ISO 27004.docx
Short Description
Download ISO 27004.docx...
Description
ISO 27004
La nueva norma, oficialmente denominada "Information technology -- Security techniques -- Information security management -- Measurement" viene a sofocar uno de los grandes abismos que existen en el proceso de construcción de un SGSI. Ya he comentado muchas veces que certificarse con ISO 27001 es establecer que las cosas se vigilan dentro de un marco de gestión y que existen procesos de mejora continua sobre el funcionamiento de las medidas de seguridad. Sin embargo, gestionar bien no implica tener buena seguridad. Obviamente ayuda mucho tener un marco de gestión y revisión continua pero es sólo una condición necesaria, no suficiente. Esta nueva norma establece criterios para la medición del estado de la seguridad. Es aquí donde los datos y las evidencias deben poner al SGSI en su sitio. Es cuando los resultados nos proporcionan información sobre cual es la situación real de las medidas y si están o no funcionando de acuerdo a los objetivos planteados. Por eso es tan importante la publicación de esa norma. Es la única manera de valorar si tanta gestión de la seguridad está sirviendo para algo, y esos hechos avalados por resultados y datos concretos que se están midiendo. Por tanto, un SGSI certificado y todo que no logre unos buenos resultados en sus indicadores será solo un adorno, dado que habrá una bonita gestión pero con ello no se estará logrando satisfacer los objetivos planteados.
Estas reflexiones ya las plantee de forma más extensa en el post SGSI virtuales en su momento. Os resumo lo que en aquel momento comentaba respecto a las métricas. La medición debe servir para cuestionarnos continuamente en base a logs, datos y registros si las medidas de seguridad están funcionando bien. Hemos visto que es esencial establecer unos objetivos relevantes para la seguridad de la organización. Pues igual de crítico es establecer un buen conjunto de indicadores que sirvan para evidenciar que las cosas funcionan y podemos dormir tranquilos. Esta información, desde la perspectiva de la
gestión, es la más crítica dado que es la base de la retroalimentación del sistema, los datos que se utilizan para hacer ajustes. Por tanto, debemos disponer de sensores de diferente naturaleza y con diferentes objetivos: medir la evolución de la ejecución del plan, valorar el rendimiento y funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve más hostil y es necesario modificar la valoración de las amenazas, etc. Cuando se audita, al revisar el análisis de riesgos, mirar qué objetivos tiene el SGSI y en qué indicadores se basa ya te puedes hacer una idea de si tienes delante un SGSI real o virtual. ¿Por qué? Muy sencillo, si la información utilizada por las actividades de gestión es mala, la propia gestión es mala. Si las decisiones no están enfocando los verdaderos problemas y no se está vigilando lo que es importante, el ciclo PDCA da vueltas pero no aporta valor a la Organización. Tener un SGSI dando vueltas de mejora continua produce beneficios pero si quien tiene el timón del barco no sabe dónde tiene que ir, dificilmente podrá lograr llegar a puerto. Serán las incidencias que se vayan registrando las que nos pongan de manifiesto estos hechos pero de nuevo se reacciona en base a fallos, y esa no es la idea principal. Estableciendo el rumbo de un SGSI Como complemento a lo dicho en él, hay unas sencillas reglas que debe cumplir una buena métrica:
Ser objetivas:Debe aportar un criterio de recogida de datos medible y objetivo, que no dependa de valoraciones subjetivas.
Ser fáciles de obtener:Los datos sencillos, simples de calcular y poco costosos de recoger son buenos candidatos a ser métricas. Al respecto, lo más sencillo es recurrir a datos proporcionados por herramientas o procesados de forma automatizada.
Expresables de forma numérica o porcentual. No deben estar basados en etiquetas cualitativas tales como "alto", "medio" o "bajo". Expresable usando algún tipo de unidad de medida: Siempre deben estar vinculadas a algo tangible basado en escalas como el tiempo, número de defectos, a cuantías económicas.
Significativas: Toda buena métrica debe ser significativa, debe ser relevante para el hecho o circunstancia que se desea medir y debe aportar criterio. Una métrica que no aporta información no es una buena métrica y debe ser desechada.
Problemáticas de los proyectos de implantación de SGSI
Patricia Vanaclocha, de S2 Grupo tiene dos entradas excelentes que describen perfectamente la problemática que se plantea cuando uno se embarca en esto de construir un SGSI. Podéis leerlas en
Errores comunes en la Implantación de un SGSI Implantar un Sistema de Gestión de Seguridad de la información se está convirtiendo cada vez más en un objetivo para los departamentos TIC de las empresas. Los que nos dedicamos a hacer consultoría para la implantación de esos SGSI vamos poco a poco viendo que los problemas que nos encontramos en un cliente se repiten, al menos parcialmente, en el siguiente, y que los clientes asumen erróneamente afirmaciones para nada ciertas lo que hace que cuando se tropiezan con la realidad, haya alguna sorpresa. Plantearé hoy tres de los errores más comunes asumidos por algunas de las empresas que deciden implantar un SGSI: „CONTRATO A UNA CONSULTORA Y ELLOS LO HACEN TODO‟ Esta suposición no es válida en la implantación de ningún Sistema de Gestión, pero menos si cabe en un SGSI. Como en cualquier proyecto de similares características, es imprescindible la colaboración de muchos miembros de la plantilla de la empresa para arrancar y llevar a buen puerto el diseño y la implantación de un Sistema de Gestión que trata de protegerla información crítica para el negocio, ya que hay muchos departamentos y perfiles que trabajan a diario con esa información que se busca proteger; al fin y al cabo, son ellos los que mejor conocen la organización. Por ello, para que la empresa consultora pueda hacer un buen análisis de riesgos va a requerir colaboración por parte del cliente para identificar los riesgos, analizarlos y valorarlos, seleccionar las opciones para su tratamiento, y para implantar el plan de tratamiento de riesgos con el que se pretende mitigar el nivel de riesgo detectado. Tampoco hay que dejar de lado que la organización ya dispondrá en muchas ocasiones de controles de seguridad que en ocasiones serán suficientes, y en otras será necesario ampliar. Si bien los consultores deben invertir muchas horas en darle forma el sistema, la organización debe invertir bastantes horas en proporcionarles la información que necesitan para hacer un buen diseño y en ejecutar las tareas que se identifiquen como necesarias para llevar a cabo su implantación. Hay casos en los que también se contrata a la consultora externa la implantación de los controles seleccionados pero suelen ser los menos, así que en la mayoría de los casos es la organización la que debe ir implantando la lista de controles seleccionados y no implantados inicialmente. Esta lista puede ser muy corta pero también muy larga, depende de la situación de partida de la organización desde el punto de vista de la seguridad. Sin embargo, antes de pasar al siguiente error, tampoco es bueno pecar de pesimista: no hay que olvidar que la implantación de un SGSI en ocasiones (no siempre) no es otra cosa que la documentación y procedimentación de controles, tareas, rutinas, formas de trabajar que la organización ya conoce, en definitiva, la formalización de un sistema de gestión con el que hace tiempo que “se siente a gusto”. Dicho de otra forma, y aunque les parezca obvio, el trabajo que tendrá que abordar la empresa en el momento de la implantación del SGSI será inversamente
proporcional al trabajo que hasta ese momento haya realizado en la gestión de su seguridad. En ocasiones ese esfuerzo será significativo, y en otras, más bien poco. „ESTE PROYECTO SÓLO CONCIERNE AL ÁREA TIC‟ Otro gran y común error. Ya que como hemos comentado, se trata de proteger la información crítica para el negocio, en el proyecto se deben ver involucradas personas de muchas áreas: Departamento TIC (por su puesto) pero también RR.HH, Departamento financiero, Departamento legal, Departamento de Marketing y todos aquellos que trabajan con esa información crítica para el negocio que se va a proteger. Todos deben ser conscientes de qué papel juegan ellos en el SGSI implantado, cómo de crítica es para el negocio la información con la que trabajan a diario y de qué modo debe cambiar su forma de manejarla para garantizar que se encuentra debidamente protegida. Por supuesto, se les debe preguntar, explicar y escuchar, antes de decidir los controles que se van a implantar y que les va a afectar, ya que de lo contrario se corre el riesgo de que perciban las nuevas normativas o políticas que se van a definir en materia por ejemplo de contraseñas, control de acceso, destrucción de información, uso del correo electrónico, instalación de software, etc, como un mero capricho del área TIC a las que no encuentran ningún sentido y que simplemente perciben como muy engorrosas. „SE VAN LOS AUDITORES Y YA HEMOS TERMINADO‟ Normalmente, cuando se van los auditores también se van los consultores externos y eso significa que la empresa se queda con su certificado y „sola ante el peligro‟; en unas organizaciones, eso supondrá que ha llegado la hora de la verdad: de comprobar cómo de bien planteado está el SGSI y de ver si es operativo. En otras, ese „peligro‟ no será tal; la obtención del certificado no significará otra cosa que el premio y la aprobación externa de un sistema de gestión de la seguridad que la organización ya había asumido como propio, como ventajoso y positivo para su negocio antes siquiera de plantearse la obtención del sello de una entidad acreditada. Obviamente, siempre será responsabilidad de los consultores haberse asegurado de que el SGSI diseñado, bien a partir de un sistema de gestión ya en funcionamiento, bien a partir de la nada, es adecuado para la empresa en la que se ha implantado. Eso significa que debe ser fácilmente operable, acorde al tamaño de la organización, de su presupuesto y de los recursos que se pueden asignar a su mantenimiento. Muchas veces, cuando se parte de una organización casi „virgen‟ en la gestión de la seguridad de la información, se puede pecar de querer diseñar un super-SGSI, sin tener en cuenta que tras el proceso de implantación, las personas que se han visto involucradas recuperan sus tareas diarias, y la prioridad del SGSI baja unos cuantos niveles respecto a estas otras tareas. Obviamente la existencia de un SGSI en una organización sin una gestión de la seguridad previa requerirá un esfuerzo: mantener al día su inventario de activos, hacer un seguimiento de las no conformidades, obtener los datos para medir la eficacia de los procesos, analizar la información que de ellos se desprende, mantener al día los documentos y registros, es decir, ejecutar todas las tareas que implica un SGSI. En cualquier caso, el reto de lograr un SGSI bien diseñado será lograr que, cuando no lo están ya, los procesos que conlleva se integren de manera lo más transparente posible en el funcionamiento de la organización. A veces, este es casi el punto de partida; en otros casos, la meta está un poco más lejana.
Con esta entrada no pretendo desanimar a nadie, ni mucho menos, sólo señalar aspectos obvios: que la implantación, y sobre todo el mantenimiento de un SGSI es una tarea continua, del día a día, en la que se deben involucrar a varias personas de la organización, se le debe dotar de los recursos y presupuesto necesario, y que debe contar con el apoyo de la alta dirección para tener garantizado su éxito. Nada, desde luego, diferente de lo que cualquiera podría esperar de un sistema de gestión, sea cual sea.
Cosas a tener en cuenta en la implantación de un SGSI Cosas a tener en cuenta en la implantación de un SGSI Patricia Vanaclocha, 21 mayo 2009 |
Ya comentamos en otro post que, como empresa consultora que implanta SGSIs en sus clientes, hemos detectado que en muchas ocasiones el cliente tiene opiniones preconcebidas sobre el proceso de implantación que no se ajustan a la realidad. También es cierto que, además de esos conceptos previos, hay problemas con los que una se encuentra durante el proceso de implantación, y para los que hace falta cierta „mano izquierda‟. A los lectores que hayan implantado o participado en la implantación de un Sistema de Gestión de Seguridad de la Información, bien en la parte de cliente, bien en la de consultoría, seguro que no les descubrimos demasiadas cosas nuevas (y en algunos casos es posible que se reconozcan en la entrada), pero al resto quizás les resulte de mayor utilidad. Dicho esto, pasemos a esos “problemillas”… 1. Cuesta hacer entender a los técnicos que el SGSI “va con ellos” y que no es algo del Responsable del Sistema o del Director de Área. Normalmente, la decisión de implantar un Sistema de Gestión de Seguridad de la Información la toma el Director del área TIC, el Gerente de la organización, o algún cargo de la alta dirección. Cuando esta decisión llega al departamento de informática o área TI, es importante explicarles claramente el por qué de esa decisión, las ventajas que se esperan conseguir con este proyecto, cómo se van a
simplificar muchas de las tareas de su área una vez implantado el sistema, etc. De lo contrario los técnicos verán este proyecto como un nuevo „capricho‟ del jefe que decide lo que se hace y a ellos les toca hacer el trabajo extra. 2. Es difícil conseguir que perfiles eminentemente técnicos vean la utilidad de medir para mejorar Como he comentado en el punto anterior, si no se explican y difunden las ventajas que va a aportar el nuevo Sistema de Gestión, es fácil que la gente sea reacia a cambios que para ellos sólo suponen un carga extra de trabajo. A nadie se le escapa que normalmente los compañeros con perfiles técnicos no son muy amigos de realizar tareas de gestión, a las que suelen clasificar como un rollo y ven como simple papeleo (yo misma he sido técnico de comunicaciones durante varios años y sé de lo que hablo). Una de las cosas que por nuestra experiencia cuesta más de hacer entender, es el hecho de que como todo Sistema de Gestión que se apoya en un ciclo de mejora continua (PDCA), es vital medir para poder observar cómo las cosas mejoran a medida que el sistema va madurando. En este tema es importante que tanto desde la Dirección de la organización como por parte de la empresa consultora, se haga un esfuerzo extra en inculcar a los técnicos que participen en el proyecto las ventajas que supone saber que, por ejemplo, ahora se resuelven las incidencias de seguridad en 2 minutos menos de media que el mes pasado, pero que sin embargo hay que hacer un esfuerzo extra en mejorar el proceso de copias de respaldo ya que se han incrementado el número de fallos en un 10%. Si no medimos, trabajamos en base a sensaciones, y las decisiones tomadas sin la información necesaria es fácil que conduzcan a equivocaciones. 3. Es costoso involucrar a Áreas como Recursos Humanos, Departamento Legal, Administración, Comercial, etc., en un proyecto liderado por el Departamento TIC y que ven como ajeno a ellos Si no fuese suficiente con las reticencias de los perfiles técnicos, otra de las particularidades de un Sistema de Gestión de Seguridad de la Información, es el hecho de que como su nombre indica, lo que persigue es proteger la Información Crítica para el negocio de la organización, y garantizar la continuidad de dicho negocio en caso de catástrofe. Evidentemente, toda la información crítica para el negocio no está necesariamente „en manos‟ del área TI. En la mayoría de los empresas, no sólo muchos departamentos tienen sus propias aplicaciones que se muestran reticentes a abandonar, sino que aun hoy hay mucha documentación que se maneja y/o archiva en formato papel, algo que también hay que tener en cuenta para que quede debidamente protegida (algo que en cualquier caso la LOPD ya obliga a cumplir en relación con los datos de carácter personal). El caso paradigmático es el Departamento de Administración o Comercial, que suelen trabajar con facturas, ofertas y otros documentos en formato papel que contienen información de mucho valor para la competencia… ¿Qué pasaría si un comercial perdiera el plan estratégico comercial de su empresa? ¿Y si el departamento de administración trabaja con una aplicación instalada en un único PC, fuera de la política de copias de la organización, y la aplicación de facturación se corrompiera? Además de estos departamentos, también es necesario que participen en el proyecto de forma activa miembros del área de RR.HH, por los múltiples controles que les
afectan y el papel vital que tienen en el SGSI: CV-screening de las nuevas incorporaciones, formación en materia de seguridad según la labor que van a desempeñar, medición de la eficacia de las acciones formativas que reciban los empleados en materia de seguridad, mantenimiento del registro de la educaciónformación-experiencia y habilidades de los miembros de la plantilla, etc. No es que todo esto deba suponer ningún esfuerzo extra para cualquier departamento de RR.HH medianamente organizado, pero como en cualquier nueva iniciativa, hay que darle forma a estas tareas y formalizarlas. Por último, uno de los dominios de control que incluye la ISO 27002 es el de conformidad legal, y ahí es dónde entra en juego el departamento legal (si existe). Es imprescindible cumplir con la legislación vigente en materia de seguridad de la información, y en particular con la LOPD, que suele ser la legislación “a vigilar” en este ámbito (pero no la única). Estos departamentos que he nombrado son sólo ejemplos que se repiten en muchas empresas, aunque el abanico de departamentos a involucrar puede ser mayor o menor según la información que manejen y la forma en la que la intercambien o almacenen. Al final del cuento, a lo que voy es que igual que un Sistema de Calidad involucra prácticamente a toda la organización, un Sistema de Gestión de Seguridad de la Información es equivalente, a pesar de que “Seguridad de la Información” a muchos les haga pensar que es cosa del personal de informática. 4. Si la dirección no apoya el proyecto activamente desde el principio y es consciente de que debe asignar ciertos recursos internos para la definición e implantación del sistema, el proyecto está condenado al fracaso Después de pasar por prácticamente toda la organización, llegamos al “jefe”: Dirección. La afirmación previa no es particular para un Sistema de Gestión de Seguridad de la información, sino que es válida para la implantación de cualquier Sistema de Gestión. Al respecto, debe quedar claro que al menos el 80% de las tareas necesarias para formalizar un SGSI ya las realizan la mayoría de empresas que tengan un área TI medianamente organizada, pero esto no quita que durante la fase de definición del SGSI se deba dedicar algo de tiempo extra a revisar, mejorar y en muchos casos documentar las metodologías de trabajo del área, y en los casos en los que se detecten desviaciones respecto a lo establecido por la norma se decida cómo abordar estas nuevas tareas y se registre. Como es obvio, esto requiere una dedicación de personal, un coste, que dirección debe estar dispuesta a asumir si quiere llevar a buen término el proyecto (como suele ser el caso). Para acabar con la entrada, soy consciente de que el tono de esta entrada puede ser algo “catastrófico” y desalentador; parece que tengamos en contra a los técnicos de informática, a los departamentos no técnicos y casi hasta a Dirección, que quiere un SGSI “sin gastarse un duro”. Nada más lejos de la realidad; en proyectos en los que he participado, la implicación de dirección ha sido total tanto en recursos como en motivación, y los departamentos mencionados, después de ciertas reticencias iniciales habituales en cualquier proyecto de esta magnitud que se abarque en una organización, se han prestado a colaborar casi sin problemas. En definitiva, ninguno de los aspectos comentados anteriormente son insalvables, siempre que se cuente con algo de „mano izquierda‟, ganas y una buena gestión. Con esta entrada (y la anterior) simplemente intento poner de manifiesto algunos de esos problemas e
inconvenientes que hay que tener en cuenta, a pesar de que en algunas organizaciones ni siquiera asomen la cabeza. Dicho todo esto, les emplazo a que estén atentos a la publicación del próximo post relacionado con esta temática (Implantación de SGSIs) ya que en él, después de la visión algo “negativa” que hemos tenido en esta y la anterior entrada, describiré las ventajas que aporta este sistema de gestión y que como podrán comprobar, son innumerables.
