Páginas

Auditoria de sistemas de información . Norma ISO SERIE 27000

Auditoria de sistemas de información 


Una auditoría de seguridad informática es el estudio en el que se realiza el análisis y gestión de sistemas para identificar, enumerar y después describir las diversas vulnerabilidades que pudieran aparecer en las estaciones de trabajo, redes de comunicaciones o servidores. 



Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y corrección. 


Fases de una auditoría



Los servicios de auditoría constan de las siguientes fases: 



  • Enumeración de redes, topologías y protocolos 
  • Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT, etc. 
  • Identificación de los sistemas operativos instalados 
  • Análisis de servicios y aplicaciones 
  • Detección, comprobación y evaluación de vulnerabilidades 
  • Medidas específicas de corrección 
  • Recomendaciones sobre implantación de medidas preventivas. 

Tipos de auditoría



Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno. 



Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores. 

Test de intrusión. En este método de auditoría se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. 

Análisis forense. El análisis forense es una metodología de estudio para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. 

Auditoría de páginas web. Es un análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc. 

Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado.



Norma ISO SERIE 27000



ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. 



ISO/IEC 27000


Publicada el 1 de Mayo de 2009, 2ª edición en Diciembre de 2012 y una 3ª edición en Enero de 2014. 



Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. 

En esta norma se recogen todas las definiciones para la serie de normas 27000 

Aporta las bases de la implantación de un SGSI (Sistemas de Gestión de Seguridad de la Información), con la descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI . 

ISO/IEC 27001 


Publicada en Octubre de 2005, revisada en Septiembre de 2013. 

Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. 

En su Anexo A, enumera en forma de resumen los objetivos de control y controles para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. 

A pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. 

Desde Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. 


ISO/IEC 27002 


Publicada en 2005, revisada en Julio de 2007. 

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. 

No es certificable. 

Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. 

Publicada en España como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 a la venta en AENOR. 

Puede descargarse una lista de todos los controles que contiene esta norma desde: 


Actualmente, la última edición de 2013 este estándar ha sido actualizada a un total de 14 Dominios, 35 Objetivos de Control y 114 Controles. 


ISO/IEC 27003 


Publicada en Febrero de 2010. 

No certificable. 

Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI. 

Describe el proceso desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. 

En España, esta norma aún no está traducida, pero sí en Uruguay (UNIT-ISO/IEC 27003). 


ISO/IEC 27004


Publicada en Diciembre de 2009. 

No certificable. 

Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados. 

En España, esta norma aún no está traducida, sin embargo sí lo está en Argentina (IRAM-ISO-IEC 27004) o Uruguay (UNIT-ISO/IEC 27004). 


ISO/IEC 27005 


Publicada en 2ª edición en Junio de 2011 (1ª edición en Junio de 2008). 

No certificable. 

Proporciona directrices para la gestión del riesgo en la seguridad de la información. 

Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 

Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. 

En España, esta norma no está traducida, sin embargo, sí lo está, para la versión de 2008, en países como México (NMX-I-041/05-NYCE), Chile(NCh-ISO27005), Uruguay (UNIT-ISO/IEC27005) o Colombia (NTC-ISO-IEC 27005). 


ISO/IEC 27006 


Publicada en 2ª edición en Diciembre de 2011 (1ª edición de Marzo de 2007). 

Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. 

Ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. 

En España, esta norma no está traducida, sin embargo, sí lo está, para la versión de 2007, en México (NMX-I-041/06-NYCE) o Chile(NCh-ISO27001). 


ISO/IEC 27007 


Publicada en Noviembre de 2011. 

No certificable. 

Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. 

En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org 


ISO/IEC TR 27008 


Publicada en Octubre de 2011. 

No certificable. 

Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. En España, esta norma no está traducida. 

El original en inglés puede adquirirse en iso.org 


ISO/IEC 27009 


En estado de desarrollo. 

No certificable. 

Es una guía sobre el uso y aplicación de los principios de ISO/IEC 27001 para el sector servicios específicos en emisión de certificaciones acreditadas de tercera parte. 


ISO/IEC 27010 


Publicada en Octubre de 2012. 

Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. 

Es aplicable a todas las formas de intercambio y difusión de información sensible, tanto organizaciones públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. 

En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones. 


ISO/IEC 27011 


Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002:2005. Está publicada también como norma ITU-T X.1051. En España, no está traducida. El original en inglés puede adquirirse en iso.org. 


ISO/IEC 27013 


Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI). 


ISO/IEC 27014 


Publicada en Abril de 2013. 

