Skorey
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Castillo'S Legal Solutions
 

Recomendados

Recomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - IngertecRecomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - Ingertec
Grupo Ingertec
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799
Lilia Quituisaca-Samaniego
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticos
ydaleuporsiempre_16
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
dianalloclla
 
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
solecito222
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
DC FCP
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióN
Jorge Skorey
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Castillo'S Legal Solutions
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
978079218
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
97vega
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
gchv
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridad
gchv
 
Manual de seguridad en redes
Manual de seguridad en redesManual de seguridad en redes
Manual de seguridad en redes
Carlos M. Sandoval
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
libra-0123
 
Seguridad
SeguridadSeguridad
Seguridad
Fipy_exe
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
sandruitus
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
PaperComp
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
Maricarmen García de Ureña
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
Carolina Cols
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
Bella Romero Aguillón
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informática
carmenrico14
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
David Munevar
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
Diana Elizabeth Cordova Lopez
 
Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informática
Jose Quiroz
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicos
Víctor Fernández López
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
luisrobles17
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
MarcosPassarello2
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
xavier cruz
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 

Más contenido relacionado

La actualidad más candente

Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
gchv
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridad
gchv
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
libra-0123
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
sandruitus
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
Carolina Cols
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
David Munevar
 
Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informática
Jose Quiroz
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
luisrobles17
 

La actualidad más candente (19)

Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridad
 
Manual de seguridad en redes
Manual de seguridad en redesManual de seguridad en redes
Manual de seguridad en redes
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
Seguridad
SeguridadSeguridad
Seguridad
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Unidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informáticaUnidad 1: Introducción a la seguridad informática
Unidad 1: Introducción a la seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informática
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicos
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
 

Similar a Unidad 2 norma_iso17799

Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
mCarmen32
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
RUBENP0RTILL0
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7
Whitman Perez
 
Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridad
Rosaly Mendoza
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
Sole Leraguii
 

Similar a Unidad 2 norma_iso17799 (20)

Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
Superior
SuperiorSuperior
Superior
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridad
 
Expiso17799
Expiso17799Expiso17799
Expiso17799
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Seguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crsSeguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crs
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
 