Conforme vayan siendo publicadas, iré comentando algunas otras normas que van a empezar a ir viendo la luz como extensión del marco ISO 27000 relativo a la seguridad de la información. Los proyectos en proceso y publicados por el Subcomité 27 se pueden consultar en el siguiente enlace. El pasado mes de diciembre vió la luz la norma ISO 27011:2008 que es un desarrollo del marco de controles ISO 27002 diseñado específicamente para el sector de las telecomunicaciones. El título de esta nueva norma es Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. ISO 27011:2008 como la norma ISO 27799:2008 desarrollada para el sector sanitario son extensiones de la norma ISO 27002:2005 contemplada como un catálogo básico de controles que puede ser utilizado para implantar un SGSI. Tal como establece la norma ISO 27001:2005, a la hora de seleccionar controles se pueden elegir aquellos que figuran como Anexo A y que se corresponden con ISO 27002 o bien aquellos controles que la organización entienda que pueden ser interesantes o de aplicación. Por tanto, vamos a ir viendo aparecer normas de seguridad que son extensiones a medida de los diferentes sectores que están intentando establecer un conjunto de medidas de seguridad acordes con sus necesidades específicas.
SGSI virtuales Publicado por Javier Cao Avellaneda La proliferación de subvenciones y la motivación que proporciona el coleccionar certificaciones a nivel de organizaciones está generando un pequeño "boom" dentro del mundillo de la seguridad de la información y en concreto, la certificación bajo la norma ISO 27001:2005. Esto que en teoría es viento favorable y debería generar cada vez más concienciación y producir mejoras en la gestión puede entrar en un círculo vicioso nada deseable. Por parte de las consultoras siempre se comenta que lograr la certificación es el premio al buen trabajo y el esfuerzo realizado en materia de seguridad. Sin embargo, se empieza ya a detectar una tendencia algo más peligrosa que es cuando el esfuerzo se dirige exclusivamente a lograr la medalla tratando de pasar la auditoría de certificación de cualquier forma, aun cuando ello no suponga disponer de una verdadera "gestión de la seguridad de la información".
Quiero comentar qué cosas son imprescindibles para que una organización tenga un SGSI real, y no uno virtual y certificado.
Primero: Es necesario tener claro cuales son nuestros objetivos de seguridad. Cada organización tiene un por qué en relación a sus necesidades de seguridad. Esta información se obtiene en la fase de análisis de riesgos, donde por cada proceso debemos pensar qué consecuencias puede tener la inseguridad. De esta forma hallamos qué es lo que tiene valor para la organización, atendiendo a requisitos de disponibilidad, integridad y confidencialidad. Obtener estos requisitos es también el por qué es necesario hacer el análisis de riesgos.
Segundo: Definir los objetivos que el SGSI debe perseguir. Una vez que acaba la fase de análisis de riesgos, conocemos cuales son los peligros potenciales que podrían generar mucho daño a la organización y por tanto, tenemos identificados todos aquellos eventos que bajo ningún concepto queremos que sucedan. El SGSI debe ser valorado y revisado al menos anualmente, para verificar que todo el esfuerzo que se está realizando en la materia se está logrando rentabilizar. Este concepto significa para el caso del SGSI que las medidas de seguridad funcionan y que los incidentes no visitan nuestra organización. Para ayudarnos en estas cuestiones es para lo que deben establecerse los objetivos del SGSI y sus correspondientes indicadores. ¿Cuantos son necesarios? Personalmente creo que los suficientes para valorar si todas las directrices dadas en la "Política de seguridad" se están cumpliendo. Cuantos más sensores del estado de la seguridad mejor, siempre que su gestión y mantenimiento sea algo llevable. A más información, más criterio para tomar decisiones. Los indicadores son una parte muy importante en el proceso de feedback que todo SGSI realiza para ajustarte a los objetivos planteados.
Tercero: Realizar el despliegue de medidas de seguridad para gestionar los riesgos y ejecutar el plan de tratamiento de riesgos que se haya planteado. Esta norma en esencia tiene como estrategia base de seguridad la prevención. El mérito de un buen SGSI es que evita daños. Por tanto, pervertir este funcionamiento elimina la esencia del beneficio que la gestión de la seguridad debe proporcionar a la organización. ¿Qué significa esto? Pues que no hay que hacer las cosas para superar la certificación sino para mitigar riesgos. Tengo la sensación de que muchos procedimientos se escriben para que queden bonitos el día de la auditoría pero en el fondo no está detrás la búsqueda de un buen mecanismo de eliminación de vulnerabilidades. El SGSI debe prevenir o detectar lo más tempranamente posible. De lo contrario, los daños se producen y aunque luego en la fase de revisión del sistema se pueden producir ajustes, el impacto ya se ha producido y la revisión sólo sirve para intentar no caer dos veces en la misma piedra.
Cuarto: Gestionar y monitorizar el funcionamiento de las medidas de seguridad. Una vez que el sistema está en marcha, la gestión de incidentes y de no conformidades son el nuevo pilar en el que se basa el SGSI. La mejora continua crea un proceso de retroalimentación que realiza los ajustes necesarios al funcionamiento establecido en base a detectar fallos que generan o bien acciones correctoras o bien acciones preventivas o bien sugerencias de mejora. El mantenimiento del SGSI se basará en solucionar las pegas del día a día y en la revisión del sistema que se realiza cada vuelta del ciclo donde se valoran también los resultados obtenidos en el seguimiento de indicadores y cumplimiento de objetivos.
Quinto: Formación y concienciación en la materia. Como me apunta "Deincógnito" en los comentarios, la formación de las personas que vayan a gestionar el SGSI sobre esta disciplina de la seguridad de la información es esencial. Dificilmente se puede gestionar "algo" sobre lo que se desconoce su funcionamiento, conceptos y criterios. Además de esta formación de las personas que operan el SGSI, es necesario que los actores principales de la protección, los usuarios del sistema estén entrenados para que la protección sea una cosa de todos.
Dicho esto, voy a tratar de identificar los sintomas principales de un "SGSI virtual".
Los objetivos de seguridad no son proporcionados por la Dirección: Nadie sabe mejor lo que se juega que quién es dueño del negocio. Por tanto, de cara a establecer los objetivos, deben surgir de dentro para solucionar los potenciales problemas que más daño podrían producir a la organización que se quiere certificar. Las consultoras en estos aspectos podemos asesorar pero no decidir. No es lo mismo plantear opciones en relación a objetivos en forma de propuestas que deben seleccionarse que darlos por escrito como si fueran ya decisiones definitivas.
La metodología de análisis y gestión del riesgo no se entiende por parte de la Organización: Esta situación es un auténtico cáncer para un SGSI. Esta fase es el corazón del SGSI dado que es donde se realiza el diagnóstico de situación. Un mal diagnóstico implica un mal tratamiento y unos malos resultados. Por eso es importante que este proceso sea realizado por parte de profesionales adecuadamente formados y con criterio y conocimientos de "seguridad de la información". Es la barrera de entrada que existe para profesionales dedicados actualmente a otras certificaciones de sistemas de gestión y que algunos no parecen percibir. Ponerse a realizar un plan de tratamientos de riesgos sin haber leido al menos la norma ISO 27002 me parece muy osado y sobre todo, poco profesional pero allá cada organización en relación a las manos en las que quiera ponerse.
Por otro lado, la dinámica utilizada por la Organización para ir realizando el diagnóstico de sus deficiencias y necesidades debe ser sencilla de gestionar por parte de la Organización y en la medida de lo posible, para estas tareas deben ser autónomos. Es cierto que en el inicio de todo proyecto de construcción de un SGSI muchas empresas se ven sobrepasadas dado que son muchos conceptos específicos sobre esta materia. Pero cuando el SGSI empieza a funcionar y da su primera vuelta, la Organización debe poder seguir con el ciclo de mejora continua y debe afrontar la primera revisión del análisis de riesgos con suficientes armas como para poder ajustar todos aquellos matices y aspectos que fallaran o pasaran ignorados en la primera fase. En este sentido, también detecto una peligrosa tendencia que ya he comentado alguna vez. Hay consultoras que no entienden la verdadera importancia del análisis y gestión del riesgo y se lanzan a inventar su propia metodología. No critico que esto se haga, pero si alguien se lanza, que lo haga bien. ¿Qué significa? Al menos la metodología debe cumplir con los puntos especificados por la norma 27001 y debe generar resultados razonables y repetibles. Para ello por suerte, ya disponemos de ISO 27005 que deja asentados ciertos conceptos base que toda metodología debe contemplar. Como organización, para plantearse si la metodología es buena o no el mejor diagnóstico es seleccionar un control y preguntarse por qué es necesario. Algo como esto qué hago qué sentido tiene. Si la metodología es robusta, debe identificar esa medida dónde debe aplicarse, en base a qué tengo que hacerla (gestiona un riesgo, satisface un requisito legal o es un objetivo de negocio), en qué situación se encuentra y a qué situación debo acabar llevándola, y por último, cómo valoro que está funcionando y ayuda al cumplimiento de los objetivos del SGSI.
No existen tareas de seguridad: Esto de la certificación 27001 y disponer de la medalla de la seguridad es muy bonito pero el premio hay que sudarlo. Otro síntoma de un SGSI virtual es que no se definen las tareas que por seguridad deben ir realizándose a diario para evitar, detectar o remediar las incidencias que se van produciendo. Antes ya dije que la estrategia de la norma es siempre que sea posible la prevención o detección temprana. Para ello, es necesario que existan ciertas rutinas que proporcionen datos que sirvan para valorar nuestra situación, sensores o termómetros que nos avisen de cómo están funcionando nuestros sistemas de información y de cuándo pueden estar produciéndose situaciones potencialmente peligrosas. Esto obedece a la famosa frase de Lord Kelvin "si no puedes medirlo, no puedes mejorarlo" para la que Google ahora tiene un nuevo enunciado "Si puedes medirlo, puedes mejorarlo".La seguridad se debe basar fundamentalmente en la monitorización constante. Como toda área de control, es necesario vigilar que las cosas están en orden. Para ello, los mecanismos de seguridad deben servir para detectar, prevenir o predecir potenciales peligros de manera que podamos estar reaccionando al posible incidente antes de que este ocurra. Con esta filosofía de trabajo o bien somos capaces de hacer que la amenaza no nos afecte o bien disminuimos mucho su daño si la reacción arranca de forma muy temprana. No es necesario caer dos veces en la misma piedra para saber que si hay un obstáculo y no lo esquivamos, podemos caer. Por tanto, el SGSI se fundamenta en un despliegue de
termómetros de seguridad distribuidos por toda la organización de manera que cuando se superan ciertos niveles salten alarmas que nos pongan manos a la obra a trabajar. Es todo lo contrario de lo que se venía haciendo hasta ahora en seguridad: apagar fuegos.
Los indicadores de seguridad son irrelevantes: La medición debe servir para cuestionarnos continuamente en base a logs, datos y registros si las medidas de seguridad están funcionando bien. Hemos visto que es esencial establecer unos objetivos relevantes para la seguridad de la organización. Pues igual de crítico es establecer un buen conjunto de indicadores que sirvan para evidenciar que las cosas funcionan y podemos dormir tranquilos. Esta información, desde la perspectiva de la gestión, es la más crítica dado que es la base de la retroalimentación del sistema, los datos que se utilizan para hacer ajustes. Por tanto, debemos disponer de sensores de diferente naturaleza y con diferentes objetivos: medir la evolución de la ejecución del plan, valorar el rendimiento y funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve más ostil y es necesario modificar la valoración de las amenazas, etc. Cuando se audita, al revisar el análisis de riesgos, mirar qué objetivos tiene el SGSI y en qué indicadores se basa ya te puedes hacer una idea de si tienes delante un SGSI real o virtual. ¿Por qué? Muy sencillo, si la información utilizada por las actividades de gestión es mala, la propia gestión es mala. Si las decisiones no están enfocando los verdaderos problemas y no se está vigilando lo que es importante, el ciclo PDCA da vueltas pero no aporta valor a la Organización. Tener un SGSI dando vueltas de mejora continua produce beneficios pero si quien tiene el timón del barco no sabe dónde tiene que ir, dificilmente podrá lograr llegar a puerto. Serán las incidencias que se vayan registrando las que nos pongan de manifiesto estos hechos pero de nuevo se reacciona en base a fallos, y esa no es la idea principal.
