domingo, 1 de marzo de 2009

lunes, 9 de febrero de 2009

martes, 27 de enero de 2009

NORMAS ISO



ISO/IEC 17799


Es un estandar que permite la seguridad de la informacion el cual es necesario para toda organizacion que haga uso de las tecnologias, tiene su origen en la norma britanica

BS 7799-1, Estas fueron acogidas ya que era necesario estandarizar diversos proyectos y metodologias respondiendo a la nececidad de seguridad por el uso intensivo de internet para ello creo un marco de seguridad sobre el cual trabajaron las ornazisaciones, no es certificable y se aplica a organisacines pequenas y multinacionales comprende clausulas enfocadas a practicas y metodos fundamentales.

Esta tiene como objetivo la implementacion de la seguridad de la informacion, y cumplir con los parametros basicos de seguridad como:


La confidencialidad: Asegurando que l a informacion solo este al alcance de personas autorizadas

La integridad: Esta permite que los procesos de traspaso de la informacion sean exactos

La disponibilidad: Asegurando que los usuarios siempre puedan disponer a esta

No repudio: Lo cual previene que la entida emisora niege habre recibido el mensaje


Con los anteriores principios se pretende reducir los daños y para ello tambien aplica una lista de controles los cuales seran claves a la hora de reducir el impacto de las amenazas, algunas como:


-Politicas de Seguridad

-Seguridad Organizacional

-Clasificacion y Control de activos

-Seguridad Personal

-Segurida fisica y del Entorno

-Comunicaciones y administracion de operaciones

-Control de Acceso

-Desarrollo de Sistemas y Mantenimiento

-Continuidad en las operaciones de la Organizacion

-Requerimientos legales


CICLO DEMING "PDCA"



PLAN (Planificar)
Identificar el proceso que se quiere mejorar
Recopilar datos para profundizar en el conocimiento del proceso
Análisis e interpretación de los datos
Establecer los objetivos de mejora
Detallar las especificaciones de los resultados esperados

DO (Hacer)
Ejecutar los procesos definidos en el paso anterior
Documentar las acciones realizadas

CHECK (Verificar)
Pasado un periodo de tiempo previsto de antemano, volver a recopilar datos de control y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para evaluar si se ha producido la mejora esperada
Documentar las conclusiones

ACT (Actuar)
Modificar los procesos según las conclusiones del paso anterior para alcanzar los objetivos con las especificaciones iniciales, si fuese necesario
Aplicar nuevas mejoras, si se han detectado errores en el paso anterior
Documentar el proceso


BS 7799

Es una norma que presenta los requisitos para un sistema administrativo de segurida de la
informacion ayudara a identificar, administrar y minimizar la gama de amenazas a las cuales
esta expuesta gradualmente la informacion.


ISO 27001


Es una norma pra la seguridad de la informacion, fue aprobado y publicado en octubre del 2005

Impone los requerimientos para establecer, implantar, mantener y mejorar un sistema de gestion de segurida de la informacion abreviado SGSI, Pretende llevar a cabo el llamado "ciclo de deming " PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

Su implantacion en una empresa u organizacion es suele tener una duración entre 6 y 12 meses


El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática.

Esta tiene como fin chequear el grado de cumplimiento de la organizacion y si esta cumple con todas las medidas de aseguraminto le podra ser otorgada una certificacion de un SGSI el proceso de verificacion lo realizara una entidad externa quien se encargara de hacer la auditoria y determinar si la certificacion sera aprovada.


ISO 27002

Es una Guía de buenas prácticas que todavia esta en desarrollo esta describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
ISO 27003

En fase de desarrollo; probable publicación en 2009. Es una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2
ISO 27004

Publicada en noviembre de 2006. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la fase Do ( implementar y utilizar el ciclo PDCA).
ISO 27005

Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.

ISO 27006

Publicada en Febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.


SEGURIDAD INFORMATICA

Según un estudio realizado por Kaagan Research Associates, y patrocinado por Cisco Systems e IBM, el 71 % de las Gerencias de las compañías coloca prioridad “muy alta”o “alta”a la seguridad informática.