Unidad 2 norma_iso17799

  • 1. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web UNIDAD 5: Norma ISO 17799 Objetivo Terminal de la Unidad Aplicar las normas ISO17799 y las leyes por las cuales se rige la auditoría informática. Temas • Norma 17799 • Otras normas: ISO 13335, ISO 15408 • Leyes relacionadas con seguridad informática Norma 17799 Debido al avance progresivo de la tecnología y al nacimiento de las diferentes necesidades de cada compañía, un importante número de profesionales se dedicaron a analizar y diseñar normas para la administración de las diferentes plataformas informáticas. El British Standard en 1995 desarrolló la norma para la Administración de Seguridad de los Sistemas de Información (BS7799). En su primera edición, recibió muchas críticas por simplista, poco flexible y porque existían varios temas a los que las grandes compañías tenían asignados todos sus recursos y presupuesto, principalmente el cambio de milenio. Luego, en mayo de 1999, se publica la segunda versión y es adoptada por Australia, Nueva Zelanda, Los Países Bajos, Noruega, Sudáfrica y Suecia. Luego de un proceso de benchmarking realizado por la International Standard Organization (ISO), se transformó en la norma ISO 17799. Luego de un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El ISO/IEC 17799 ofrece recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión en el campo de la seguridad de la información. La seguridad de la Información se define en el estándar como la preservación de la confidencialidad, garantizando que sólo quienes estén autorizados pueden acceder a la información; integridad garantizando que la información y sus métodos de proceso son exactos y completos; y disponibilidad garantizando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. Uno de los objetivos principales de la norma ISO 17799, es proteger la confidencialidad, integridad y disponibilidad de la información escrita, almacenada, y transferida. Desde su publicación se presenta como una norma técnica de seguridad de la información reconocida a nivel mundial. Marco de las recomendaciones Las recomendaciones de la norma son neutrales en cuanto a la tecnología. Así por Pág. 1 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 2. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web ejemplo, la norma discute la necesidad de contar con firewalls, pero no profundiza sobre los tipos de firewalls y cómo se utilizan, lo que conlleva a que algunos detractores de la norma digan que es muy general y que tiene una estructura muy imprecisa y sin valor real. La flexibilidad e imprecisión es intencional por cuanto es difícil contar con una norma que funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse con el cambiante mundo tecnológico. El enfoque se basa más en un método efectivo para diseñar, comunicar y mantener las políticas y procedimientos de seguridad, frente a las necesidades actuales, donde: > Los usuarios necesitan políticas de seguridad claras y disponibles. > Los administradores necesitan técnicas de seguridad y control. > Los administradores de seguridad necesitan un entorno flexible para mantener y comunicar las políticas de seguridad. > Los recursos tecnológicos deben estar disponibles para todos los usuarios. > Debe contarse con métodos para garantizar la integridad, seguridad, validez y disponibilidad de la información. Las once áreas de control de ISO 17799 Tal y como se mencionó con anterioridad, la norma técnica ISO 17799 ofrece una serie de estándares reconocidos mundialmente sobre las áreas que se muestran en la Figura N° 1. Figura 5.1. Las 10 áreas que abarca la norma 17799. Tomado de: http://www.pc- news.com/detalle.asp?sid=&id=11&Ida=2019 Política de seguridad: se necesita una política que refleje las expectativas de la organización en materia de seguridad con el fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y Pág. 2 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 3. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web evaluación. Organización de la seguridad: sugiere el diseño de una estructura de administración dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes. Esta sección considera las políticas generales de la organización y detalla cómo se debe administrar la seguridad de la información dentro de la compañía. De la misma forma, define cómo mantener la seguridad de las instalaciones de procesamiento de información y los activos informáticos accedidos por terceros, tales como proveedores, clientes, etc. Control y clasificación de los recursos de información: detalla los elementos de la compañía, como los servidores, PCs, medios magnéticos, información impresa, documentos, etc., que deben ser considerados para establecer un mecanismo de seguridad, manteniendo una protección adecuada, y garantizando que reciban un nivel adecuado de protección. En este sentido, los activos deben ser clasificados en: confidenciales, privados, de uso interno y de uso público. Para cada clasificación se deben implantar los mecanismos adecuados de seguridad de acuerdo a su importancia. Seguridad del personal: establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y