Toda esta reflexión sólo tiene un motivo que es hacer ver que tener una organización certificada bajo ISO 27001 no va a servir de nada si no creemos en la necesidad de gestionar bien la seguridad de la información. Cuando uno se certifica en ISO 9001, se esfuerza por lograr la "calidad de sus servicios/productos". De no lograrlo es posible que la
satisfacción del cliente no mejore y los resultados de la empresa no crezcan. Estas situaciones se controlan puesto que las cifras de resultados se vigilan continuamente de forma que cualquier fallo en la "calidad" puede ser identificado y se pueden realizar rápidamente ajustes. Pues cuando uno se certifica en ISO 27001 se esfuerza por lograr la "seguridad de la información" de sus procesos productivos. De no lograrlo puede suceder que se presente una amenaza importante y que la organización no supere el incidente, y por tanto, la empresa no sobreviva. La seguridad sólo es vigilada por el SGSI de forma que no hay una segunda oportunidad para hacerlo bien. Si el incidente se presenta y falla por ejemplo el plan de continuidad de negocio, podremos tener unos magníficos procedimientos que no servían para nada y lucir nuestro maravilloso "sello 27001" pero la información de la empresa habrá desaparecido para siempre. El hombre es un animal inteligente que no debe caer dos veces en la misma piedra. Debería ser suficiente con aprender de los demás pero no tener que sufrirlo en las propias carnes para reaccionar. Cuando trabajaba en Madrid, hice varios cursos de Microsoft y seguridad en la Torre Windsor. Era un edificio gigante con 8 ascensores que se llenaban hasta arriba en las horas puntas. Me pregunto de las más de trescientas empresas cuantas superaron aquel incidente. Al menos he podido encontrar dos que si hicieron bien los deberes pero ¿2 de 200 es un buen ratio?. Dada la edad de este blog, aquellos acontecimentos fueron ya comentados en su momento y las reflexiones sobre lo que ocurrió, lo que se perdió, los que hicieron bien las cosas y lo que debería hacerse ya han sido publicados. Tal día como hoy, mi director de proyecto de fin de carrera me ofrecía participar en un proyecto piloto de la Universidad relacionado con el "Análisis de los riesgos de seguridad de la Información" para la Dirección General de Informática de la Comunidad Autónoma de la Región de Murcia. Aquella oferta de trabajo era mi primera actividad profesional tras la finalización de la carrera y me puso entre las manos la versión 1.0 de MAGERIT junto con el software desarrollado por Sema Group para dar soporte a la metodología. El año 1999 fue, en temas de seguridad, bastante movidito. Todo el mundo iba como loco con las pruebas para superar el año 2000. Algunas aplicaciones de gestión económica empezaban la migración hacia el Euro. Además, en verano de ese año se publica el R.D. 994/1999 con las medidas de seguridad para los sistemas automatizados de tratamiento de datos de carácter personal. Aunque este post no pretende ser un resumen de batallas de un abuelo cebolletas, recuerdo que las primeras referencias por aquel entonces en "gestión de la seguridad" venían establecidas por las Guias NIST y los libros conocidos como Rainbow Series de la NSA, en concreto el famoso libro naranja. En aquel momento, los criterios de seguridad de la información americanos eran la referencia aunque ya empezaba a ser famosa la norma BS-7799 con las buenas prácticas para la gestión de la seguridad de la información. Recuerdo que había dos visiones enfrentadas donde por un lado, los americanos establecían sus criterios propios para todo lo suyo y por otro, se hablaba de gestión de la seguridad de
la información en base al cumplimiento de buenas prácticas. Este mismo choque de enfoques se producía en los criterios de certificación de productos de seguridad, donde los americanos defendían los TCSEC y los europeos los criterios ITSEC. Finalmente ambos criterios acabaron unificados bajo los "Common Criteria" o ISO 15408. Al finalizar el proyecto con Magerit no tuve más opción que desplazarme a Madrid para seguir currando con esa nueva y apasionante disciplina conocida como "análisis de riesgos de la seguridad de la información". Por suerte, tuve la oportunidad de entrar en la empresa Innosec, una empresa dedicada a seguridad informática donde Gustavo San Felipe, hoy CISO de Acens apostó por un profesional con experiencia en análisis de riesgos dado que eso del diseño de la seguridad basado en el análisis de riesgos lo veía como algo esencial en el futuro. Era la época de la venta masiva de firewalls, de los primeros antivirus perimetrales y del inicio de las redes privadas virtuales. Y en medio de tanto cacharro estaba yo por allí purulando y dando el follón respecto a lo importante que era escribir políticas de seguridad y el cumplimiento de la LOPD. Fruto de aquella época son dos artículos en la revista SIC sobre "análisis de riesgos" e ISO 15408. Posteriormente Innosec fue adquirida por el Grupo Satec y pasé a formar parte del departamento de seguridad. Allí más de lo mismo. Empresa muy tecnológica que vendía tanto productos como instalación y configuración de equipamiento de seguridad pero que me tenía como recurso dedicado a los temas burocráticos de la seguridad, el papeleo inutil que eran las políticas, normas y procedimientos. Recuerdo intensamente las discusiones en las comidas sobre la importancia del análisis de riesgos para el diseño de las necesidades de seguridad aunque era un entorno muy técnico que no podía entender como podía haber cosas más importantes que un buen firewall o antivirus. Incluso muchas veces cuando me ponía radical y comentaba que algún día las empresas se certificarían en seguridad igual que se hacía para la calidad con ISO 9000, me veían como el freaky de las políticas y normas de seguridad que nunca sirven para nada. De aquella época, muy a mi pesar, me llevé puestas también algunas certificaciones de producto (CCSA de CheckPoint, TSCE de TrendMicro, MCP de Microsoft). Todo esto transcurrió entre el año 2000 a 2004. En materia de gestión de la seguridad de la información, ya estaba publicada ISO 17799:2000 y era una verdadera referencia respecto a qué era necesario considerar cuando se hablaba de "gestión de la seguridad de la información". Una vez cansado de hacer ofertas sobre diseño de políticas de seguridad y análisis de riesgos y tras finalizar un proyecto de diagnóstico del cumplimiento de la LOPD para un servicio de salud de una comunidad autónoma, decido que tenía que ejercer y bajar a la arena de los proyectos concretos relacionados con lo mio (gestión de la seguridad de la información) y un compañero de curso de seguridad me ofrece la oportunidad de dar un paso hacia Murcia y me bajo a Almería a trabajar para una empresa de servicios de una Entidad Financiera que tenía también un área de consultoría de seguridad de la información. El primer trabajo en esta nueva empresa consistió en la realización de un análisis diferencial contra ISO 17799:2000 y el desarrollo de una política corporativa de seguridad que sirviera de marco normativo para un conjunto de normas y procedimientos concretos. En esta empresa también tuve que currar bastante en materia de LOPD dado que la parte de medidas de seguridad intentábamos cubrirla como actividades integradas dentro de ISO 17799:2000 de la época. También, casi al final de esta época, se publica UNE 71502:2004 y me toca entrar ya de lleno en los sistemas de gestión de la seguridad de la información. Estuve impartiendo un cursos sobre UNE 71502 y la importancia de esto que
ahora se podía certificar y que era la "gestión de la seguridad de la información". Todo esto transcurrió entre el año 2004 a comienzos del 2007. La verdad es que la publicación de ISO 27001:2005 nos pilló por sorpresa a todos, incluido AENOR. Se hablaba de una futura norma internacional certificable pero lo que en aquel momento se conocía es que cada país trabajaría con su propia norma dentro de su esquema interno de certificación para posteriormente hacer una norma común e internacional certificable. BS tenía su 17799-2, Aenor su UNE 71502 y otros países las suyas. Sin embargo, en 2005 se publica ISO 27001 que deja claro que debido a la importancia y las necesidades de normativa en esta materia, la norma internacional no podía esperar al 2008 que era para cuando se esperaba. Esto en España ha tenido como consecuencia los guisaguisados de los certificados UNE 71502 e ISO 27001 conviviendo un tiempo, hasta que se ha elaborado ya la UNE-ISO/IEC 27001:2007. Finalmente (la historia ya está acabando), a mediados del 2006 me vuelvo a casa a trabajar en la consultora Firma, Proyectos y Formación S. L. dedicada en aquel momento a "protección de datos" que con mi incorporación, abre el área de "seguridad de la información". Y desde entonces hasta ahora, todos los proyectos han estado relacionados o bien con partes de un SGSI (sobre todo el análisis de riesgos, estudios diferenciales ISO 27002 o el desarrollo de marcos normativos de seguridad de la información) o bien con la construcción e implantación de SGSI, siendo actualmente la referencia más importante la lograda hace un par de años por la Consejería de Agricultura de la Región de Murcia, primera Administración Pública que logró una certificación acreditada bajo esquema UKAS. Espero que este breve repaso a estos diez años de trayectoria profesional hayan servido para pintar unas breves trazas de cómo ha ido evolucionando esto de la "gestión de la seguridad de la información" hasta alcanzar ya su cuota de relevancia dentro de las organizaciones. Solo espero y deseo que el ansia y la motivación que supone "certificarse bajo ISO 27001" no acabe prostituyendo a la propia seguridad de la información. Montar la documentación necesaria para establecer un sistema de gestión de lo que sea es fácil (Sólo son necesarios los procedimientos generales que establece todo SG) pero gestionar un SGSI requiere de conocimientos de seguridad de la información (si no sabes de aquello que quieres gestionar, dificilmente podrás controlarlo). En próximos días escribiré un post sobre "SGSI enfermos desde el diseño" que extracta unas primeras impresiones/conclusiones basadas en mis experiencias de estas últimas semanas auditando como auditor interno a varias empresas que han montado su propio SGSI. Mis impresiones no son buenas aunque aquí la principal responsabilidad la tienen las entidades de certificación respecto a su criterio para otorgar o no una certificación. Yo, como auditor/consultor percibo que las nuevas versiones de ISO 27001:2005 tienen que establecer de forma más contundente requisitos formales respecto a:
Criterios para que una metodología de análisis de riesgos sea correcta, fiable y completa.
Unos mínimos criterios sobre la gestión de la eficacia que hay que hacer para conocer qué y cuanto hay que medir.
Una nueva versión de la ISO 27002:2005 que incorpore nuevos objetivos de control y aglutine o agrupe controles dado que hay áreas que tienen relativamente pocos controles y otras que disponen de demasiados.
Por lo que estoy encontrándome al auditar, las cosas más comunes son:
Metodologías de análisis de riesgos que suponen lo mismo que sacar el dedo y decidir al azar los principales problemas de seguridad.
SGSI sin objetivos de seguridad o con unos indicadores que no sirven para nada para evaluar el cumplimiento de objetivos
Hacer el análisis de riesgos de forma exhaustiva y detallada pero no volverlo a mirar más ni siquiera para elaborar el plan de tratamiento de riesgos
Y estoy seguro que luego muchas empresas lucirán con esplendor su magnífico sello "ISO 27001". De todas formas, aquí creo que es tonto autoengañarse y que el tiempo podrá a todo el mundo en su sitio. Quien gestione bien la seguridad evitará o detectará incidentes y no tendrá problemas reales con impactos reales. Aquellos que tengan un SG-SGSI (un sistema de gestión para engañar al sistema de gestión de la seguridad de la información) tendrá unos indicadores preciosos, unos procedimentos cojonudos pero andarán todo el día apagando fuegos y perdiendo datos, cuando no siendo multados por incumplir la LOPD. En este segundo caso, el sello no servirá para nada, dado que los incidentes seguirán produciéndose de igual manera y por tanto, no se beneficiarán de lo que supone una verdadera "gestión de la seguridad de la información". No saldrán de la cultura apagafuegos que tradicionalmente venía utilizándose en esta materia y para la que el SGSI se supone que es el mejor antídoto. Ya está en modo borrador la nueva ISO 27033 que es la revisión de la ISO/IEC 180281:2006 destinada a la seguridad de redes de comunicaciones. Y por lo que se anuncia en ISO27001security.com parece que va muy avanzado el proceso de revisión. ISO 27033 pretende ser un complemento exhaustivo para todos los aspectos relacionados con la
seguridad en redes que vienen definidos en ISO 27002. Por ahora ya se encuentran en proceso los siguientes documentos:
ISO/IEC 27033-1: Guidelines for network security (FCD)
ISO/IEC 27033-2: Guidelines for the design and implementation of network security (WD)
ISO/IEC 27033-3: Reference networking scenarios -- Risks, design techniques and control issues (WD)
ISO/IEC 27033-4: Securing communications between networks using security gateways -- Risks, design techniques and control issues (NP)
ISO/IEC 27033-5: Securing Virtual Private Networks -- Risks, design techniques and control issues (NP)
ISO/IEC 27033-6: IP convergence (NP)
A continuación voy a listar el conjunto de normas publicadas o en proceso de elaboración de la serie ISO 27000 a fecha 10 de diciembre de 2008. Estos resultados son fruto de una consulta a la Web de ISO.org en relación al área de trabajo del Subcomité 27 del JTC 1 - IT Security techniques. El estado de las normas se codifica en base a unos acrónimos que ISO tiene identificados y que son:
1.PWI = Preliminary Work Item - initial feasibility and scoping activities
2.NP = New Proposal (or study period) - formal scoping phase
3.WD = Working Draft (1st WD, 2nd WD etc.) - development phase
4.CD = Committee Draft (1st CD, 2nd CD etc.)- quality control phase
5.FCD = Final Committee Draft - ready for final approval.
6.DIS = Draft International Standard - nearly there. Stage 40.
7.FDIS = Final Draft or Distribution International Standard - just about ready to publish. Stage 50.
8.IS = International Standard - published. Stage 60.
9. Under revisión. Stage 90.
Como podréis comprobar en la siguiente relación de normas, hay bastantes ya en el Stage 40 y 50 lo que indica que pronto pueden ver la luz. La situación actual del marco internacional de normas ISO 27000 es:
ISO/IEC FCD 27000. Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary. Stage:40.99
ISO/IEC 27001:2005. Information technology -- Security techniques -- Information security management systems -- Requirements. Stage:60.60
ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management. Stage:90.92
ISO/IEC FCD 27003 Information technology -- Information security management system implementation guidance. Stage:40.20
ISO/IEC FCD 27004.2 Information technology -- Security techniques -- Information security management - Measurement. Stage:40.20
ISO/IEC 27005:2008 Information technology -- Security techniques -- Information security risk management. Stage:60.60
ISO/IEC 27006:2007 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Stage:60.60
ISO/IEC WD 27007 Guidelines for Information security management systems auditing. Stage:20.60
ISO/IEC FDIS 27011 Information technology -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. Stage:50.60
ISO/IEC NP 27012 Information technology - Security techniques -- ISM guidelines for e-government services. Stage:10.99
ISO/IEC NP 27032 Guidelines for cybersecurity. Stage:10.99
ISO/IEC NP 27033 Information technology -- IT Network security.Stage:10.99
ISO/IEC CD 27033-1 Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security. Stage:30.60
ISO/IEC WD 27033-2 Information technology -- Security techniques -- IT network security -- Part 2: Guidelines for the design and implementation of network security. Stage:20.60
ISO/IEC WD 27033-3 Information technology -- Security techniques -- IT network security -- Part 3: Reference networking scenarios -- Risks, design techniques and control issues. Stage:20.60
ISO/IEC NP 27033-4 Information technology -- Security techniques -- IT network security -- Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues. Stage:10.99
ISO/IEC NP 27033-5 Information technology -- Security techniques -- IT network security -- Part 5: Securing Remote Access - Risks, design techniques and control issues. Stage:10.99
ISO/IEC NP 27033-6 Information technology -- Security techniques -- IT network security -- Part 6: Securing communications across networks using Virtual Private Networks (VPNs) - Risks, design techniques and control issues. Stage:10.99
ISO/IEC NP 27033-7 Information technology -- Security techniques -- IT network security -- Part 7: Guidelines for securing (specific networking technology topic heading(s) to be inserted3) -- Risks, design techniques and control issues. Stage:10.99
ISO/IEC NP 27034 Guidelines for application security. Stage:10.99
ISO/IEC NP 27037 Information technology - Security techniques -- on Information security management: Sector to sector interworking and communications for industry and government . Stage:10.99
El detalle de los diferentes escalones dentro de cada nivel o stage lo podéis consultar en Stages ISO. Ya he comentado alguna vez que la serie 27000 va a servir como marco normativo para todo lo relacionado con la seguridad de la información. Pues bien, hemos de recibir una nueva norma de este marco, "ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002". He dado con ella gracias a ISO 27002.es Tal como aparece en la Web de ISO, su resumen es: ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard. ISO 27799:2008 specifies a set of detailed controls for managing health information security and provides health information security best practice guidelines. By implementing this International Standard, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information. ISO 27799:2008 applies to health information in all its aspects; whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), whatever means are used to store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand, via fax, over computer networks or by post), as the information must always be appropriately protected.
Su estructura es:
Alcance
Referencias (Normativas)
Terminología
Simbología
Seguridad de la información sanitaria
Objetivos; Seguridad en el gobierno de la información; Infomación sanitara a proteger; Amenazas y vulnerabilidades
Plan de acción práctico para implantar ISO 17799/27002
Taxonomía; Acuerdo de la dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing
Implicaciones sanitarias de ISO 17799/27002
Política de seguridad de la información; Organización; gestión de activos; RRHH; Fisicos; Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal
Annex A: Amenazas
Annex B: Tareas y documentación de un SGSI
Annex C: Beneficios potenciales y atributos de herramientas
Annex D: Estándares relacionados
La norma tiene stage 60.60 (Publicada) con fecha de 12 de Junio de 2008. Podéis adquirirla en ISO 27799:2008 - Health informatics -- Information security management in health using ISO/IEC 27002 Estos movimientos serán también continuos en años próximos dado que es intención de ISO extender la norma ISO 27002 con contenidos específicos en aquellos sectores que plantean una problemática especial.
Modelos de "políticas" de seguridad
Publicado por Javier Cao Avellaneda
Vía ISO27002.es he podido dar con la Web Open Directory - Computers: Security: Policy: Sample Policies que contiene un buen catálogo de documentos sobre políticas de seguridad. En Guía para la elaboración del marco normativo de Seguridad ISO 27002 ya comenté las diferencias entre Política, Norma y Procedimiento aunque en ingles el término "policy" suele tener un carácter más general. Es habitual encontrar "policies" para todo, aunque muchas veces estos documentos tienen el objetivo de establecer regulaciones y por tanto deberían entenderse como normas. Aumenta esta confusión además que en la norma ISO 27002 aparezca como control en el punto 5.1.1. la famosa "política de seguridad de la información". En cualquier caso, el catálogo de documentación contiene una buena recopilación de diferentes enfoques a la hora de establecer un marco normativo, lo que suele venir bien cuando se anda intentando escribir estas cosas. Como reflexión final, todo documento que intenta ser una política, norma o procedimiento tiene que tener un objetivo base "Que pueda ser algo cumplible".No se trata por tanto de hacer algo que quede bien o que sea completo, sino algo que sea real, asumible y cumplido por el área regulada.
La subcontratación del riesgo Publicado por Javier Cao Avellaneda Tenía pendiente desde hace unos días elaborar esta entrada. Tras unos comentarios en relación al post de Joseba Enjuto sobre la caracterización de los Servicios TI, quería hablar sobre la " subcontratación del riesgo". Lo primero que quiero justificar es el titulo. La gestión del riesgo sólo permite cuatro decisiones posibles:
Aceptarlo Evitarlo Reducirlo o Transferirlo a un tercero
En general, se suele entender por transferencia del riesgo cuando éste se tiene identificado y se decide que un externo sea quien lo gestione a cambio de cierta contraprestación: habitualmente puede ser la externalización de servicios, la contratación de seguros, etc. Es habitual, como bien apuntaban en los comentarios de "Seguridad y Gestión" que el término para definir este proceso sea la "externalización del riesgo" pero ahora voy a justificar un poco por qué prefiero no llamarlo así. Yo concibo la idea de la externalización de un riesgo cuando una Organización identifica claramente qué necesita y establece una relación contractual de prestación de servicios que permite al cliente quedarse tranquilo respecto a cómo va a gestionar el tercero ese riesgo. Para ello, evidentemente, los servicios prestados
por el tercero deberían poder acreditar ciertas garantías respecto a la seguridad con la que van a ser proporcionados. La existencia de unos adecuados "Acuerdos de nivel de servicio" ( o su término en ingles Service Level Agreement, SLA) centrados exclusivamente bajo la perspectiva de la seguridad podrían ser suficiente garantía. La Organización que traslada el riesgo sabe que en caso de problemas, podrá arremeter contractualmente contra la empresa a la que transfiere el riesgo siendo recompensada adecuadamente en caso de una gestión no adecuada de ese riesgo. Para ello, aparece el control 6.2.3 de la norma ISO 27002 que indica que "Los acuerdos que comporten el acceso de terceros a recursos de tratamiento de información de la Organización deben basarse en un contrato formal que tenga o se refiera a todos los requisitos de seguridad que cumplan las políticas y normas de seguridad de la Organización." Si atendemos a la guía de implantación de la norma, que es la forma más completa de implantar el control, este tipo de ANS o SLA de seguridad deben cubrir cosas como:
1.-La política sobre seguridad de la información del tercero. 2.-Los controles para asegurar la protección de los activos que el tercero tiene implantado, incluyendo: o procedimientos para proteger los activos de la organización, incluida la información, el software y el hardware. o cualquier control o mecanismo de protección física requeridos. o controles para asegurar la protección contra el software malicioso o procedimientos para determinar si ha ocurrido algún incremento del riesgo de los activos, por ejemplo, pérdida o modificación de información, software o hardware; o controles para asegurar la recuperación o destrucción de la información y los activos, al terminar el contrato o en algún momento acordado dentro del periodo de vigencia del contrato; o la confidencialidad, integridad, disponibilidad, y cualquier otra propiedad importante de los activos o restricciones en la copia o revelación de la información; junto con la utilización de acuerdos de confidencialidad 3.- Una clara estructura de los informes y de los formatos de informe acordados. 4.- Un proceso especificado y claro de la gestión del cambio. 5.- Disposiciones para informe, notificación e investigación de los incidentes de seguridad de la información e infracciones de seguridad, así como violaciones de los requisitos establecidos en el acuerdo. 6.- Una descripción del producto o servicio que se va a proporcionar, y una descripción de la información que se hará accesible, con su clasificación de seguridad. 7.- El nivel objetivo de servicio y los niveles de servicio inaceptables. 8.- La definición de los criterios de verificación del comportamiento, su control e informe. 9.- El derecho a controlar, y revocar, cualquier actividad relacionada con los activos de la organización. 10.- El derecho de auditar las responsabilidades definidas en el acuerdo, teniéndose que llevar a cabo tales auditorías por una tercera parte, y de enumerar las obligaciones y derechos legales de los auditores.
