Fundamentos de Estándares ISO para Seguridad de Sistemas y Controles Físico-Lógicos

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 5,62 KB

Estándares Relacionados con la Seguridad

El estándar de normas de seguridad de sistemas por antonomasia se recoge en la familia de normas ISO/IEC 27000. Esta familia contiene las mejores prácticas recomendadas sobre la seguridad de la información (incluye la norma ISO/IEC 17799, que en España corresponde a la UNE-71501).

Especificación ISO/IEC 27001

La especificación ISO/IEC 27001 describe un Sistema de Gestión de Seguridad de la Información (SGSI). Contiene elementos de tipo estratégico, táctico y operacional para distintas áreas de seguridad. Además, añade también un elemento que refleja que se ha de respetar la legalidad.

Especificación ISO/IEC 27002

La especificación ISO/IEC 27002 es un código de buenas prácticas que ayuda al profesional de la seguridad a gestionar su entorno de trabajo. Esta norma también dispone de sus propios dominios. Se gestiona como un sistema de documentación jerárquico:

  • En el vértice se establecen las políticas (sientan la base de la seguridad y se redactan los objetivos generales).
  • Después, los procedimientos (desarrollan los detalles técnicos marcados por los objetivos).
  • Luego, las instrucciones (desarrollan cada uno de los procedimientos).
  • Finalmente, los registros (evidencian la efectiva implantación del SGSI y el cumplimiento de los requisitos de partida).

UNE/ISO 17799: Áreas de Seguridad

La norma UNE/ISO 17799 analiza las siguientes diez áreas de seguridad:

  • Políticas de seguridad
  • Organización de seguridad
  • Clasificación de la seguridad
  • Clasificación y control de archivos
  • Seguridad ligada al personal
  • Seguridad física
  • Seguridad lógica
  • Control de acceso
  • Mantenimiento y desarrollo de los sistemas

Seguridad Física y Lógica

Deben darse ambos tipos de seguridad simultáneamente para una protección integral.

Seguridad Física y Ambiental

Consiste en la aplicación de contramedidas, tales como barreras físicas, para proteger los activos de información. Estos peligros pueden ser ocasionados intencionadamente o ser fortuitos:

  • Robos: sustracción de hardware, pérdida de tiempo de producción.
  • Fraudes: manipulación de equipos; estos deben ser vigilados constantemente.
  • Sabotajes: suele ser el más común, a menudo perpetrado por personal descontento.

Control Físico de Acceso

Se implementa mediante diversos métodos:

  • Personal de seguridad o animales: Aunque susceptibles a fallos humanos o engaños, pueden proteger grandes extensiones.
  • Sistemas biométricos: Incluyen lectura de huella digital, verificación de voz, reconocimiento facial, etc.
  • Verificación automática de firma: El reconocimiento acústico de la firma es uno de los métodos más seguros.
  • Protección electrónica: Barreras infrarrojas, detectores ultrasónicos, recintos electrificados, etc.

Seguridad Lógica

Consiste en la aplicación de barreras y procedimientos que protegen el acceso a los datos y aplicaciones.

Control Lógico de Acceso

Estos controles se pueden aplicar en el sistema operativo, en las aplicaciones y en las bases de datos. Es crucial tener en cuenta cuál será el procedimiento mediante el cual un usuario puede solicitar un permiso para el acceso a un archivo o recurso de software.

Estándares de Seguridad Mínimos según el NIST

El NIST (National Institute of Standards and Technology) ha resumido los siguientes estándares de seguridad, que se refieren a los requisitos mínimos de seguridad para cualquier sistema:

  • Identificación: Todo usuario debe ser identificado antes de concederle acceso, mediante un proceso de autenticación suficientemente seguro.
  • Roles: Definir el nivel de necesidad y las obligaciones de cada usuario.
  • Transacciones: Para realizar ciertas operaciones delicadas, es necesario establecer un procedimiento de seguridad específico (por ejemplo, disponer de una contraseña adicional o una segunda validación).
  • Limitaciones a los servicios: Son los procesos de autorización que siguen a una autenticación de usuario exitosa, y que le permiten consumir ciertos servicios en función de su rol.
  • Modalidad de acceso: El acceso al dato podrá ser de lectura, escritura, ejecución, borrado, etc.; es decir, define las operaciones permitidas sobre los datos.
  • Ubicación y horario: Establece las restricciones de acceso a recursos en función de un horario, un calendario y desde una ubicación determinada.
  • Control de acceso interno: Incluye contraseñas, métodos aceptables de cifrado, Listas de Control de Acceso (ACL), etc.
  • Control de acceso externo: Comprende cortafuegos (firewalls), antivirus, sistemas de detección/prevención de intrusos, etc.
  • Administración: Definición clara de los puestos laborales y sus responsabilidades en cuanto a la seguridad.
Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
ISO 27001 Control de Acceso Seguridad de la Información Ciberseguridad Seguridad Lógica NIST Seguridad Física ISO 27000 SGSI ISO 27002 Protección de Datos