CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

jueves, 29 de enero de 2009

NORMAS ISO

¿QUE SON LAS NORMAS ISO?

Es una organizacion no gubernamental que produce normas internacionales, industriales y comerciales con el proposito de facilitar el comercio, el intercambio de informacion y contribuir con unos estandares para el desarrollo y transferencia de tecnologias.

NORMA ISO 17799

Es un conjunto de buenas practicas en seguridad de la informacion contiene 133 controles aplicables, no es certficable, ni fue diseñada para talo fin, la norma que si es certificable es la iso 27001, como tambien lo fu su antecesora bs 7799.2
el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas de seguridad dentro de las organizaciones y ser una practica eficaz de la gestion de la seguridad. La adaptacion española denminada UNE-ISO/IEC 17799

1995- BS 7799-1: codigo de buenas practicas para la gestion de la seguridad de la informacion.
1998- BS 7799-2:especificaciones para la gestion de la seguridad de la informacion.

Tras una revision de ambas partesde BS 7799 (1999) la primera es adoptada como norma ISO en el 200 y denominada ISO/IEC 17799.
En el 202 la norma ISO se adopta como UNE sin ap
enas modificacion (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS 7799-2.

ISO 17799 no es una norma tecnologica:

  • ha sido redacrada de forma flexible e independiente de cualquier solucion de seguridad especifica
  • proporciona buenas practicas neutrakes con respecto a la tecnologia y a las soluciones disponibles en el mercado.
NORMA ISO 27001

Esta norma muestra como aplicar los controles propuestod en la iso 17799, estableciendo los requisitos para construir un SGSI, "auditable" y "certificable".


COMPARACION NORMA 17799 Y NORMA 27001

- ISO 27001 contiene un anexo a, que considera los controles de la norma iso 17799 para su posible aplicacion en el SGSI que implementa cada organizacion

- ISO 17799 es para ISO 27001, por tanto, una relacion de controles necesarios para garantizar la seguridad de la informacion

- ISO 27701 especifica los requisitos para implementar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente

-ISO 17799 es un conjunto de buenas practicas en seguridad de la informacion contiene 133 controles aplicables

- ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente. ISO 27001 permite auditar un sistema a bajo lineamiento ISO 17799 para certificar ISMS (information security management system)



lunes, 26 de enero de 2009

SEGURIDAD INFORMATICA

CONCEPTOS

SEGURIDAD INFORMATICA: Conjunto de sistemas, metodos y herramientas que se destinan a protejer un bien.

Consiste en asegurar que los recursos del sistema de informacion de una organizacion sean utilizados de la manera que se decidiò y que el acceso a la informacion alli contenia sea solo posible a las personas que se encuentren acreditas para tal tarea.

POLITICAS DE SEGURIDAD: El objetivo principal de esta politica es proporcionar a la gerencia la direccion y soporte para la seguridad de la informacion en concordancia con los requerimientos comerciales, las leyes y regulaciones relevantes.

El documento de las politicas de seguridad de la informacion deberia ser aprobado por la gerencia, publicado y comunicado a todos los empleados y las partes externas relevantes

ACTIVO: recurso del sistema de informacion o relacionado con este, necesario para que la organizacion funcione correctamente y alcance los objetivos propuesos

AMENAZA: evento que puede desencadenar un incidente en la organizacion produciendo daños materiales o perdidas en sus activos

IMPACTO: medir la consecuencia al materializarse una amenaza

RIESGO: posibilidad de que se produsca un impacto determinado en un activo, un dominio o en toda la organizacion

VULNERABILIDAD: posibilidad de ocurrencia de la materializacion de una amenaza sobre un activo

ATAQUE: evento exitoso o no, que atenta sobre el buen funcionamiento del sistema

CONTINGENCIA: interrupcion de la capacidad de acceso a la informacion y procesamiento de la misma

CONFIDENCIALIDAD: la informacion solo puede ser vista por usuarios autorizados

INTEGRIDAD: la informacion solo puede ser modificada por quien esta autorizado

DISPONIBILIDAD: la informacion debe estar disponible cuando sea necesaria

NO REPUDIO: no tener la posibilidad de desmentir que se accedio a la informacion

DELITO INFORMATICO: actos delitivos que se cometen con un computador en busqueda de robarse la informacion contenida en ellos

tipos de delitos:

  1. Fraudes cometidos mediante manipulación de computadoras
  2. Manipulación de los datos de entrada
  3. Daños o modificaciones de programas o datos computarizados

SEGURIDAD DE LA INFORMACION

La informacion es un activo que como, otros activos comerciales importantes, es esencial para el negocio de una organizacion y en consecuencia necesita ser protejido adecuadamente.

La informacion puede existir en muchas formas puede estar impresa o escrita en un papel, almacenada electronicamente por correo o utilizando medios electronicos, mostrada en peliculas o hablada en una conversacion cualquiera que sea la informacion o medio por el cual sea almacenada, siempre deberia estar apropiadamente protejida.

La seguridad de la informacion se logra implementando un adecuado conjunto de controles, politicas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware, se necesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplen los objetivos de seguridad y comerciales especificos, esto se deberia realizar en conjuncion con otros procesos de gestion del negocio,