11.- El establecimiento de un procedimiento de escalado para la resolución de los problemas. 12.- Requisitos de continuidad de servicio, incluyendo las medidas de disponibilidad y fiabilidad, de acuerdo con las prioridades de negocio de la organización. 13.- Las responsabilidades respectivas de las partes del contrato. 14.- Las responsabilidades con respecto a temas legales y como se garantiza que se cumplen los requisitos legales, por ejemplo legislación de protección de datos, teniendo en cuenta sobre todo los distintos sistemas legales nacionales si el contrato implica la cooperación con organizaciones de otros países. 15.- Etc.
El primer problema con el que nos solemos encontrar en las Organizaciones es que se externalizan servicios pero no se definen, desde la perspectiva de la seguridad, en qué condiciones se transfiere el riesgo. Llegado a estas alturas del texto, cabe pensar si realmente conocéis a alguna empresa que "externalice su riesgo" o si en general todas "subcontratan servicios de riesgo" entendiendo por esto segundo, un término menos formalizado de dar a un tercero un riesgo. Quiero destacar que el riesgo SI se puede transferir, pero no así la responsabilidad. Por tanto, que las cosas no estén bien definidas, explícitamente documentadas y contractualmente reflejadas solo hace que perdamos "control" sobre nuestro riesgo que además, no vamos a gestionar nosotros mismos. Dependerá de cómo entienda e interprete ese tercero el riesgo que asume al prestar el servicio el tipo de garantías que pudiera proporcionarnos en caso de un incidente de seguridad. Y lo que me parece más preocupante es que la "externalización de servicios TI" está muy de moda y si bien tenemos normas como ISO 20000 o ITIL que definen bien cómo debe hacerse este proceso y cómo deben establecerse los SLA y ANS, es importante que los aspectos relacionados con la seguridad queden perfectamente definidos. Es cierto que para los servicios TI el factor más importante a considerar suele ser la disponibilidad, pero debemos contemplar qué ocurriría si la naturaleza del incidente o error afecta a la integridad o confidencialidad de nuestra información. Toda externalización supone pérdida de control si no se establecen mecanismos de regulación y seguimiento que permitan aportar evidencias, por parte del externo, de estar haciendo las cosas bien. A esta problemática general, todavía cabría añadir la complejidad que surge cuando se manejan cadenas de subcontratación. Si la empresa A transfiere un servicio a la empresa B, que a su vez utiliza a las subcontratas C y D para proporcionar el servicio final al cliente A. Si estos eslabones de subcontratación no están claramente identificados y bien atados, la empresa A puede ver comprometida su seguridad y no tener muy claro cuál ha podido ser la cadena de fallos y por tanto, la cadena de responsabilidades. Y decía al principio que los acontecimientos siempre nos ponen de manifiesto estas reflexiones por el incidente este fin de semana en los hospitales madrileños. El titular de "El País" que se hace eco de la noticia es Siete hospitales se quedan seis horas sin sistema informático. Cuando hacemos el análisis de riesgos y estamos en la fase de valoración de activos, siempre usamos una escala denominada "laboral" donde precisamente se tiene en consideración si un incidente de seguridad puede costar "vidas humanas". Normalmente nuestros entrevistados suelen hacer alguna broma al respecto, pero es cierto que en ciertos
"modelos de negocio", los servicios TI son críticos pudiendo causar la muerte de personas. Además, el proceso de digitalización que tantos beneficios genera y que tan bien venden nuestros políticos en relación a la atención sanitaria, tiene requisitos de seguridad que requieren hacer las cosas bien desde el principio. Sin entrar a valorar en concreto estos hechos, dado que no tenemos información suficiente que pudiera servir para valorar técnicamente que ha fallado, las evidencias son un cese de servicios de seis horas, algo posiblemente "intolerable" para un sector sanitario donde mucha información se requiere "en tiempo real". Merece la pena destacar frases como "La caída del programa la provocó una bajada de tensión eléctrica en la zona de Tres Cantos, donde está el centro tecnológico que aloja el servidor central de los nuevos hospitales". ¿Un sólo servidor para un activo de información tan crítico? ¿Ningún plan de contingencia para recuperarse frente a una situación así en menos de una hora? El blog APISCAM parece proporcionar más información sobre lo sucedido, aunque quizás con una versión menos imparcial (seguramente muy justificada). Parece que toda la gestión informática hospitalaria está subcontratada y en los diferentes pliegos y concursos se habían contemplado requisitos respecto a la continuidad de servicio. De los hechos se deduce, al menos, un fallo grave en el plan de continuidad de negocio o planes parciales de contingencia. En sistemas de información como los del entorno hospitalario, con cada vez más dependencia de la tecnología para obtener información relativa al diagnóstico, hablamos de sistemas críticos que requieren información en tiempo real ("Fue el servicio de urgencias el que más sufrió las consecuencias de las demoras. "Tenemos que ir corriendo de un lado para otro para llevar historias, análisis...", explicaba ayer una enfermera de este departamento del hospital de Vallecas"). Quizás en el pliego las condiciones del servicio pudieran estar bien contempladas, pero para nada se ha garantizado la correcta supervisión de la ejecución del mismo y el adecuado cumplimiento del ACUERDO DE NIVEL DE SERVICIO. Además se suma que el supuesto Plan de Contingencias o de Continuidad de Negocio no ha funcionado, dado que la parada de seis horas es excesivo tiempo en el entorno hospitalario si se hubiera hecho el correspondiente BIA (Bussines Impact Analysis). Y por último y como reflexión final, quisiera destacar que el nuevo Reglamento de desarrollo de la Ley 15/1999 de Protección de Datos, ha incluido importantes y significativas reformas en torno a la figura del "encargado de tratamiento", que desde la perspectiva de la seguridad van en la línea de mejorar el control y la externalización del riesgo sobre los terceros. Artículo 20. Relaciones entre el responsable y el encargado del tratamiento. 1. El acceso a los datos por parte de un encargado del tratamiento que resulte necesario para la prestación de un servicio al responsable no se considerará comunicación de datos, siempre y cuando se cumpla lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre y en el presente capítulo. El servicio prestado por el encargado del tratamiento podrá tener o no carácter remunerado y ser temporal o indefinido. No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado. 2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reuna las garantías para el cumplimiento de lo dispuesto en este Reglamento. 3. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere el apartado 2 del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, será
considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo. Artículo 21. Posibilidad de subcontratación de los servicios. 1. El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento. 2. No obstante lo dispuesto en el apartado anterior, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos: 1. Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. 2. Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. 3. Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior. En este caso, el subcontratista será considerado encargado del tratamiento, siéndole de aplicación lo previsto en el artículo 20.3 de este reglamento. 3. Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en el apartado anterior. En los aspectos de seguridad del R. D. se tiene: Artículo 82. Encargado del tratamiento. 1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. 2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento. 3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este reglamento.
Es de destacar lo apostillado en el artículo 22, donde obliga de alguna manera al responsable de los datos a ejercer como tal y controlar el cumplimiento de sus prestadores en la frase "Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reuna las garantías para el cumplimiento de lo dispuesto en este Reglamento." sobre todo, en lo referente a la seguridad de la información. Así que de nuevo, el cumplimiento de la protección de datos puede ser una buena escuela para hacer las cosas como Dios manda. Está muy bien eso de ceder el marrón a un tercero, pero esa delegación no exime de responsabilidad. Si eres el que cede o transfiere el riesgo, la adecuada gestión es verificar que ese tercero estará a la altura de las circunstancias y que los servicios que presta, reunen las garantías mínimas necesarias para salvaguardar tus intereses.
Por que de lo contrario, cuando el Responsable de Seguridad vaya a comprobar qué ha pasado, podrá encontrarse al Steve Urkel de turno diciendo ¿he sido yo? y la cabeza a cortar será la que quien contrató un servicio inadecuado.
La importancia del análisis del riesgo dentro del SGSI Desde junio de este año, ya contamos con una nueva norma dentro de la serie ISO 27000. Se trata de quizás, una de las normas más estructurales de la serie ya que establece un criterio sobre la gestión del riesgo y proporciona un marco normalizado que nos puede ayudar a definir nuestra propia metodología y que tiene por título ISO/IEC 27005:2008, Information technology -- Security techniques -- Information security risk management. El análisis del riesgo es crucial para el desarrollo y operación de un SGSI. Aunque se habla mucho del tema, en esta fase la organización debe construir lo que será su "modelo de seguridad", una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización).
Es habitual, dada todavía la poca experiencia que existe en empresas sobre la seguridad que el análisis de riesgos lo realice la consultora externa que apoya en el proceso de implantación. Sin embargo, es muy importante que la empresa se involucre en esta actividad y entienda cómo se ha realizado este análisis. Sobre todo porque en el segundo ciclo del SGSI, se debe revisar éste análisis por si han habido cambios. Por hacer un simil que se entienda, el análisis de riesgos es como la visita al doctor para que nos identifique una enfermedad. Se realizan una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo. Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing como esta amenaza ha pasado a ser extremadamente frecuente en este último año). Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos sintomas o si los sintomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes. Es curioso además comprobar como la "gestión del riesgo de la seguridad " empieza a ser vista con buenos ojos por otras áreas que se dedican a gestionar el riesgo. Hablo por ejemplo del caso de las entidades financieras que en virtud a Basilea II deben tratar el riesgo operacional. La tecnología es un riesgo operativo, y en algunas organizaciones el área de seguridad ha entrado a formar parte de la gerencia de riesgos, así como ahora el área de seguridad está entrando a formar parte en las empresas del compliance. En este área nueva, existe un gran interés estudiar y comprender mejor el concepto del riesgo. Yo tengo un especial cariño a esta actividad porque fue por la que me introduce en esto de la seguridad hace ya casi diez años probando la primera versión de MAGERIT. Desde entonces el enfoque y la madurez de esta actividad ha cambiado y mejorado mucho, tratando de huir de la subjetividad de las valoraciones para llegar a un proceso formal, metódico y racional de valoración del riesgo. Gracias a www.iso27000.es he podido dar con FAIR. Esta aproximación trata de ofrecer las bases fundamentales del proceso, una descripción de los conceptos a utilizar, así como un marco para la realización de análisis de riesgos. Es importante señalar que gran parte del marco FAIR puede utilizarse para reforzar, en lugar de sustituir, los procesos de análisis de riesgos basados en metodologías tan conocidas como OCTAVE, MAGERIT, MEHARI. Esta documentación se puede descargar en FAIR. La Agencia Europea para la Seguridad de la Información (ENISA) dispone en el siguiente enlace de un inventario de las metodologías más conocidas que existen en torno a este tema que se puede consultar en este enlace. Otra de las cosas más atractivas de esta actividad, el análisis y la gestión del riesgo es su faceta psicológica. El riesgo se define en el diccionario como la proximidad a un daño. Formalmente sería el factor que pondera la vulnerabilidad frente a una amenaza y el impacto que puede ocasionar. Navegando he podido encontrar un texto curioso sobre esa gestión inconsciente que hacemos los humanos del riesgo.
Fuente: Teoría de compensación del riesgo. La causa de esta aparente contradicción fue desvelada hace más de veinte años por varios psicólogos especializados en tráfico, especialmente en Canadá y en los países escandinavos, mediante la teoría conocida como la “Compensación del riesgo” 1. Según esta teoría, cualquier persona situada en un entorno de riesgo adapta su comportamiento a los cambios del nivel de riesgo que percibe. Si detecta un riesgo creciente, actuará de forma más cautelosa, y si por el contrario detecta un riesgo decreciente, se comportará de un modo más despreocupado. De este modo “compensa” los cambios del nivel de riesgo, volviendo a situarse en el nivel de riesgo que considera aceptable, que normalmente es variable para cada persona. En el caso concreto del tráfico, ello supone que si los conductores son conscientes de que llevan un coche con más equipamiento de seguridad, o de que circulan por vías más seguras, muchos de ellos tenderán a utilizar más el automóvil, y sobre todo, a realizar una conducción más arriesgada. Estos conductores “aprovecharán” la reducción del riesgo que han percibido para satisfacer algún deseo personal: ganar tiempo, practicar una conducción más excitante, probar las prestaciones del automóvil, etc.. Puede ocurrir que algunos de estos conductores sobrevaloren la reducción de riesgo que les ofrece un nuevo automóvil o una nueva carretera. En tal caso, se puede dar la paradoja de que estos conductores se acaben situando en niveles de riesgo efectivo más elevados que en la situación anterior. La influencia de estos grupos de riesgo incrementado puede hacer que, estadísticamente, los resultados globales de seguridad vial no mejoren, aunque la sociedad haya realizado grandes inversiones en viario, o en nuevos automóviles. Esto es lo que, en términos muy generales y orientativos, puede estar pasando en España y en otros países en los últimos años.
Estos hechos podrían ser encajados dentro de algunas de las Máximas de Seguridad que
Bruce Schneier ha posteado hace unos días y que también ha comentado Sergio Hernando. Me quedo con la misma que se queda Sergio y otra mas: Backwards Maxim: Most people will assume everything is secure until provided strong evidence to the contrary--exactly backwards from a reasonable approach. (la mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, justo lo contrario de lo que sugiere una aproximación razonable) Arrogance Maxim: The ease of defeating a security device or system is proportional to how confident/arrogant the designer, manufacturer, or user is about it, and to how often they use words like "impossible" or "tamper-proof". (La facilidad de atacar un dispositivo o sistema de seguridad es proporcional a la confidencialidad/arrogancia del diseñador, fabricante o responsable de seguridad y a la frecuencia con la que éstos usan palabras como "imposible" or "impenetrable".
Microseguridad y macroseguridad, dos frentes de una misma batalla Publicado por Javier Cao Avellaneda Paloma Llaneza dispone de una sección titulada "Aqui un amigo" y he tenido el honor de poder postear algo en ella. Para quien a estas alturas no la conozca, aqui tenéis una pequeña reseña de su intenso curriculum en materia de seguridad:
Abogado en ejercicio, colegiada en Madrid (41.821) y socio de LLaneza y Asociados, Abogados.
Es Auditora de Sistemas de Información (CISA) certifcada por ISACA.
Es Coordinadora del GT 1 del Subcomité 27 de AENOR (Comité espejo del internacional de ISO JTC 1/SC 27/WG 1 de gestión de la seguridad TI), donde se estudian y aprueban las normas NE en esta materia. Es también Coordinadora del WG6 del SC37, sobre legislación en materia de biometría. Incorporada desde su consitución al WG25 sobre ITIL.
Es desde 2004 co-editora de la norma internacional ISO de Métricas de Seguridad de Gestión de Sistemas de la Información (ISO/IEC 27004).
El resto se puede consultar aquí.
El texto que aparece en su sección es una reflexión en torno a las diferentes perspectivas con las que analizamos la seguridad y que de alguna manera, siendo complementarias, pertenecen a mundos diferentes si nos centramos en los elementos que barajan o gestionan. Hace unos días pude leer en Taosecurity una reflexión entorno a las similitudes que se pueden hacer entre el mundo de la economía y el de la seguridad de la información. Esta disciplina divide sus áreas de estudio entre la microeconomía y la macroeconomía. El autor del blog comenta cómo este enfoque es también válido para nuestro mundillo de la protección de activos.
La microseguridad de la información trata los problemas del día a día, la protección en cada uno de los frentes tangibles que toda organización siempre tiene abiertos: usuarios, comunicaciones, servidores, dispositivos móviles, etc. Por tanto la microeconomía se centra en la tecnología que utilizamos para solucionar problemas, los controles que implantamos para hacer la seguridad gobernable en cada una de las situaciones o entornos donde encontramos problemas. Son aspectos tácticos y operativos de seguridad, elementos tangibles y sólidos que todo el mundo entiende ya necesarios para afrontar el día a día.
La macroseguridad de la información trata los problemas globales, la coordinación y gestión de todas las actividades necesarias para alcanzar los objetivos, la planificación y diseño de estrategias para lograr tener los riesgos bajo control. Estaríamos al nivel del diseño de políticas de seguridad, del establecimiento de relaciones contractuales que garanticen el cumplimiento. La macroseguridad ha adquirido relativa importancia en estos últimos años cuando la microseguridad abre tantos frentes que la Organización debe tomar decisiones para poder establecer una estrategia basada en la proporcionalidad de las medidas y sobre todo, la gestión del riesgo para el negocio. Por tanto, la macroseguridad es la responsable de hacer que las decisiones y restricciones se encajen dentro de la organización y sobre todo, sirvan para garantizar el cumplimiento de los objetivos de negocio y el buen funcionamiento de los procesos productivos.