Consistirá en una guía de gobierno corporativo de la seguridad de la información. 


ISO/IEC TR 27015 


Publicada en Noviembre de 2012. 

Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005. 


ISO/IEC TR 27016 


En fase de desarrollo, con publicación prevista en 2014. 

Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información. 


ISO/IEC TS 27017 


En fase de desarrollo, con publicación prevista en 2014. 

Consistirá en una guía de seguridad para Cloud Computing. 


ISO/IEC 27018 


En fase de desarrollo, con publicación prevista en 2014. 

Consistirá en un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing. 


ISO/IEC TR 27019 


Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía. 


ISO/IEC 27031 


Publicada en Marzo de 2011. 

No certificable. 

Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. 

En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org 


ISO/IEC 27032 


Publicada en Julio de 2012. 

Proporciona orientación para la mejora del estado de seguridad cibernética. 

Extrae los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: 


  • Información de seguridad 
  • Seguridad de las redes 
  • Seguridad en Internet e información de protección de infraestructuras críticas (CIIP). 


ISO/IEC 27033 


Parcialmente desarrollada. 

Norma dedicada a la seguridad en redes, consistente en 7 partes: 


  • 27033-1, conceptos generales (Diciembre de 2009) 
  • 27033-2, directrices de diseño e implementación de seguridad en redes (Julio de 2010) 
  • 27033-3, escenarios de referencia de redes (Diciembre de 2010) 
  • 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad 
  • 27033-5, aseguramiento de comunicaciones mediante VPNs (Julio de 2013) 
  • 27033-6, convergencia IP (prevista para 2014) 
  • 27033-7, redes inalámbricas (prevista para 2014). 


ISO/IEC 27034 


Parcialmente desarrollada. 

Norma dedicada la seguridad en aplicaciones informáticas, consistente en 6 partes: 


  • 27034-1, conceptos generales (Noviembre de 2011) 
  • 27034-2, marco normativo de la organización (sin previsión de publicación) 
  • 27034-3, proceso de gestión de seguridad en aplicaciones (sin previsión de publicación) 
  • 27034-4, validación de la seguridad en aplicaciones (sin previsión de publicación) 
  • 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones (sin previsión de publicación) 
  • 27034-6, guía de seguridad para aplicaciones de uso específico. 


ISO/IEC 27035 


Publicada en Agosto de 2011. 

Proporciona una guía sobre la gestión de incidentes de seguridad en la información. 

En España, no está traducida. El original en inglés puede adquirirse en iso.org. 


ISO/IEC 27036 


En fase de desarrollo, con publicación prevista a partir de 2013. 

Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 


  • 27036-1, visión general y conceptos.
  • 27036-2, requisitos comunes. 
  • 27036-3, seguridad en la cadena de suministro TIC.
  • 27036-4, seguridad en entornos de servicios Cloud. 


ISO/IEC 27037 


Publicada el 15 de Octubre de 2012. 

Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en: 

  • Teléfonos móviles 
  • Tarjetas de memoria 
  • Dispositivos electrónicos personales 
  • Sistemas de navegación móvil 
  • Cámaras digitales y de video 
  • Redes TCP/IP 

Se establece para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones. 


ISO/IEC 27038 


En fase de desarrollo, con publicación prevista en 2014. 

Consistirá en una guía de especificación para seguridad en la redacción digital. 


ISO/IEC 27039 


En fase de desarrollo, con publicación prevista en 2014. 

Consistirá en una guía para la selección, despliege y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). 


ISO/IEC 27040 


En fase de desarrollo, con publicación prevista no antes de 2014. 

Consistirá en una guía para la seguridad en medios de almacenamiento. 


ISO/IEC 27041 


En fase de desarrollo, con publicación prevista no antes de 2014. 

Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación. 


ISO/IEC 27042 


En fase de desarrollo, con publicación prevista no antes de 2014. 

Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales. 


ISO/IEC 27043 


En fase de desarrollo, con publicación prevista no antes de 2014. 

Desarrollará principios y procesos de investigación. 


ISO/IEC 27044 


En fase de desarrollo, con publicación prevista no antes de 2014. 

Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM). 


ISO 27799 


Publicada en Junio de 2008. 

Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002:2005 relcionada a la seguridad de la información sobre los datos de salud de los pacientes. 

Desde el 20 de Enero de 2010, esta norma está publicada en España como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR 
Publicado por
Etiquetas: , ,

1 comentario:

Suscribirse a: Enviar comentarios (Atom)