confidencialidad de la información que manejan. También determina cómo incide el papel que desempeñan los empleados como corresponsables de la seguridad de la información. En esta sección se busca minimizar los riesgos ocasionados por el personal, tales como hurto y manipulación de la información, fraudes y mal uso de la plataforma tecnológica. Su propósito es crear conciencia en los usuarios sobre los riesgos que pueden amenazar la información, para lo cual se toman en cuenta los mecanismos y medios para informar y capacitar periódicamente a todos los usuarios, como el personal interno de la compañía el y personal que brinde servicios, de todas las políticas, y establecer los mecanismos de prevención, identificación, notificación y corrección de posibles incidentes de seguridad. Seguridad física y ambiental: este responde a la necesidad de proteger las áreas, los equipos y los controles generales. El objetivo principal es la prevención de accesos no autorizados a las instalaciones de la compañía, con especial atención a todos los sitios en los cuales se procesa información, como los centros de cómputo, PC de usuarios críticos, equipos de los proveedores de servicios, etc., y las áreas en las cuales se recibe o se almacena la información, ya sea magnética o impresa; sensitiva como fax, áreas de envío y recepción de documentos, archivadores, etc., de esta forma minimizando los riesgos por pérdidas de información, hurto, daño de equipos y evitando la interrupción de las actividades productivas. Manejo de las comunicaciones y las operaciones: este define las políticas y procedimientos para garantizar la correcta operación de las instalaciones de procesamiento, como los servidores y equipos de comunicación. A continuación se enumeran los objetivos de esta sección: 1. Garantizar la protección y el funcionamiento correcto de las instalaciones de procesamiento de la información. 2. Minimizar el riesgo de falla de los sistemas. Pág. 3 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 4. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web 3. Proteger la integridad del software y la información. 4. Conservar la integridad y disponibilidad del procesamiento y transmisión de la información. 5. Garantizar la protección de la información en las redes y de la infraestructura de soporte. 6. Evitar los daños a los recursos de información e interrupciones en las actividades de la compañía. Control de acceso: este establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación para protegerlos contra los abusos internos e intrusos externos. De la misma forma, establece los diferentes tipos de accesos o privilegios a los recursos informáticos, como el sistema operativo, las aplicaciones, el correo electrónico, la Internet, las comunicaciones, las conexiones remotas, etc., que requiere cada empleado de la compañía y el personal externo que brinda servicios, en concordancia con sus responsabilidades. Esto permitirá identificar y evitar acciones o actividades no autorizadas, garantizando los servicios informáticos. Desarrollo y mantenimiento de los sistemas: se establece la necesidad de implantar medidas de seguridad y aplicación de controles de seguridad en todas las etapas del proceso de desarrollo y mantenimiento de los sistemas de información. Además, toma en cuenta los mecanismos de seguridad que deben implantarse en el proceso de adquisición de todos los sistemas o aplicaciones de la compañía, como la protección de archivos, programas, base de datos, políticas de cifrado, etc., para evitar pérdidas, modificaciones, o eliminación de los datos, asegurando así la confidencialidad e integridad de la información. Gestión de incidentes de seguridad: para la comunicación de eventos y puntos débiles de seguridad de la información; gestión de incidentes y mejoras de seguridad de la información. Manejo de la continuidad del negocio: este considera el análisis de todos los procesos y recursos críticos del negocio, y define las acciones y procedimientos a seguir en casos de fallas o interrupción de los mismos, evitando la pérdida de información y la cancelación de los procesos productivos del negocio, lo que podría provocar un deterioro de la imagen de la compañía, una posible pérdida de clientes o incluso una dificultad severa que impida continuar operando. Conformidad: esta imparte las instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799, se corresponde con otras leyes, reglamentos, obligaciones contractuales o cualquier requerimiento de seguridad, tales como propiedad intelectual, auditorias, contrato de servicios, etc. Esta sección también requiere una revisión de las políticas de seguridad, al cumplimiento y a las consideraciones técnicas; asimismo, busca garantizar que las políticas de seguridad se encuentren de acuerdo con la infraestructura tecnológica de la compañía. Además, existen políticas de cifrado que especifican todos los criterios que se deben tomar en cuenta para determinar qué tipo de información se debe almacenar en un formato ilegible, o método de cifrado, para evitar que personas no autorizadas puedan Pág. 4 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 5. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web acceder a la misma, así como también las políticas de comercio electrónico que establecen todas las consideraciones que se deben adoptar si la compañía cuenta con presencia en la Internet, y cuenta con prácticas de comercio electrónico. Al considerar las áreas que cubre esta norma técnica, si una organización no ha adoptado un programa de protección definido de la información, ISO 17799 puede servir de parámetro para que lo defina, e incluso, puede servirle de guía para configurar la política de seguridad de cualquier empresa. En general, las mejores prácticas son simplemente la mejor manera de cumplir con un proceso de negocio. Algunos de los beneficios perseguidos por las organizaciones al adoptar, mantener y comunicar un marco de referencia son: • Presentan una ventaja significativa desde la perspectiva de la seguridad y control sobre aquellas que carecen de dicho marco de referencia. • Si se utiliza un criterio estándar para la configuración y administración de los sistemas de la organización, se puede minimizar la posibilidad de que una debilidad en uno de estos pueda comprometer los controles de acceso de los restantes, a pesar de que éstos cuenten con medidas de seguridad robustas, explotando sus vínculos habituales. • Al adoptar los estándares y marcos de referencia comunes, la organización puede construir una arquitectura de seguridad que permita minimizar las brechas que se puedan registrar entre las amenazas detectadas y los controles existentes, mitigando el riesgo asociado a una eventual ocurrencia de dicha amenaza. • Las partes interesadas, como es Auditoria Interna y Administradores del Seguridad, pueden ser apoyadas por la existencia de un marco de referencia en el área de TI, facilitando su entendimiento respecto a los roles, políticas y estándares y la tarea de lograr el cumplimiento de los mismos. • Se le facilita a la organización la simplificación, estandarización y automatización de los servicios de seguridad. Otras normas: ISO 13335, ISO 15408 ISO 15408 Es un Estándar Internacional creado en conjunto por Estados Unidos, Canadá, Francia, Alemania e Inglaterra, para reemplazar al obsoleto “Libro Naranja”, llamado también Trusted Computer System Evaluation Criteria; que fue un Libro creado por el Ministerio de Defensa norteamericano para certificar el nivel de seguridad de los sistemas operativos para sus computadores desde el año 1983. La ISO o Organización Internacional para la Estandarización, y la IEC o Comisión Electrotécnica Internacional, a través de sus comisiones técnicas desarrollaron la ISO 15408, conocida también como Common Criteria, con la participación de otras instituciones patrocinadoras gubernamentales y no gubernamentales. Objetivos: Los objetivos de la ISO 15408, son: Pág. 5 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 6. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web • Definir un criterio común para la especificación del nivel de seguridad de sistemas y productos de Tecnología de Información (TI) de diverso tipo. • Definir un conjunto de requerimientos común para las funciones de seguridad de productos del área. • Permitir efectuar un análisis de evaluación de seguridad independiente, para distintos objetos de TI. • Proporcionar una guía para el desarrollo de productos o sistemas de TI con funciones de seguridad. • Contar con una guía para la adquisición y configuración de productos de tecnología y seguridad. Partes que la componen Este estándar se divide en tres partes, que son: Parte 1 Modelo General Parte 2 Requisitos Funcionales: que definen el comportamiento de seguridad deseado frente a las amenazas que se encuentran presentes en el entorno de operación del TOE (Target Of Evaluation). Por ejemplo, los requisitos para la identificación, no rechazo, auditabilidad de la seguridad y otros. Parte 3 Requisitos para Aseguramiento: son requisitos para otorgar una certeza razonable de la Seguridad del Sistema. Son las propiedades del TOE que dan la confianza de que la seguridad que el TOE dice proporcionar es efectiva, y se implementa de forma correcta. ISO 13335 El objetivo de este estándar es el de ofrecer una serie de guías, no soluciones, sobre los aspectos para administrar la seguridad de TI. Está dirigido a las funciones responsables de administrar la seguridad, ellas deben poder aplicar esta guía para sus entornos específicos de trabajo. Objetivos Los objetivos principales de esta guía son: • Definir y describir los conceptos asociados con Seguridad de TI. • Identificar las relaciones que deben existir entre la administración de seguridad en TI con la administración general de TI. • Presentar modelos definidos para analizar e implementar una estructura adecuada de seguridad en TI. • Ofrecer una guía general de referencia para evaluar e implementar la seguridad de TI. Pág. 6 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 7. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web Elementos que la componen El estándar está compuesto de las siguientes partes: • Parte 1: Conceptos y Modelos de Seguridad en TI. • Parte 2: Planificación y Administración de la Seguridad de TI. • Parte 3: Técnicas de Administración de Seguridad de TI. • Parte 4: Selección de Salvaguardas. • Parte 5: Guías de Administración para Seguridad de redes. Las partes descritas se refieren a: Parte 1: ofrece los conceptos fundamentales y los modelos para describir la administración de seguridad en TI. Este material esta orientado para los responsables de la seguridad de TI y responsables de seguridad a nivel negocio. Parte 2: describe los aspectos de planificación y administración. Relevante para gerentes con responsabilidad relacionada con la organización de los sistemas de TI, estos pueden ser: • Responsables del diseño, implementación, testeo y operación de sistemas de TI. • Gerentes propietarios de sistemas de información. Parte 3: describe las técnicas relevantes orientadas para aquellas personas involucradas con actividades de administración y gerencia durante el ciclo de vida del proyecto, como son la planificación, el diseño, la implementación, el testeo, y la adquisición u operación. Parte 4: ofrece las pautas para la selección de salvaguardas, y cómo estas pueden ser soportadas con el uso de un modelo básico y los respectivos controles. Describe cómo estas salvaguardas complementan las técnicas descritas en la Parte 3 y cómo los métodos adicionales de evaluación pueden ser utilizados para la selección de las salvaguardas. Parte 5: ofrece las pautas con respecto a las redes y comunicaciones para aquellos responsables por su seguridad. Considera la identificación y análisis de factores que pueden ser considerados al momento de establecer los requerimientos de seguridad de una red. También incluye un borrador para identificar las áreas de salvaguarda. Leyes relacionadas con la Seguridad Informática Ley Especial sobre Delitos Informáticos: Esta ley tiene por objetivo la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías, en los términos previstos en dicha ley. Esta ley tipifica los delitos y establece las penas con sus circunstancias agravantes y atenuantes; así como también las penas accesorias, entre las clases de delitos que establece se encuentran: Pág. 7 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 8. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web 1. Contra los sistemas que utilizan tecnologías de información: acceso indebido; sabotaje o daño a sistemas; sabotaje o daño culposo; acceso indebido o sabotaje a sistemas protegidos; posesión de equipos o prestación de servicios de sabotaje; espionaje informático y falsificación de documentos. 2. Delitos contra la propiedad: hurto, fraude, obtención indebida de bienes o servicios; apropiación o manejo fraudulento de tarjetas inteligentes o instrumentos análogos; provisión indebida de bienes o servicios; posesión de equipo para falsificaciones. 3. Delitos contra la privacidad de las personas y de las comunicaciones: la violación de la privacidad de la data o información de carácter personal; violación de la privacidad de las comunicaciones y la revelación indebida de data o información de carácter personal. 4. Delitos contra niños, niñas o adolescentes: la difusión o exhibición de material pornográfico; exhibición pornográfica de niños o adolescentes. 5. Delitos contra el orden económico: apropiación de propiedad intelectual; oferta engañosa, entre otras disposiciones comunes. Los delitos contra los sistemas que utilizan tecnología de información son los siguientes: a) El acceso indebido a un sistema, penado con prisión de uno a cinco años y multa de 10 a 50 unidades tributarias (UT); b) El sabotaje o daño a sistemas, incluyendo cualquier acto que altere su funcionamiento, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT, que aumentará a prisión de cinco a diez años y multa de 500 a 1.000 UT si para su comisión se utiliza un virus o medio análogo. Si se trata de sabotaje o daño culposo, la pena se reduce entre la mitad y dos tercios. Si se trata de sabotaje o acceso indebido a sistemas protegidos, la pena aumenta entre la tercera parte y la mitad. c) La posesión de equipos o prestación de servicios para actividades de sabotaje, penado con prisión de tres a seis años y multa de 300 a 600 UT. d) El espionaje informático, que incluye la obtención, difusión y revelación de información, hechos o conceptos contenidos en un sistema, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. El aumento será de la mitad a dos tercios si se pone en peligro la seguridad del Estado, la confiabilidad de la operación de las personas afectadas o si como resultado de la revelación alguna persona sufre un daño. e) La falsificación de documentos mediante el uso de tecnologías de información o la Pág. 8 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 9. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web creación, modificación o alteración de datos en un documento, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. Si el hecho resulta en un perjuicio para otro, el aumento será de la mitad a dos tercios. Así mismo los delitos contemplados contra la propiedad son: a) El hurto, que consiste básicamente en apoderarse de un bien o valor tangible o intangible de carácter patrimonial, sustrayéndolo a su tenedor mediante el acceso, interceptación, interferencia, manipulación o uso de un sistema que utilice tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT. b) El fraude realizado mediante el uso indebido de tecnologías de información, penado con prisión de tres a siete años y multa de 300 a 700 UT. c) La obtención indebida de bienes o servicios mediante el uso de tarjetas inteligentes; tarjetas de crédito, de débito o de identificación que garanticen el acceso a un sistema reservado u otras similares, penado con prisión de dos a seis años y multa de 200 a 600 UT. d) El manejo fraudulento de tarjetas inteligentes, o la creación, duplicación o incorporación indebida de datos a registros, listas de consumo o similares, penado con prisión de cinco a diez años y multa de 500 a 1.000 UT. La misma pena será impuesta a quienes sin tomar parte en los hechos descritos se beneficien de resultados obtenidos. e) La apropiación indebida de tarjetas inteligentes, penado con prisión de uno a cinco años y multa de 10 a 50 UT. La misma pena se impondrá a quien reciba o adquiera dichas tarjetas. f) Provisión indebida de bienes o servicios utilizando una tarjeta inteligente, a sabiendas de que dicho instrumento ha sido falsificado, está vencido o ha sido alterado, penado con prisión de dos a seis años y multa de 200 a 600 UT. g) La posesión de equipos para falsificaciones, penado con prisión de tres a seis años y multa de 300 a 600 UT. Para el caso de los delitos contra la privacidad de las personas y las comunicaciones, se tienen los siguientes: a) La violación de la privacidad de la data o información de carácter personal que se encuentre en un sistema que use tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si como consecuencia del delito descrito resulta un perjuicio para el titular de la información o para un tercero. b) La violación de la privacidad de las comunicaciones, penado con prisión de dos a seis años de prisión y una multa de 200 a 600 UT. Pág. 9 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 10. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web c) La revelación indebida de datos o información obtenidos por los medios descritos en los literales a) o b) anteriores, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si el delito se cometió con fines de lucro o si resulta en un perjuicio para otro. Adicionalmente, para los delitos contra niños y adolescentes se tienen: a) La difusión o exhibición de material pornográfico sin la debida advertencia para que se restrinja el acceso a menores de edad, penado con prisión de dos a seis años y multa de 200 a 600 UT. b) La exhibición pornográfica de niños o adolescentes, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT. Por último tipo contempla los delitos contra el orden económico, que son los siguientes: a) La apropiación indebida de propiedad intelectual mediante la reproducción, divulgación, modificación o copia de un software, penado con prisión de uno a cinco años y multa de 100 a 500 UT. b) La oferta engañosa de bienes o servicios mediante la utilización de tecnologías de la información, penado con prisión de uno a cinco años y multa de 100 a 500 UT, sin perjuicio de la comisión de un delito más grave. Además de las penas principales indicadas antes se impondrán, sin perjuicio de las establecidas en el Código Penal, las siguientes penas adicionales: (i) El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otro objeto que haya sido utilizado para la comisión de los delitos previstos en los artículos 10 y 19 de la Ley; la posesión de equipos o prestación de servicios de sabotaje y posesión de equipos para falsificaciones. (ii) Trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos los artículos 6 y 8 de la Ley; por el acceso indebido y favorecimiento culposo del sabotaje o daño. (iii) La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión, arte o industria; o para laborar en instituciones o empresas del ramo por un período de hasta tres años después de cumplida o conmutada la sanción principal, cuando el delito se haya cometido con abuso de la posición de acceso a data o información reservadas, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función público, del ejercicio privado de una profesión u oficio, o del desempeño en una institución o empresa privada. (iv) La suspensión del permiso, registro o autorización para operar o para ejercer cargos directivos y de representación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta por el período de tres años después de cumplida o conmutada la Pág. 10 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799
  • 11. Programa de Formación de la Academia de Software Libre Nivel : Desarrolladores en Software Libre Módulo: Servicios web sanción principal, si para cometer el delito el agente se valió de o hizo figurar a una persona jurídica. (v) Además, el tribunal podrá disponer la publicación o difusión de la sentencia condenatoria por el medio que considere más idóneo. Pág. 11 Curso:Seguridad para desarrolladores unidad 5: Norma ISO 17799