Desde mis comienzos profesionales siempre me he dedicado, por así decirlo, a la macroseguridad. He convivido en áreas y departamentos destinados a la microseguridad y las discusiones eran muy frecuentes siempre cuando cuestionabamos la efectividad real de las medidas. Siempre he creido que sin macroseguridad la microseguridad tiene un efecto limitado y corto en el tiempo porque las amenazas cambian y lo que hoy te protege, mañana es un elemento más de la infraestructura que hay que gestionar. La carencia o falta de criterio a la hora de tomar decisiones sobre qué proteger primero es lo que ha producido que la macroseguridad se defina como disciplina, apareciendo la norma
ISO/IEC 27001:2005 para establecer que los procesos de dirección de la macroseguridad deben estar fundados en la gestión del riesgo y la mejora continua. El ciclo de Demming logra coordinar la microseguridad y la macroseguridad. Establece los controles tangibles que hay que aplicar pero también los indicadores o métricas que deben registrarse para valorar si están o no funcionando. El artículo completo que referencia a su vez Taosecurity se puede leer en Information Security and Business Integration Desde iso27000.es lanzan un nuevo proyecto en la URL iso27002.es como ampliación y complemento para la difusión de la seguridad de la información, ahora mediante una plataforma wiki colaborativa. El objetivo de iso27002.es es recoger diferentes propuestas y posibles soluciones prácticas para cada uno de los 133 controles que indica la norma y que aparecen aquí resumidos en formato de ficha práctica. Desde cada control se accede por enlaces directos a otros relacionados y la barra de búsqueda permite localizar rápidamente aquellos relacionados con posibles palabras clave, entre otras ventajas. También se explica con formatos de video y ejemplos prácticos los puntos básicos claves a considerar en la implantación de un SGSI en relación al estándar ISO 27001. La explicaciones recorren un esqueleto de SGSI que ya ha sido utilizado con éxito en implantaciones desde tiempos de la BS 7799-2 y en pymes de varios países. El site permite además aportar preguntas y respuestas a los usuarios que se den de alta así como información completa sobre cada una de las normas de la serie ISO 27000 publicadas hasta el momento. Enlace al wiki disponible en modo lectura en iso27002.es o también en iso27000.wik.is para los interesados en iniciar sesión y comentarios como anonimo/anonimo. Además, Agustín Lopez ISO27000.es ha traducido un excelente artículo de David Brewer, Michael Nash y William List sobre la integración de un SGSI con otros sistemas de gestión.
Políticas, normas, procedimientos de seguridad y otros documentos de un SGSI Publicado por Javier Cao Avellaneda
Como resumen al documento que ya indiqué en el post Guía para la elaboración del marco normativo de Seguridad ISO 27002 en este texto que he redactado para el Blog del INTECO, comento los principales documentos que aparecen en un SGSI.
Cuando se trata de documentar las decisiones y acciones relacionadas con la seguridad de la información o la construcción de un SGSI (Sistema de Gestión de la Seguridad de la Información), aparecen diferentes tipos de documentos que contribuyen a lograr ese objetivo. En este texto trataré de poner algo de luz en relación a los diferentes documentos que pueden ser utilizados para tratar de establecer, definir y documentar las necesidades en Seguridad de la Información. Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas: * Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr). * Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible). * Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo). Las preguntas cuándo y dónde muchas veces no tienen por qué ser respondidas aunque suelen ser tratadas en los procedimientos. Basándose en lo anterior, los documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros: * Una política de seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización. A su vez, una política de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, políticas de uso, procedimientos de seguridad e instrucciones técnicas de trabajo. Vamos a ver en qué consisten cada una de ellas. * Una norma de seguridad define qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Sirven para establecer unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc. * Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son, por tanto, la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecución. No tiene por qué ser extenso, dado que la intención del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello,
puede relacionarse con otros procedimientos o con instrucciones técnicas de seguridad. * Una instrucción técnica de seguridad determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual que un procedimiento, son la especificación pormenorizada de los pasos a ejecutar. Una instrucción técnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma. A mayor nivel de detalle, mayor precisión y garantía de su correcta ejecución. * Una política de uso es un documento destinado a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema, tecnología o recurso. En este caso, deben documentarse las normas de comportamiento que deben cumplir los usuarios en el uso de los sistemas de información o los aspectos generales que se desean regular, así como los usos que son considerados autorizados y los usos no aceptables. Lo importante de este conjunto de documentos que forman el marco normativo es, por un lado, documentar de forma clara y concreta las decisiones establecidas por la organización en materia de seguridad y, por otro, que sean utilizados por todas las personas de la organización para saber qué hacer en cada circunstancia en relación con la protección de la información.
Más información sobre ISO 27005:2008 Publicado por Javier Cao Avellaneda
Buscando sobre algo de información en torno a la nueva norma he podido hallar una presentación bastante interesante sobre el contenido de la misma y sus objetivos. Va a ser interesante puesto que fija los cimientos de quizás la actividad más crítica para garantizar la seguridad de la información (que no para lo que supone su gestión). El documento está en francés y descargable en la siguiente dirección. Pensar en aplicar la "mala" filosofía ISO 9001 sobre la ISO 27001 tiene su peligro. Si bien la mala gestión de la calidad tiene consecuencias en la balanza de resultados y buscar la mejora continua tiene una motivación económica clara, pensar en gestionar la seguridad sólo por poder poner un sello más es un riesgo mayor. Lo que se puede conseguir con tener una certificación ISO 27001 que realmente no implique un buen funcionamiento de las medidas de seguridad es disponer de una "sensación de seguridad" que no se aproxime a la "seguridad real" de la que se disfruta. Es por eso tan importante que en la construcción de SGSI participen profesionales del mundo de la seguridad de la información o la seguridad informática. Son los técnicos capaces de valorar si las medidas que se están recomendando son adecuadas, podrán ofrecer alternativas en los planes de manera que se de tanta importancia al proceso de gestión de la seguridad como a la propia "seguridad de la información". No es importante que haya un buen plan de seguridad sino que éste funcione y logre sus objetivos. Utilizo la siguiente imagen para explicar las relaciones entre ISO 27001 e ISO 27002 y
también para contar las diferencias entre gestionar la seguridad y la propia seguridad.
En la norma ISO 27002, se establecen procesos y procedimientos de seguridad donde se incorporan una serie de medidas sobre los activos. Estas actividades deben generar los registros de seguridad. El correcto funcionamiento del SGSI se basa en que hay ciertos responsables que velan porque los procesos de seguridad estén operativos y dejando registros que permitan posteriormente su evaluación. Fruto de esa gestión dejan los registros propios del SGSI. Por tanto, si quien gestiona el SGSI va evaluando lo que mantiene y opera la seguridad de los activos va generando, se tiene la certeza de que las medidas están operativas y sus resultados son los esperados. De esa manera tenemos "seguridad de la información" sobre nuestros activos. La labor de gestión del SGSI es velar por el funcionamiento correcto de los procesos de seguridad definidos para proteger a los activos. Reflexiones similares se plantean en los post de los siguientes blogs: - Blog S21Sec. - Mejora continua de un SGSI según ISO 27001. Esperemos que el efecto pernicioso que tiene ya la ISO 9001, donde se busca la certificación por el sello y no por los beneficios que produce, no se extienda hacia la ISO 27001, donde obtendríamos un reconocimiento a la gestión de la seguridad de la información aunque ésta no se manifieste. Esperemos también que las entidades de certificación no contribuyan a ello, otorgando el reconocimiento a quien no lo merece.
Publicada la ISO 27005:2008 sobre gestión del riesgo. Publicado por Javier Cao Avellaneda Hoy quiero dar dos buenas noticias en relación a la disciplina del análisis y gestión de riesgos de la seguridad de la información. La primera de ellas la anuncia Joseba Enjuto en su blog, donde nos comunica que desde el día 4 de Julio se dispone de la nueva norma ISO 27005:2008,"Information security risk
management". Esta norma ISO/IEC 27005:2008 proporciona directrices para la gestión de riesgos de seguridad de la información. Esto apoya los conceptos generales especificados en ISO/IEC 27001 y ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y la gestión del riesgo, fase principal del diseño de todo buen sistema de gestión de la seguridad de la información (SGSI). El conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001 e ISO/IEC 27002 es importante para lograr el entendimiento completo de la ISO/IEC 27005:2008. ISO/IEC 27005:2008 es aplicable a todos los tipos de organizaciones (p.ej. sociedades mercantiles, administraciones públicas, organizaciones no lucrativas) que tengan la intención de manejar los riesgos que podrían comprometer la seguridad de la información de la organización. Esta norma actualiza a la antigua ISO 13335, partes 3 y 4.
La segunda tiene como origen la publicación de ordenes ministeriales en relación a algunos de los conceptos que aparecen en la legislación vinculada a la Administración Electrónica. La seguridad de la información es un pilar básico de este tipo de infraestructuras y así lo ordenan las diferentes ordenes ministeriales y decretos que se están promulgando. La legislación suele pecar de ambigua a la hora de hablar de seguridad. En general se venía diciendo que los procesos telemáticos deben garantizar la disponibilidad, integridad y confidencialidad de la información, sin establecer mínimos (A excepción de la legislación en materia de protección de datos de carácter personal que lo regula vía reglamentaria). Como mucho aparece que las medidas de seguridad serán proporcionales a los "riesgos y el estado de la tecnología". Pues bien, he hallado una nueva redacción a estos requisitos en la Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la disposición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos y en la ORDEN PRE/3949/2006, de 26 de diciembre,por la que se establece la configuración, características, requisitos y procedimientos de acceso al Sistema de Verificación de Datos de Identidad donde para determinar la seguridad de la información necesaria aparece el siguiente texto:
Adopción de las medidas de seguridad, organizativas o técnicas, de los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única. 1. Con carácter general se aplicarán a los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única las medidas de seguridad, conservación y normalización que se detallan en los Criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades aprobados por el Consejo Superior de Informática y para el impulso de la Administración Electrónica y accesibles en su sitio web. Dichas medidas de seguridad, conservación y normalización vendrán determinadas por el resultado del análisis y gestión de riesgos que se realice, recomendándose a estos efectos la utilización de la metodología Magerit. 2. Lo dispuesto en esta Orden Ministerial se aplicará en todo caso de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y demás normativa aplicable en esta materia.
Lo significativo que merece ser destacado es la exigencia de la realización de un análisis y gestión de riesgos previo a determinar las medidas de seguridad necesarias y además, establecido mediante una Orden Ministerial. Me inicié en esto de la seguridad de la información ya hace casi 10 años justo en un proyecto piloto de valoración de la metodología MAGERIT (En aquella época, versión 1.0) y aunque siempre he considerado, pese a detractores, que el análisis y gestión de los riesgos es el criterio de diseño del conjunto de medidas, el reconocimiento que realiza esta nueva redacción de los requisitos de seguridad va a forzar a las instituciones a pasar forzosamente por el proceso. Se discute mucho sobre la rigurosidad de esta disciplina, basada en estimaciones y valoraciones subjetivas pero lo importante al final es que obliga a determinar qué elementos son importantes, cual es su valor y qué podría pasarles respecto a potenciales incidentes de seguridad. Este mínimo ejercicio de reflexión es necesario para que la seguridad no se base en la percepción del riesgo. Debe ocurrir que la sensación de seguridad sea igual que la seguridad real de la que se dispone. En cuanto a la metodología MAGERIT 2.0, no creo que se diferencie en su esencia de lo contenido en esta norma ISO 27005:2008 porque básicamente todo análisis y gestión de riesgos pasa por las siguientes fases: Fase de análisis de riesgos:
Determinación de activos
Determinación de amenazas
Estimación de impactos
Estimación de vulnerabilidad de las amenazas sobre los activos
Cálculo del nivel de riesgo.
Fase de gestión de riesgos:
Determinación de los criterios de aceptación del riesgo
Determinación de las medidas de seguridad necesarias
Estimación del nivel de riesgo residual
La documentación de MAGERIT 2.0 puede obtenerse en el Consejo Superior de Informática en la siguiente ficha descriptiva y en la propia página del Centro Nacional de Inteligencia en la url http://www.ccn.cni.es/series.html hay un documento titulado CCN-STIC-410 Análisis de Riesgos Sistemas de la Administración v1.0.pdf con un ejemplo de su aplicación. Enlaces a esta entrada Etiquetas: serie iso 27000 1 comentarios 29/04/08
Situación actual de la serie 27000 Publicado por Javier Cao Avellaneda
La semana pasada tuvo lugar en Kyoto una reunión del Subcomité 27 de ISO para seguir avanzando en la elaboración de estandares de la serie 27000. En concreto el listado actual de normas que se encuentran en desarrollo y finalizadas son:
ISO/IEC 27000 - proporcionará una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.
ISO/IEC 27001:2005 - Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI).Publicada en 2005.
ISO/IEC 27002:2005 - Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005).Publicada en 2005 y renombrada en 2007.
ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.
ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.
ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve a lo largo del año.
ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.
ISO/IEC 27007 será una guía para auditar SGSI.
ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.
ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.
ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051)
ISO/IEC 27031 estará centrada en la continuidad de negocio
ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.
ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.
ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.
ISO/IEC 27032 será una guía para la cyberseguridad.
Gary Hinson resume en un formato Mind Maps informaciones y comentarios sobre la última reunión del SC27 de ISO en Kyoto, donde ha participado como representante de Nueva Zelanda. Enlaces a esta entrada
Etiquetas: serie iso 27000 1 comentarios 02/04/08
Política de uso de Internet Publicado por Javier Cao Avellaneda Al hilo del post que Sergio Hernando publica hoy "Acceso a Internet por parte de los empleados: ventajas, riesgos y amenazas", voy a comentar un documento con el que he dado hace pocos días y que me parece interesante referenciar. El texto se encuentra en el enlace How to write an Acceptable Use Policy (AUP) y ha sido generado por la empresa SurfControl. Lo que merece la pena destacar del documento es que, previo a un razonamiento de por qué es necesario este tipo de políticas internas, indica los aspectos más interesantes que toda buena política de uso debe contemplar, tanto desde el punto de vista de la redacción como en los apartados que debe contener. Aunque ya comenté en el documento Guía para la elaboración del marco normativo de Seguridad ISO 27002 cual es la función de las políticas de uso y cómo encajan dentro del marco general de documentos SGSI, el texto que hoy me ocupa se centra en concreto en la política de uso de Internet. Los objetivos de un documento así son:
Clarificar la posición de la empresa respecto al uso de Internet
Proteger a la organización de los abusos internos justificando acciones disciplinarias
Concienciar y formar al personal sobre las amenazas que pueden presentarse a través de Internet.
Fomentar el uso correcto y eficaz de los recursos de la empresa>/li>
Las claves del éxito en la redacción están en:
Ser claro en la redacción
Consensuar una posición de la empresa
Definir expresamente lo que se consideran usos aceptables y tiempos de uso razonables
Establecer qué se consideran activos a proteger de la organización y cómo el empleado puede contribuir a ello
Definir responsabilidades y consecuencias del incumplimiento de la política
El documento no tiene desperdicio y por tanto, os recomiendo su lectura para profundizar más. Enlaces a esta entrada Etiquetas: Cumplimiento normativo, ISO 27002 1 comentarios 18/03/08
El modelo humano de gestión del riesgo Publicado por Javier Cao Avellaneda Leo en el blog de Schneier este mes un interesante artículo sobre cómo el ser humano gestiona de manera innata el riesgo. El primero de ellos, reflexiona sobre el riesgo que supone conocer el riesgo valga la redundancia. El artículo entero puede leerse en Schneier on Security: Risk of Knowing Too Much About Risk y merece la pena destacar que las personas que más creen controlar o conocer los riesgos pueden cometer errores o tomar decisiones no adecuadas basadas en una confianza o conocimiento de la situación que puede no ser tal. El miedo es una fuerza poderosa y con temor la toma de decisiones puede producir resultados nefastos.Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:
La primera es intuitiva, emocional y basada en la experiencia. Tratamos de mitigar aquello que tememos o que no podemos controlar, basados tanto en la experiencia como en la intuición de lo que puede pasar. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un análisis objetivo del riesgo potencial.
La segunda forma en mediante el análisis de riesgos: la utilización de probabilidad y estadística para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reacción intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisión final.
Lamentablemente para nosotros el análisis de riesgos no es la parte que gana. La intuición o el miedo pueden abrumar fácilmente a la parte analítica, especialmente cuando nuestro cerebro en situaciones de miedo recupera imágenes grabadas en la memoria sobre catástrofes, accidentes o experiencias desagradables que quedan más fácilmente almacenadas por la memoria emocional.
Para reflejar este hecho, se realizó un estudio sobre las causas con mayores probabilidades de muerte que representa la imagen superior. El tamaño de cada círculo representa el riesgo relativo de morir por la causa enumerada. Una de cada cinco muertes es por enfermedades del corazón. El infarto cerebral es un círculo alrededor de un tamaño cinco veces menor que la enfermedad de corazón. Los círculos más pequeños siguen documentando otras causas de muerte más raras y menos frecuentes. El círculo más pequeño en este mapa es la muerte de accidentes con fuegos artificiales, un destino sufrido por una de cada 350000 personas, representado por unos pocos píxeles en la pantalla. Nuestro cerebro empieza a ignorar los riesgo que son solo éso, dificiles de ver o comprender. Pero lo importante es que aunque nuestro cerebro los ignore, siguen estando ahí, con su probabilidad intacta y por tanto, deben ser también gestionados. Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios
28/02/08
Guía para la elaboración de los procedimientos y registros establecidos en el nuevo reglamento 1720/2007 de protección de datos Publicado por Javier Cao Avellaneda Firma, Proyectos y Formación ha elaborado un documento donde se recopilan los contenidos mínimos que deben incluir los procedimientos y registros establecidos en Título VIII del nuevo Real Decreto 1720/2007. Para ello hemos analizado los requisitos que establece cada una de las medidas, teniendo en cuenta las aplicables al tratamiento tanto automatizado como manual, seleccionando todas aquellas que requieren la elaboración de algún tipo de documento e identificando los contenidos mínimos de cada una de ellas. A la hora de establecer y documentar los procedimientos hay que tener en cuenta siempre que deben ser eficaces y ajustarse al estado de implantación en la empresa, dado que es la información utilizada para la revisión del cumplimiento. El documento puede ser obtenido aquí Enlaces a esta entrada Etiquetas: Cumplimiento normativo 0 comentarios 20/02/08
Aproximación práctica a la gestión del riesgo Publicado por Javier Cao Avellaneda De nuevo la gente de Infosecwriters.com han elaborado un excelente documento sobre la gestión del riesgo. Para aquellos que no tengan claro cómo documentar la metodología de análisis y gestión del riesgo y mientras la norma ISO 27005 (que está en fase de desarrollo con fecha prevista de publicación en Mayo de 2008) no aparezca en escena, este documento puede ser una buena referencia. El documento puede ser descargado en A Practical Approach to Managing Information System Risk La norma ISO 27005 consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSIy recogerá partes de ISO/IEC TR 13335. Disponemos también de un par de normas ya elaboradas en este tema:
Risk Management, AZ/NZS 4360:2004
Guidelines for Information Security Risk Management, BS 7799-3:2006
AZ/NZS 4360:2004 En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos (AS/NZS 4360:1999). A través de una norma reducida en extensión, con diagramas que gradualmente expanden sus niveles a medida que nos adentramos en las definiciones y apoyada por un generoso manual explicativo, no tardó en ser adoptada por varias empresas de diversas industrias. Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un “paquete” completo que incluye el manual de apoyo (HB 436:2004). Guidelines for Information Security Risk Management, BS 7799-3:2006 En Mayo del año 2006, BSI presentó BS 7799-3:2006 (). La tercera parte de su norma BS 7799, que es el origen de la familia ISO/IEC 27000. En ella describe los aspectos mínimos que debe considerar un Proceso de Gestión de Riesgos de Información. Si bien, esto viene a aliviar un poco a los Implantadores más puristas, no es menos cierto que es una primera versión y como tal adolece de los males de los estrenos. Es necesario revisar la estructura, la distribución de los contenidos y la profundidad de los ejemplos. Es muy valorable la inclusión de ejemplos para graficar todos aquellos aspectos que podrían generar dudas. Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios
Nuevo diseño del Blog Publicado por Javier Cao Avellaneda Este post es para anunciar cambios en la plantilla de diseño del blog y la inclusión de nuevas secciones con enlaces a otras Webs y blogs dedicados al mundillo de los sistemas de gestión de la seguridad de la información. Si alguno considera que dispone de una página que pudiera ser interesante apuntar en la sección de links que me lo haga llegar a través de los comentarios. Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios 18/01/08
Guía para la elaboración del marco normativo de Seguridad ISO 27002. Publicado por Javier Cao Avellaneda Durante mi trabajo suelen siempre repetirse siempre las mismas preguntas entorno al desarrollo de normas, procedimientos y demás documentos relacionados con la construcción e implantación de sistemas de gestión de seguridad de la información certificables con la norma ISO 27001. Este tipo de proyectos requieren de un esfuerzo por parte de la Organización por formalizar y definir las actividades relacionadas con la gestión de la seguridad para dar cumplimiento a los diferentes controles de la norma ISO 27002. Para ello, se hace imprescindible establecer un marco normativo en materia de seguridad de la información, que defina y establezca los criterios y medidas que se desean garantizar y cumplir. Debido a la ausencia de criterios formales para establecer este tipo de jerarquía de documentación, he considerado interesante contribuir con la elaboración de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Está basado en un criterio de máximos donde se describe lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mínimos pero si requisitos de la documentación y registros en su apartado 4.3 . Para muchos esta recomendación puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organización y de su "cultura" interna. Lo más importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen. En cualquier caso, el presente documento es solamente una propuesta técnica aunque para ello he utilizado varios libros que compré en su momento como bibliografía básica al respecto y que son:
Made policies are easy de Charles Cresson Wood.
Writing Information Security Policies de Scott Barman.
Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management de Thomas R. Peltier
El documento está colgado en la Web de Firma, Proyectos y Formación S.L. porque ha sido liberado bajo licencia Creative Common.
Enlaces a esta entrada Etiquetas: ISO 27001, ISO 27002 6 comentarios 07/01/08
Pronósticos del 2008 Publicado por Javier Cao Avellaneda Como viene siendo tradición de este blog cada comienzo de año, toca tratar de vaticinar cuáles van a ser los problemas que este año nos van a llevar de cabeza. Los últimos días del año, el grupo Google ISO27001security.com ha estado tambien tratando la cuestión y el grupo coordinado por Gary Hinson han elaborado un documento titulado "los principales riesgos en seguridad de la información para el 2008" que puede ser descargado en ingles en la siguiente dirección. El documento está licenciado bajo Creative Common y es bastante completo, identificando los diferentes elementos de seguridad que determinarán los riesgos del 2008, como son: - principales amenazas - principales vulnerabilidades - principales impactos Con todo ello, se determinan cuales podrán ser los riesgos a mitigar este 2008. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 10/12/07
La Consejería de Agricultura de Murcia, primera entidad pública de la Administración española en conseguir la certificación ISO 27001 Publicado por Javier Cao Avellaneda Como ya había comentado en un post anterior, Firma, Proyectos y Formación S.L. ha trabajado durante este último año en un proyecto relacionado con la implantación de un sistema de gestión de seguridad de la información certificable con la norma ISO 27001 en una Administración Pública. Evidentemente hemos tenido que esperar a que el citado organismo lo diera a conocer para poder indicar quién y qué ha logrado. En concreto, ha sido la Consejería de Agricultura y Agua de la Comunidad Autónoma de
Murcia la que ha conseguido certificar bajo la norma ISO 27001 el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA. Para quien no esté familiarizado, los fondos europeos de financiación se gestionan mediante los llamados "Organismos Pagadores". Existen en cada comunidad autónoma y éstos a su vez son coordinados por el Ministerio de Agricultura y Pesca. La Unión Europea establece reglamentos donde define una serie de requisitos a satisfacer, tanto para la concesión de ayudas como para la gestión de los Organismos Pagadores. Existe desde el año 97, una directriz que exige garantizar la seguridad de la información, en concreto, la Directriz VI/661/97 rev. 2 CE sobre la Seguridad de la Información de los Sistemas de Información de los Organismos Pagadores. Esta directriz establece que los organismos pagadores deberán basar la seguridad de sus sistemas de información en los criterios establecidos en una versión aplicable de una de las normas siguientes, que gozan de aceptación internacional:
Organización Internacional de Normalización 17799/Norma británica 7799: Code of practice for Information Security Management (ISO/IEC 27002)
Bundesamt fuer Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch (IT Protection Manual).
Information Systems Audit and Control Foundation: objetivos de control en el ámbito de la información y las tecnologías afines (COBIT).
También se establece en la citada directriz que: "Las medidas de seguridad deberán estar adaptadas a la estructura administrativa, al personal y al entorno tecnológico de cada uno de los organismos pagadores. El esfuerzo financiero y tecnológico deberá ser proporcional a los riesgos reales existentes." Dado que esto último implica seleccionar los controles de cualquiera de las normas sugeridas en base al nivel de riesgo, lo más adecuado para la Consejería de Agricultura y Agua de la Comunidad Autónoma de la Región de Murcia ha sido establecer un Sistema de gestión de la seguridad de la información sobre el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA y certificarlo según la norma ISO 27001. A éste mérito se suma además, el tratarse de la primera Administración Pública que obtiene esta certificación ISO/IEC 27001. La entidad de certificación ha sido SGS acreditado bajo esquema UKAS. La nota de prensa publicada puede ser consultada en CARM.es - La Consejería de
Agricultura es la primera entidad pública de la Administración española que consigue la certificación ISO de seguridad Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 04/12/07
Publicada por AENOR la UNE-ISO/IEC 27001:2007 Publicado por Javier Cao Avellaneda Paloma Llaneza anuncia en su blog Palomallaneza.com que con fecha de 29 de noviembre ha sido publicada la adecuación de la norma 27001 al castellano titulada UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Era algo deseado por todos que estabamos esperando que se resolvieran las diferentes cuestiones que han tenido retrasada esta norma de manera tan injustificada. La traducción se coordina por comités y seguramente no ha gozado de la prioridad necesaria pero ya hace casi dos años y medio que se publicó la ISO 27001 en ingles. En este boletín de AENOR se informa también de las empresas españolas que han obtenido la certificación UNE 71502 hasta la fecha, que según creo, no es una certificación acreditada todavía bajo el esquema ENAC. Enlaces a esta entrada Etiquetas: ISO 27001 2 comentarios 27/11/07
Métricas y guias de implantación sobre la ISO 27001. Publicado por Javier Cao Avellaneda En una labor encomiable de Javier Ruiz Spohr y Agustín Lopez Neira, de ISO27000.es similar a las que nos vienen mal acostumbrando en su portal, hoy quiero dar a conocer la traducción al castellano del documento elaborado por Gary Hinson para la web ISO27000security.com sobre métricas y guía de implantación de controles de la norma ISO 27001(Anexo A). El documento podéis descargarlo en el portal ISO27000.es o desde este enlace. Es de gran ayuda disponer de recomendaciones sobre cómo medir para plantearse cómo resolver una situación o implantar un control. Como consultor el tema de la medición es uno de los que más quebraderos de cabeza genera en el proceso de certificación ISO 27001,
quizás por su importancia dado que el buen funcionamiento del SGSI debe valorarse en base al cumplimiento de objetivos y para ello, es crítico medir bien. El mes pasado nuestro primer cliente ha logrado obtener su certificado ISO 27001, hecho que nos llena de satisfación por el trabajo de consultoría bien realizado y por ser un proyecto pionero al tratarse, según parece, de la primera Administración Pública que obtiene una certificación ISO 27001. También comentar que el proyecto ha sido bonito principalmente porque el alcance era extenso y horizontal para toda la organización, con unas doscientas personas involucradas en los procesos administrativos de tramitación que han sido objeto de certificación. Tras un año y medio de proyecto y superar algunas dificultades, el cliente ha superado con éxito el proceso de auditoría y ya solo queda esperar la tramitación del expediente de certificación. De esta forma, Firma, Proyectos y Formación S.L. , una consultora modesta de la Región de Murcia se suma al resto de consultoras que ya han logrado una certificación ISO 27001. En nuestro caso además, también destacar que por necesidades del cliente, han sido ellos los primeros en lograr el sello aunque en Firma estamos también trabajando para pronto lograr el reconocimiento de la gestión de la seguridad sobre nuestros servicios de consultoría. En estos temas, es necesario predicar con el ejemplo, aunquen en nuestro caso, nuestro cliente es nuestra mejor referencia. También comentar que a través del Grupo de Google "http://groups.google.es/group/Seguridad-de-la-informacion" se están compartiendo y comentando diferentes enfoques o dudas respecto al proceso de certificación por el que todos tenemos que pasar y sobre el cual algunos ya tenemos experiencia, tanto como Auditor provisional IRCA 27001 como consultor que ha vivido en primera persona el proceso de certificación. Quien quiera participar o colaborar puede suscribirse, es un foro abierto sin restricciones salvo respectar las normas de educación de todo foro. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 21/11/07
Publicada la segunda parte de la norma BS 25999. Publicado por Javier Cao Avellaneda Javier Ruiz Spohr ha comentado hoy en el grupo ISO2000security que ya ha sido publicada la norma BS 25999-2. Para quien no ubique esta norma, es la segunda parte de la norma BS 25999 y ambas están relacionadas con la gestión de la continuidad de negocio. He encontrado bastante información la Web http://www.bs25999.com/ donde se comentan
las dos partes de esta norma que puede ser adquirida en la tienda del BSI. Coincide también que ayer, en la II Jornada Internacional del ISMS, el Bussiness Continuity Institute (BCI) repartió en castellano el manual en buenas de prácticas en gestión de continuidad de negocio. Un tema muy vivo del que seguro que pronto también surge la necesidad de una normalización y estandarización, sobre todo, si la Comisión Europea se está planteado cómo garantizar la continuidad de negocio de las denominadas "infraestructuras críticas". Enlaces a esta entrada Etiquetas: Continuidad de negocio, serie iso 27000 0 comentarios 11/10/07
Repositorio documental sobre ISO 27001 Publicado por Javier Cao Avellaneda Hoy quiero comentar una muy buena fuente de información relacionada con la implantación de SGSI. La Web http://www.iso27001security.com/ dispone de interesantes apartados y publica de manera regular documentación muy práctica para quienes estéis en el proceso de construcción de un SGSI que puede servir de gran orientación.
En concreto, el apartado FREE DOCUMENTS contiene modelos y documentos como: Documentos del marco de gestión SGSI
Ejemplo de declaración de aplicabilidad
Ejemplo de norma de uso del correo electrónico
Procedimiento de acción correctiva
Procedimiento de auditoría interna
Un posible organigrama de seguridad con sus funciones y responsabilidades
Documentación propia de un SGSI
Checklist sobre los documentos que pueden formar un SGSI
Listado de posibles métricas sobre controles
Toda esta documentación está licenciada bajo Creative Commons AttributionNoncommercial-Share Alike 3.0. y accesible desde este enlace. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 26/09/07
IS2ME, Seguridad de la Información a la Mediana Empresa Publicado por Javier Cao Avellaneda A continuación presento una metodología española, desarrollada por Samuel Linares e Ignacio Paredes, para ayudar a implantar la ISO 27001 en la pequeña y mediana empresa. Como indica en la propia Web de ISME. "Surge como solución y aproximación para el camino a seguir hacia la implementación de la seguridad de la información en empresas cuyo modelo de seguridad aún no es maduro y desean acometer la labor de implantación de la seguridad de la información y de su sistema de gestión asociado de una forma eficiente, eficaz y práctica, de forma que permita disminuir el riesgo de la organización a corto plazo a la vez que se inicie el camino hacia
el cumplimiento de los estándares deseados. IS2ME persigue también un objetivo social ambicioso: el acercamiento de la seguridad de la información a las medianas (y pequeñas) empresas, fomentando así su penetración en la cultura organizacional del tejido empresarial existente y disminuyendo en general el nivel de riesgo asumido por las organizaciones, aumentando con ello su valor y rentabilidad y elevando, por tanto, el nivel económico de la mayoría de las empresas existentes en la actualidad." Podéis descargar la metodología en formato PDF en el siguiente enlace. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 03/09/07
ISO 27001 e ISO 27002 en castellano Publicado por Javier Cao Avellaneda Por empezar fuerte el curso hoy quiero compartir un enlace de gran interes para los dedicados al mundillo de la gestión de la seguridad entorno a la norma ISO 27001. Dentro de mis protocolos de seguimiento de las normas 27001, 27002 y las publicaciones o comentarios entorno a ella utilizando las alertas de Google, hoy quiero compartir un par de enlaces que proporciona en un documento PDF una traducción no ofical al castellano de las normas ISO 27001 e ISO 27002. Aunque los enlaces no aparecen refereciados en ninguna página principal de esta Web, Google la enlaza al buscar sobre controles de la ISO 27002. Dado que puede ser de interés para el público hispanohablante disponer de una versión en nuestro idioma, comparto la url que Google proporciona por si es del interés de todos. Ambos documentos aclaran que su uso es autorizado sólo para fines didácticos, objetivo que comparte también este blog. Las urls donde se encuentran son:
ISO 27001 en español.
ISO 27002 en español.
Enlaces a esta entrada
Etiquetas: ISO 27001, ISO 27002 23 comentarios 19/07/07
Muere ISO 17799:2005 y nace ISO 27002:2005 Publicado por Javier Cao Avellaneda Aparece en el blog de Paloma Llaneza la noticia de que se ha producido ya el renombrado de la ISO 17799 por otro número dentro de la serie 27000. El post original puede leerse en palomallaneza.com - » La 17799 ha muerto. Enlaces a esta entrada
ISO 27001 e ISO 27004 Publicado por Javier Cao Avellaneda
Alejandro Corletti vuelve a publicar un PDF para su libre descarga sobre la ISO 27001 y la 27004. En el comenta como van a encajar la gestión de la mejora de la seguridad en base a los requisitos de medición y valoración de los resultados obtenidos tras la fase de tratamiento de riesgo. Según su autor; "Se trata de la forma en que se deben realizar las mediciones sobre el estándar ISO 27001. En este artículo se presenta una introducción, una descripción del borrador ISO 27004 y las conclusiones de lo que permite el trabajo entre ambos. Es importante considerar esta norma a la hora de comenzar a diseñar un SGSI, pues es la forma de determinar qué puedo o no medir" El documento se puede descargar en ISO 27001-ISO 27004. Enlaces a esta entrada Etiquetas: ISO 27001, ISO 27004 2 comentarios 05/02/07
ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems Publicado por Javier Cao Avellaneda
Leo vía ISO 27000.es que a mediados de este año va a publicarse la norma ISO 27006, "Requirements for bodies providing audit and certification of information security management systems" que permitirá la acreditación de los organismos que están
certificando sistemas de gestión de seguridad de la información. Con esta norma, ENAC ya podrá acreditar en España a los diferentes certificadores y dar así un impulso más a este proceso obteniendo una certificación acreditada bajo el esquema de acreditación español. Esto supone la definición clara de los requisitos que deben satisfacer los organismos certificadores, que posteriormente son quienes otorgan el sello ISO 27001 a las instituciones y empresas que solicitan el proceso de certificación. Por confirmar esta noticia, he recurrido a las dos Webs donde puede uno mantenerse al día entorno a las novedades en cuestión de normas de seguridad. En la Web de ISMS International User Group (Xisec.com) aparece como noticia y en la Web de la International Organization for Standardization (ISO.org) aparece publicado con fecha del 30 de enero de 2007 el paso del estandar al estado 60.00, que es justo el paso anterior al estado 60.60 que es cuando se publica como norma internacional. Por tanto, se espera en no mucho tiempo que esta norma sea publicada. Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios 22/01/07
Principales claves para implantar la ISO 27001 Publicado por Javier Cao Avellaneda
En la revista ITAudit aparece un breve artículo respecto a los principales puntos a contemplar a la hora de abordar una certificación ISO 27001. A continuación resumo los puntos más destacados: - Identificar los objetivos de negocio: el propósito de la certificación es garantizar la gestión de la seguridad sin olvidar que esto debe contribuir al desarrollo de los servicios o procesos de negocio. La seguridad debe alinearse estratégicamente con la actividad de la organización para darle un mejor soporte y robustez. - Seleccionar un alcance adecuado: El esfuerzo en la implementación será proporcional al tamaño del sistema a construir. En muchos casos, no es necesario extender el SGSI a toda la organización sino centrarnos como primer paso en el corazón de la gestión donde se concentra la mayor parte de las actividades relacionadas con la gestión de información, que suele coincidir con las áreas de sistemas de información o con algún departamento donde la seguridad de la información que se gestiona es crítico para el desarrollo de las actividades de negocio. - Determinar el nivel de madurez ISO 27001: Debemos identificar en que estado de madurez se encuentra la organización para identificar el esfuerzo que habrá que hacer en la
implantación. No va a ser igual en organizaciones que ya han pasado previamente bajo los procesos de certificación de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestión de la mejora continua. - Analizar el retorno de inversión: Es muy importante demostrar que el esfuerzo realizado no será un gasto sino una inversión y que tras implantar los procesos de gestión, se conseguirán efectos colaterales que supondrán un retorno de inversión a considerar. Es dificil justificar el ahorro por los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los indices de incidentes se han reducido.
Artículo complento en IT Audit - The Institute of Internal Auditors Enlaces a esta entrada Etiquetas: ISO 27001 4 comentarios 06/12/06
Aumento de la demanda sobre la ISO 27001 Publicado por Javier Cao Avellaneda
Leo en ISO27000.es una excelente noticia para el gremio de la seguridad. Según un artículo publicado en ComputerWeekly, uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos de sugerencias al proveedor respecto a estar certificado en esta norma. Algo de sentido común, puesto que cada vez más los servicios están orientados hacia la gestión de activos cuya seguridad debe estar preservada. Toca primero al licitador previamente haber identificado sus activos y haber construido su propio SGSI, pero una vez hecho esto, sus proveedores deben garantizar la "cadena de seguridad". Tal como indica en la web ISO27000.es, "El estándar, que ha substituido eficazmente al viejo BS 7799, ha convencido a muchas organizaciones que la certificación puede tener sentido para ellas. Según el grupo BSI, casi las dos terceras partes de las certificaciones eran nuevas organizaciones en vez de simples actualizaciones de BS 7799. Según BSI, uno de los motivos para el fuerte aumento de en la actividad de certificaciones en ISO 27001 se debe a que cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el sector privado, estipulan ya que el proveedor apropiado debería tener la certificación en ISO 27001 de Seguridad de la Información. URM, especialista en certificación ISO 27001 y en la gestión de riesgos, cree que el aumento del interés es porque el estándar se ha convertido en una obligación más que una
opción accesoria para cualquier organización que opere en el sector público o en el sector de los grandes mercados privados. Con el aumento en los niveles de gobierno, URM cree que la certificación ISO 27001 también está siendo vista como un ejercicio de 'impermeabilización de cara al futuro ' para muchas empresas. Si ellos no lo hacen ahora, saben que probablemente tendrán que hacerlo en el futuro. De hecho, algunas empresas que ya tienen la certificación ISO 27001 harán de lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga." Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste. El artículo original, puede leerse en Tender conditions drive ISO 27001 update 07/Sep/2006 - ComputerWeekly.com Enlaces a esta entrada Etiquetas: ISO 27001 1 comentarios 13/09/06
Control 8.1.2 de ISO 17799:2005. Selección de personal Publicado por Javier Cao Avellaneda
Hoy he encontrado un curioso video que me sirve para ilustrar el objetivo que persigue el control 8.1.2 de la norma ISO 17799:2005. El bloque ocho hace referencia a la gestión del personal y en concreto, el control 8.1.2. habla de los criterios de selección de personal. Por poneros en contexto os recomiendo leer el post de Sergio Hernando a este bloque en el siguiente enlace.
En las recomendaciones de implementación de este control, se indican la importancia de verificar la información aportada por los candidatos en los procesos de selección de personal. Los curriculum son información suministrada por el solicitante, persona interesada en llevarse el trabajo y que muchas veces puede exagerar o magnificar su curriculum. Por tanto, no es descabellado verificar que la información suministrada es cierta. Por un lado, es el momento para informar al solicitante sobre las indicaciones en materia de protección de datos que sean pertinentes. En cualquier caso, creo que este ejemplo ilustra esos curiosos efectos "pinocho" que aparecen cuando uno busca como sea entrar en un proceso de selección.
Este caso es pura anécdota, pero ¿que ocurriría si el engorde del curriculum lo realiza un empleado que exagera sus conocimientos en administración de sistemas y lo ponemos directamente a manejar los entornos de producción? Enlaces a esta entrada Etiquetas: ISO 27002 1 comentarios 07/09/06
Entrevista ISO 27001 a Jose Manuel Fernandez de Nexus Asesores Publicado por Javier Cao Avellaneda
De nuevo quiero referenciar al blog ISO 9001, ISO 27001, GESTIÓN como fuente de buena información en materia ISO 27001. También destacar el activo papel que está adquiriendo el portal www.ISO27000.es En este caso, quiero destacar la interesante entrevista realizada por el portal www.iso27000.es a Jose Manuel Fernandez, autor del blog. El contenido de la entrevista es el siguiente: Fundamentalmente recoge información sobre lo siguiente: - Presentación de Nexus Consultores y Auditores y su relación con ISO 27001. - Punto de partida del interés en Nexus en trabajar con ISO 27001. - Empresas y sectores en los que se muestra un mayor interés por la ISO 27001. - Tareas que debe realizar una empresa para la implantación de un SGSI. - Servicios externos que suelen requerir las empresas para esta implantación. - Esfuerzo y costes de la implantación de un SGSI. - Diferencias entre los requisitos de ISO 27001 y la forma actual de gestión. - Carencias en gestión de seguridad más destacables y habituales. - Aspectos que entrañan mayor dificultad en la implantación de un SGSI. - Aspectos a atender especialmente para la auditoría de certificación. - Ventajas para la propia empresa, una vez tiene ya implantado el SGSI. - Resumen de la Jornada de Gestión de Seguridad ISO 27001 celebrada en Málaga. Creo que es una forma cómoda de adquirir conocimientos mediante la escucha de la entrevista, que podéis descargar en el siguiente enlace. El post original donde se detalla más esta entrevista podéis obtenerlo en ISO 9001, ISO 27001, GESTIÓN: Entrevista ISO 27001 a Jose Manuel Fernandez Enlaces a esta entrada
Etiquetas: ISO 27001 0 comentarios 06/09/06
Artículo sobre SGSI de Agustín Lerma Publicado por Javier Cao Avellaneda
Leo hoy vía el blog de Jose Manuel Fernandez el interesante artículo de Agustin Lerma, Security Manager de Nextel que publica la revista Auditoría + Seguridad acerca de Sistemas de Gestión de Seguridad de la Información (SGSI) y que puede descargarse en el siguiente enlace. Aprovecho para sugerir también que os suscribáis en la revista Auditoría+Seguridad de la que yo he recibido gratuitamente ya el ejemplar en soporte papel.
Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 05/07/06
El factor humano Publicado por Javier Cao Avellaneda
Como suele decirse, una imagen vale más que mil palabras y hoy la gente de Hispasec publica una viñeta cómica que ilustra el tan comentado "Factor Humano".
Enlaces a esta entrada 1 comentarios 03/07/06
Guía para la implementación de un SGSI Publicado por Javier Cao Avellaneda
A través de la iniciativa FOROSEC quiero hoy comentar el enlace a la Guía de implantación de sistemas de gestión de la seguridad de la información. FOROSEC es un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio que tiene como objetivo establecer una red experta en seguridad informática enfocada a mejorar la competitividad de las PYMES en los servicios de negocio electrónico. Los organizadores del proyecto son cuatro centros especializados en TICs y seguridad informática: * AIMME (Instituto Tecnológico Metalmecánico), * ESI (European Software Institute), * IAT (Instituto Andaluz de Tecnología) y * ROBOTIKER. Esta guía está redactada en un lenguaje sencillo y puede ser un material muy interesante para realizar una primera aproximación al mundo de los sistemas de gestión de la seguridad de la información (SGSI). En el documento vienen desmenuzadas las diferentes fases del
proceso, los documentos mínimos a generar y cuales deben ser los principios y objetivos de abordar un proyecto de semejante transcendencia e importancia para la organización. El desarrollo de la metodología para la implementación acercará a las personas con interés en el tema a cada una de las actividades a desarrollar dentro del diseño y construcción del SGSI. Por último destacar también el anexo 2 en donde se establecen unas pautas y consejos para la elaboración de procedimientos de seguridad. El documento puede ser descargado en el enlace Guía de implantación de sistemas de gestión de la seguridad de la información Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 22/06/06
Telefónica Empresas tiene ya su SGSI con la norma ISO 27001 Publicado por Javier Cao Avellaneda
Aunque la noticia no es de hoy, la tenía pendiente para comentar. En la Revista SIC de este mes aparece un folleto interno en donde se indica que Telefónica Empresas ha adaptado y certificado el "Sistema de gestión de seguridad de la información de aplicación en sus centros de datos gestionados (CDG) y servicios) contra la norma ISO 27001. Aunque de estos sistemas lo más importante es ver en concreto el alcance de la certificación, me parece digno de destacar que efectivamente Telefónica predica con el ejemplo, dado que ha decidido certificar el centro de datos que da servicios a empresas. Como proveedor ha querido acreditar con este sello que dispone de un sistema de gestión orientado a proporcionar la máxima seguridad de la información a sus clientes. Ello, no debemos confundirnos, no significa que nunca vaya a pasarles nada. Simplemente han apostado por un marco de gestión para abordar la seguridad y por tanto, el primer paso ha sido identificar los mayores riesgos potenciales para ahora y poco a poco ir reduciendolos, evitarlos o transferirlos a terceros. Aunque no he encontrado una nota de prensa en el portal español, si aparece en el siguiente enlace. ¿Qué gana con esto Telefónica Empresas? Yo creo que mucho por dos motivos: - En primer lugar, se autoimpone una filosofía de gestión para la parte de servicios quizás más delicada, que es la de servicios de proceso de datos a terceros cuyo objetivo es ganarse
la confianza de los clientes en base a pruebas y registros de las actividades de seguridad que desarrollan a diario. - Por otro, puede permitir que cualquier empresa que albergue sus sistemas de información dentro de sus centros, se beneficien de este sistema de gestión, dado que si el outsourcer te garantiza seguridad, el esfuerzo para la empresa propietaria de los datos para implantar el SGSI se reduce a cubrir todos los procesos que no están subcontratados. El pensar que algo es más seguro porque tenga el sello ISO 27001 es ya otro debate en el que por ahora prefiero no entrar. Para alguien como yo que lleva creyendo en que la "GESTIÓN" de la seguridad iba a llegar a donde está llegando, es muy importante ver como las empresas de mayor prestigio creen en que la seguridad se gestiona, al igual que la satisfacción del cliente. Como la seguridad al 100% no existe, al menos empezar a andar por un camino que busca llegar a conseguirlo es mejor que pensar que como nada se puede hacer, mejor esperar a tener suerte y que nunca pase nada. Los primeros, en caso de incidente, podrán saber que ha podido fallar, que elementos no se contemplaron y aprenderán de ello. Los segundos no podrán aprender nada del incidente porque nada hicieron para evitarlo. Como mucho pondrán solución a la amenaza ya materializada sin saber si es lo único que pudiera pasarles y se quedarán simplemente esperando a no tener tan mala suerte. Enlaces a esta entrada 5 comentarios 14/05/06
Otro blog de SGSI/Calidad Publicado por Javier Cao Avellaneda
Me llega vía comentario en el blog la noticia de la aparición de otro blog dedicado a la seguridad de la información y los SGSI, pero además algo más extenso en su temática relacionada con la calidad. Yo que llego a los SGSI desde la seguridad de la información he tenido la oportunidad de descubrir en estos dos últimos años el mundo de la calidad y la mejora continua que al final mediante los SGSI van a ser los responsables de la popularización de la seguridad en empresas. Y es que hacer las cosas bien motiva pero acreditar que las cosas se hacen bien estimula a la dirección, por el carácter de publicidad positiva que proporciona. En el mundo del outsourcing como es el de las tecnologías de la información, pronto podrán apretarse más las clavijas a las empresas proveedoras de servicios en relación a la seguridad que proporcionan. En cualquier caso, quiero dar la bienvenida al blog ISO 9000-ISO 27001Gestión dado que seguro que proporciona interesantes post con un mayor conocimiento del
mundo de la calidad que el que en este blog pueda publicarse. Añado una sección nueva en los enlaces donde dejo de forma permanente el link para que nadie lo pierda. Enlaces a esta entrada Etiquetas: ISO 27001 7 comentarios 10/05/06
Guía para el desarrollo de métricas de seguridad de la información Publicado por Javier Cao Avellaneda
En gestión es un criterio básico que "Lo que no se puede medir, no se puede controlar. Sin control por tanto no puede haber gestión y sin gestión no hay dirección". El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security
Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información. Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad. Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003. Enlaces a esta entrada Etiquetas: serie iso 27000 2 comentarios 09/05/06
Resumen general del marco normativo en materia de seguridad de la información
Publicado por Javier Cao Avellaneda
De una reciente reunión del subcomité responsable del desarrollo del marco normativo en seguridad de la información me parece interesante extraer de un documento del Ministerio de Administraciones Públicas, un extracto de la reestructuración de los estandares aparecidos y en borrador en relación a la seguridad de la información y la construcción de sus sistemas de gestión.
En primer lugar, en la definición del futuro de las normas relativas a la gestión de la seguridad de la información son de aplicación los siguientes principios: -La gestión de la seguridad de la información debe ser coherente con los principios generales de gobernanza de las tecnologías de la información en las organizaciones. - La gestión de la seguridad de la información debe ser coherente con los principios de seguridad de la OCDE. - La gestión de la seguridad de la información debe ser coherente con otros sistemas de gestión, tales como los contemplados en ISO 9001 e ISO 14001. - La gestión de la seguridad de la información debe ser coherente con los previsto en las Guías ISO siguientes: ISO Guide 72 e ISO Guide 73. En segundo lugar, se considera que la familia de normas de gestión de la seguridad de la información debiera cubrir áreas tales como las siguientes: - Marco de las normas de gestión de la seguridad de la información. - Sistemas de gestión de la seguridad de la información. - Análisis y gestión de riesgos. - Controles y salvaguardas. - Métricas.
- Auditoría. - Directrices de implantación de los sistemas de gestión de la seguridad de la información. - Difusión y concienciación. Así también, cabe considerar aspectos tales como los siguientes: - Productos y servicios. - Política y procedimientos. - Personal. - Seguridad física. - Esquemas de reporte. En consecuencia, se considera que las siguientes normas son necesarias para completar la familia de normas de gestión de la seguridad de la información: - Marco de las normas de gestión de la seguridad de la información. Debe haber un marco que proporcione una visión global de la familia de normas de gestión de la seguridad de la información y que explique las áreas de normalización, cubiertas o no por normas existentes a la fecha, las relaciones y dependencias de estas normas entre sí y con otras familias de normas; en particular, las relaciones con la familia de normas relativas a evaluación y certificación de la seguridad de las tecnologías de la información (ISO/IEC 15408) y aspectos complementarios como la elaboración de perfiles de protección (ISO/IEC 15446). - Normas relativas a los sistemas de gestión de la seguridad de la información. Este pudiera ser un documento compuesto de varias partes que trate de cuestiones relativas a la especificación de los sistemas de gestión y a su evaluación. - Norma relativa al análisis y gestión de riesgos. El análisis y gestión de riesgos es una actividad fundamental en la gestión de la seguridad de la información para identificar los requisitos de seguridad, establecer las políticas y objetivos de seguridad, para seleccionar los controles y salvaguardas proporcionados a los riesgos identificados y para gestionar riesgos emergentes derivados del cambio continuo en la tecnología, los actores, los requisitos, el marco legal, las amenazas, etc. Este papel del análisis y gestión de riesgos ya ha sido identificados por las normas ISO/IEC TR 13335, ISO/IEC IS 17799 e ISO/IEC 15408. También es reconocido por las Directrices de seguridad de la OCDE. - Norma de métricas. Las métricas cuantitativas son relevantes para la gestión de la seguridad de la información, el análisis y gestión de riesgos y la eficacia, eficiencia y calidad de los controles implantados. - Norma relativa a controles y salvaguardas. Esta norma se puede alcanzar a través de la convergencia entre ISO/IEC IS 17799 e ISO/IEC 13335. La carencia de armonización entre los dos documentos introduce confusión e incertidumbre en relación con cuál es el papel específico de cada una de estas dos normas y cuál es su relación en el sentido de que puedan ser opciones alternativas. - Normas relativas a la auditoria de la gestión de la seguridad de la información. Se pueden considerar diversas fuentes como IEEE 1028, ISO 9126, ISO/IEC 12207, Guide to
Software Quality Audit of EEA y otras posibles. - Directrices relativas a la difusión y concienciación de la seguridad de la información. Enlaces a esta entrada Etiquetas: serie iso 27000 6 comentarios 20/04/06
Seis consejos básicos para recuperarse frente a contingencias Publicado por Javier Cao Avellaneda
Vía ComputerWorld, aparece un artículo titulado Top six steps toward disaster recovery. En relación a la futura aparición de una norma para la elaboración de planes de contingencia y de continuidad de negocio, aparecen en esta Web seis sencillos consejos que no quería dejar de comentar en este blog: 1.- Probar las copias de seguridad: parece evidente o de sentido común, pero como se suele decir "el sentido común no es el más común de los sentidos". Se supone que una copia de seguridad está para salvarnos cuando ya el daño se ha producido y por tanto, no es el mejor momento para comprobar que las copias se estaban realizando bien. Por tanto, dado que esta medida se hace por un motivo, que menos que tener absoluta certeza de que el paracaidas funcionará cuando estemos en el aire, ¿no? 2.-Gaste un poco de dinero en su software de backup: aunque el precio no lo es todo, hay software de gestión de copias que permiten una recuperación mucho más rápida o directa que otros. Entre elegir una copia en DVD con nero que genere 15 DVD o comprar un disco duro espejo puede haber una diferencia económica importante, pero cuando el tiempo apremia, estas horas/minutos pueden ser críticos y sobre todo rentables. Pensemos si nuestro modelo de negocio puede perder una cantidad económica importante si en una hora x, minuto y no somos capaces de enviar una información almacenada en nuestros servidores de ficheros. 3.- Semanalmente saque los soportes de copia fuera del sitio donde se encuentran los sistemas informáticos que se pretenden proteger: si tenemos copias las contingencias frente a las que podemos recuperarnos pueden ser varias. Si las copias no salen fuera, estaremos reduciendo las posibilidades de daño frente a incidentes como virus o avería que impidan el acceso a la información en los sistemas. Si además, las copias salen fuera de las instalaciones, estaremos garantizando la recuperación frente a amenazas del tipo incendio, inundación o evacuación de instalaciones. 4.- Bloquear el acceso físico a los sistemas informáticos: es cosa de matemáticas, a mas gente dando vueltas en las instalaciones donde se encuentran los sistemas informáticos, más probabilidades de que alguien haga algo que produzca daños. Por tanto, evitar y controlar todo lo posible el acceso físico a las salas donde se encuentran los sistemas de información.
5.- Establecer un plan por si la oficina se quema: siempre choca cuando se habla de planes de contingencia o negocio que a los entrevistandos se les pregunte por "-¿Que pasaría si su edificio se derrumba o queda destruido por un incencio?". Normalmente te miran con cara de "este consultor esta ido" y las respuestas siempre son "Eso aqui es casi imposible" o "eso no nos puede pasar" como si el incendio del Windsor o las inundaciones del Katrina no pudieran sucedernos por estas latitudes. En cualquier caso, mejor no tener que pensar en qué daños se han sufrido cuando ya los hechos se han producido. 6.- ¡Escribir el plan de continuidad de negocio!: esta es quizás la que a priori todo el mundo ve como la medida más inutil o farragosa, pero el tema está en que lo que no se encuentra escrito al final nunca se sabe como se va a desarrollar. El depender del criterio que se enfrenta al problema no es siempre garantía del éxito. Un plan de continuidad de negocio está para dos cosas muy sencillas y básicas: a.- Responder en frio a cuestiones que se producen en situaciones muy calientes. b.- Atender la recuperación de servicios en función de los requisitos de negocio, por tanto se recuperará primero lo que es más rentable que sea recuperado. Y eso, señores, no lo sabe el informático de turno sino la dirección. Enlaces a esta entrada Etiquetas: Continuidad de negocio 1 comentarios 11/04/06
Futuro ISO 27006, "Guías para la gestión de la continuidad de negocio" Publicado por Javier Cao Avellaneda
ISO ha anunciado un nuevo proyecto que se etiquetará ISO 27006 “Guidelines for information and communications technology disaster recovery services”, basado en SS507. La publicación se espera para noviembre del 2007. El cuerpo del borrador de norma propuesto tiene el siguiente contenido:
"0. Introduction The ICT DR Services Model or Framework - showing the foundation layer to define supporting infrastructure from which services are derived, such as policies, processes, programme, performance measurement, people and products. 1. Scope Describes the purpose of this standard, assumptions made when using this standard and what is excluded. Introduces subsequent clauses and explains their interpretation
2. Definitions Defines terms used within the standard to establish a common understanding by the readers. 3. General Guidelines Basic guidelines for the ICT DR services provision: 3.1 Environmental stability 3.2 Asset management 3.3 Proximity of services 3.4 Subscription (contention) ratio for shared services 3.5 Third party vendor management 3.6 Outsourcing arrangements 3.7 Privacy and confidentiality 3.8 Activation of subscribed services 4. Disaster Recovery Facilities Specific guidelines for the ICT DR services provision to provide a secure physical operating environment to facilitate recovery: 4.1 Physical access control 4.2 Physical facilities and security 4.3 Environmental controls 4.4 Telecommunications 4.5 Power supply 4.6 Cable management 4.7 Fire protection 4.8 Location of recovery site 4.9 Emergency operations centre 4.10 Restricted facilities 4.11 Physical facilities and equipment lifecycle 4.12 Non recovery amenities 4.13 Testing 4.14 Training and education 5. Recovery Services Capability Specific guidelines for the ICT DR services provision to develop service delivery capability supporting recovery. Besides qualified staffing, other minimum capabilities include capacity to support simultaneous invocation of disasters: 5.1 Expertise 5.2 Logical access controls 5.3 Equipment and operation readiness 5.4 Simultaneous recovery support 5.5 Levels of service 5.6 Types of service 5.7 Client testing 5.8 Changes in capability 5.9 Emergency response plan 5.10 Self-assessment
5.11 Disaster recovery training and education 6. Guidelines for Selection of Recovery Sites Provides guidelines on the factors to consider when selecting recovery sites, such as: 6.1 Infrastructure 6.2 Skilled manpower and support 6.3 Critical mass of vendors and suppliers 6.4 Local service providers’ track records 6.5 Proactive local support 7. Additional Guidelines for the Professional ICT DR Service Provider Additional guidelines for professional service providers in the provision of ICT DR services." Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios 10/04/06
Publicada la norma BS 7799-3:2006 Publicado por Javier Cao Avellaneda
Bajo el British Standar Institute ha sido publicada la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management". Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información son procesos clave si desea garantizar la seguridad de los procesos de negocio. Esta actividad de la gestión del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad. La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como: - Análisis del riesgo - Gestión del riesgo - Toma de decisiones - Revisión del análisis y gestión del riesgo. - Monitorización del perfil de riesgo - Gestión del riesgo en el contexto de la gestión corporativa - Cumplimiento con otros estandares y regulaciones basados en riesgo BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo. La información sobre este estandar puede consultarse en la BSI en la dirección BS 77993:2006 Enlaces a esta entrada Etiquetas: serie iso 27000 1 comentarios 31/03/06
Resumen de la norma ISO 27001:2005 Publicado por Javier Cao Avellaneda
En varios foros entre los que están Kriptópolis y Shell Security aparece hoy la referencia a un documento elaborado por Alejandro Corletti titulado "Análisis de ISO-27001". Un interesante y necesario trabajo que puede ser considerado muy seriamente por el ámbito empresarial, pues es un estándar que se va a comenzar a imponer en un corto plazo de tiempo, siendo la continuidad natural del ISO-17799. [...] "la sensación que deja el análisis de esta norma, es que se está gestando con toda rigurosidad este hecho, y que como cualquier otra certificación ISO, este estándar internacional ha sido desarrollado (por primera vez con relación a la seguridad, a juicio de este autor) con toda la fuerza y detalle que hacía falta para empezar a presionar al ámbito empresarial sobre su aplicación. Es decir, se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lógico, pues si se desea interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informática, sino se abren brechas de seguridad entre sí............este estándar apunta a poder exigir dichos niveles; y ya no puede caber duda que las empresas, para competir con sus productos (sean de la índole que fueren) en este mercado cibernético actual, tienen cada vez más necesidad de interrelacionar sus infraestructuras de información.....ISO-27001 en este sentido es una muy buena y sólida opción" [...] El documento consta de 12 páginas y puede descargarse en "Análisis de ISO-27001", de Alejandro Corletti. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 21/03/06
Nuevo buscador del blog Publicado por Javier Cao Avellaneda
A través del servicio proporcionado por Atomz, he añadido un pequeño buscador interno al blog con el objeto de localizar aquellos post más interesantes o referencias a documentos relevantes. Espero que así sea más comodo y facil su uso y gestión conforme vaya albergando más contenido. Enlaces a esta entrada 0 comentarios 24/01/06
Nuevo registro de certificaciones 27001. Publicado por Javier Cao Avellaneda
Ha nacido un nuevo Web, ISO27001Certificates.com cuyo principal objetivo es publicar y difundir el nuevo esquema de certificación ISO 27001. En él, podremos encontrar los diferentes esquemas de certificación en cada uno de los paises, las empresas acreditadas a nivel internacional entorno a esta nueva norma, y lo más interesante, un registro de empresas que cuentan con el nuevo sello ISO 27001. Este aspecto puede consultarse en concreto en CertificateSearch. Como nota curiosa, los resultados de la busqueda para empresas de España presenta los siguientes resultados: -Caja Madrid-Spain-IS 92805-BSI -ERICSSON ESPAÑA S.A.-Spain-IS 53616-BSI -Nextel S.A.-Spain-IS 80383-BSI -Oficina De Armonizacion del Mercado Interior-Spain-IS 80260-BSI -T-Systems ITC Services Espana S.A.U.-Spain-229846 IS-DQS GMBH Enlaces a esta entrada Etiquetas: ISO 27001 1 comentarios
31/12/05
Bloques de control ISO 17799:2005 Publicado por Javier Cao Avellaneda
Leo vía Sergio Hernando dos post que recogen la información publicada por InfosecWriters entorno a la norma ISO 17799:2005. En concreto, se han publicado dos documentos relacionados con dos bloques de control de la norma( Apartados 5 y 7 del estandar). Aquí posteo las referencias a los comentarios de Sergio Hernando y los documentos publicados por Infosecwriters. Política de Seguridad: - Política de Seguridad - Scope and implementation – Part 1 Security Policy. Inventario y control de activos: - Inventario y control de activos - ISO 17799: Asset Management Enlaces a esta entrada Etiquetas: ISO 27002 0 comentarios
Cuadros de mando para la gestión de la seguridad de la información Publicado por Javier Cao Avellaneda
Los Directores y Responsables de la seguridad están cada vez más tratando de implantar herramientas de ayuda a la toma de decisiones basadas en mediciones del estado de la seguridad. Estos "cuadros de mando de la seguridad" deben servir para orientar a los procesos de negocio entorno a los requisitos que en materia de seguridad deben garantizar. Para ello es importante contar con información y datos de los sistemas que aporten evidencias objetivas en las que basar las decisiones en base o bien a deficiencias detectadas o bien a necesidades de mejora. Dada la reciente aparición de la gestión de la seguridad como un pilar estructural dentro de las organizaciones, ocurre que en instituciones donde la seguridad no es todavía un área o proceso interno con suficiente madurez, introducir estos conceptos de medición y control suele ser complicado. Para ello, el responsable de la gestión de la seguridad debe diseñar y definir claramente una serie de métricas que le lleven a poder defender con rotundidad sus argumentos de cara a producir cambios o solucionar deficiencias de la organización. El documento que hoy referencio tiene por objetivo plantear una serie de cuestiones de cara a construir un "cuadro de mandos de la seguridad de la información" dentro de una
organización. El documento puede descargarse vía Infosecwriters en el enlace Security Metrics: Business Unit Scorecard Enlaces a esta entrada 0 comentarios 24/11/05
Comparativa ISO 17799:2000 vs ISO 17799:2005 Publicado por Javier Cao Avellaneda
En la fase de diseño del SGSI, hay un momento en donde la norma nos desvía hacia la norma ISO 17799 para realizar la selección de controles. Como ya referencié este verano en el post dedicado a la nueva versión de la ISO 17799 se han incrementado el numero de bloques de control y el numero de controles. Para aquellos que ya estaban muy familiarizados con la norma y que deseen comparar o saber cuales son las novedades, hoy posteo un documento Excel que he encontrado con esta información. Podéis descargarlo en Comparativa ISO 17799:2000 vs 17799:2005. Espero que os sea útil. Enlaces a esta entrada Etiquetas: ISO 27002 2 comentarios 05/11/05
MAGERIT 2.0 Publicado por Javier Cao Avellaneda
Ya comente en septiembre en mi Blog Seguridad de la Información que por fín había aparecido la versión 2.0 de MAGERIT, la Metodología para en análisis y la gestión del riesgo de los sistemas de información. MAGERIT fue mi bautismo en esta materia de la seguridad, al ser el primer trabajo/proyecto profesional que tuve que realizar. En aquel momento, allá por el año 1999, tuve el gusto de probar aquella nueva metodología en un entorno real y complejo como parte de un proyecto piloto del departamento de Ingeniería del Software de la Universidad
de Murcia. Dado que en la fase de construcción del SGSI aparece el Análisis de Riesgo como primera actividad importante, y dado que los objetivos de gestión van a tratar de reducir el riesgo hacia niveles aceptables, esta fase del SGSI es realmente la más crítica e importante. Para no enrollarme mucho, voy a destacar las principales novedades de MAGERIT 2.0 dado que ya he podido experimentar con ella en un pequeño proyecto de Análisis de Riesgos para una instalación hotelera. Principales novedades y mejoras: - La metodología mejorada: deja de ser algo teóricamente interesante para bajar a la arena y ser algo práctico, rápido y útil. Un análisis y gestión de riesgos (en adelante ARG) debe ser relativamente rápido de hacer principalmente porque si no puede "nacer muerto". No podemos realizar un estudio de esta envergadura en donde se identifiquen activos que al finalizar el proyecto han dejado de existir. El sentido del AGR es hacer una foto del estado y requisitos de seguridad de la organización. Los activos sustanciales es raro que cambien debido a que están muy ligados al proceso de negocio. Sin embargo, los activos relacionados con las Tecnologías de la Información si pueden cambiar más frecuentemente. La nueva metodología solo tiene tres fases: planificación, análisis y gestión. -Los conceptos de seguridad están más claros: Se han identificado y catalogado todos los activos posibles. El concepto de "propiedades del estado de la seguridad" se ha cambiado por el de "dimensiones de la seguridad". A estas dimensiones, que tradicionalmente siempre se han considerado como confidencialidad, integridad y disponibilidad (C-I-D), se añaden la autenticación de usuarios, autenticación de datos,la trazabilidad de usuarios y la trazabilidad de datos. Estas dos últimas propiedades van a ser muy necesarias en la futura Administración Electrónica dado que garantizan el saber quien, cuando, como y qué se ha hecho en un proceso telemático.
-Mejorado el modelo de elementos: otro de los problemas de MAGERIT 1.0 viene en el momento de la estimación de valores. La valoración de las amenazas y las vulnerabilidades puede llevar a confusión si no se aclaran al entrevistado bien estos conceptos. Ahora en este
nuevo modelo, tenemos que valorar la probabilidad de ocurrencia de una amenaza y el daño o degradación que causa. Es más sencillo de ver y estimar. -Nueva herramienta software de apoyo: dispone de una Herramienta software que proporciona mejores resultados. Para las Administraciones Públicas es gratuita y para los consultores y empresas es de pago. Para solicitarla, si se es Admin. Pública ir al Web del Centro Criptológico Nacional. Para empresas, hay que ir al Web AR-Tools.com -Mejores documentos finales: Tras acabar cada una de las fases se obtienen documentos con la información necesaria para tomar decisiones en materia de seguridad. Se obtienen como resultados los siguientes documentos: Inventario de activos, modelo de valor (activos y valor respecto al proceso de negocio estudiado), modelo de riesgo (riesgos detectados) y plan de seguridad. Ahora es necesario que a esta fase de la gestión de la seguridad se le asigne la importancia que tiene y que la seguridad empiece a enfocarse desde el punto de vista de la gestión y la mejora continua. Ahora tenemos formalmente este marco definido gracias a la norma ISO 27001. Quiero también destacar la gran labor que ha realizado el profesor J.A. Mañas en el desarrollo de esta metodología y su excelente visión en materia de seguridad que va abriendo y luchando por establecer esta nueva disciplina que es la gestión de la seguridad de la información. Destacar por parte del Ministerio de Administraciones Publicas a Miguel Angel Amutio, que también está intentando que la seguridad sea bien implantada en las Administraciones Públicas.
Enlaces de interes: - Ficha de MAGERIT 2.0 en el MAP - Web AR-Tools - Ficha de MAGERIT en el Centro Criptológico Nacional. Enlaces a esta entrada Etiquetas: ISO 27001 3 comentarios 21/10/05
Primer post del SGSI - ISO 27001 Publicado por Javier Cao Avellaneda
En el III aniversario del blog "Apuntes de seguridad de la información" nace hoy un hermano pequeño orientado de manera integral a la gestión de la seguridad de la información.
Ello se produce porque por fín las diferentes normas nacionales CERTIFICABLES en materia de seguridad de la información han sido consencuadas entorno a la serie ISO 27000 y dando como primera norma de este grupo la ISO "27001" denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)". La norma ISO/IEC 27001:2005 cubre todo tipo de organizaciones (empresas, instituciones gubernamentales, organizaciones sin animo de lucro). ISO/IEC 27001:2005 especifica los requisitos para establecer, implantar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información documentado en relación al contexto de la organización y sus riesgos. Especifica los requisitos para implantar controles de seguridad acordes con las necesidades individuales de la organización o las partes sobre las que se determine el alcance. ISO/IEC 27001:2005 está diseñado para garantizar una seleccion adecuada de controles de seguridad y proporcionales a los activos a proteger. También permitirá dar confianza sobre terceras partes que quieran garantizar la correcta gestión de la información en procesos externalizados. ISO/IEC 27001:2005 puede ser apropiado como base para diferentes tipos de uso entre los que destacan: - usado dentro de organizaciones para formular sus objetivos y requisitos de seguridad. - usado dentro de organizaciones como forma de garantizar la gestión del riesgo y la rentabilidad de la inversión en seguridad. - usado dentro de organizaciones para garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información - usado dentro de organizaciones como marco de procesos en la implantación y gestión de los controles que garantizen el cumplimiento de los objetivos de seguridad que la organización establezca - como definición del nuevo conjunto de procesos relacionados con la gestión de la seguridad de la información - como identificación y aclaración de los procesos de gestión de la seguridad - usado por la dirección de organizaciones para determinar y medir el estado de la seguridad en las actividades de gestión de la información. - usado por auditores internos y externos de las organizaciones para determinar el grado de cumplimiento con las políticas, directivas y normas adoptadas por la organización -usado dentro de organizaciones para proporcionar información relevante sobre sus políticas, directivas y normas de seguridad e intercambiarlas con sus clientes como una forma de demostrar y garantizar la correcta gestión de la información que en ellos se deposita -implementación para permitir la creación de nuevas actividades de negocio relacionadas con la seguridad de la información -usada dentro de organizaciones para proporcionar confianza a sus clientes respecto de la seguridad de la información que pueden proporcionar en la realización de sus servicios
View more...
Comments
