Sistema de Gestin de Seguridad de la Informacin

ISO 27001:2005

ISO 27001:2005
El diseo e implantacin de un SGSI (La parte del Sistema de Gestin Global, basada en una orientacin a riesgo de negocio, para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la informacin)se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados , el tamao, los sistemas de soporte y la estructura de la organizacin.

ISO 27001:2005

ISO 27001:2005 Origen y posicionamiento estndar

ISO (Organizacin Internacional de Estndares) e IEC (Comisin Internacional de Electrotcnia) conforman un especializado sistema especializado para los estndares mundiales. Organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a travs de comits tcnicos establecidos por la organizacin respectiva para tratar con los campos particulares de actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en los campos de inters mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en relacin con ISO e IEC, tambin forman parte del trabajo. El Estndar Internacional ISO/IEC 17799 fue preparado inicialmente por el Instituto de Normas Britnico (como BS 7799) y fue adoptado, bajo la supervisin del grupo de trabajo Tecnologas de la Informacin , del Comit Tcnico de esta unin entre ISO/IEC JTC 1, en paralelo con su aprobacin por los organismos nacionales de ISO e IEC.

ISO 27001:2005 Origen y posicionamiento estndar

El estndar ISO/IEC 27001 es el nuevo estndar oficial, su ttulo completo en realidad es: BS 7799- 2:2005 (ISO/IEC 27001:2005). Tambin fue preparado por este JTC 1 y en el subcomit SC 27, IT Security Techniques . El conjunto de estndares que aportan informacin de la familia ISO-2700x que se puede tener en cuenta son: ISO/IEC 27000 Fundamentals and vocabulary ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) Publicado el 15 de octubre del 2005 ISO/IEC 27002 Code of practice for information security management Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005 ISO/IEC 27003 ISMS implementation guidance (bajo desarrollo) ISO/IEC 27004 Information security management measurement (bajo desarrollo) ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335 MICTS Part 2) (bajo desarrollo)

ISO 27001:2005 Consideraciones clave del estndar

La propuesta de esta norma, no est orientada a despliegues tecnolgicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podra definir su propsito es O rganizar la seguridad de la informacin , por ello propone toda una secuencia de acciones tendientes al establecimiento, implemanetacin, operacin, monitorizacin, revisin, mantenimiento y mejora del ISMS (Information Security Management System) El ISMS, es el punto fuerte de este estndar. Los detalles que conforman el cuerpo de esta norma, se podran agrupar en tres grandes lneas: ISMS. Valoracin de riegos (Risk Assesment) Controles

La siguiente terminologa aplica a esta norma: Recurso (Asset): Cualquier cosa que tenga valor para la organizacin.
Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una entidad autorizada.

Confidencialidad (confidentiality): Propiedad que la informacin no est disponible o pueda ser descubierta por usuarios no autorizados, entidades o procesos.
Seguridad de la informacin: Preservacin de la confidencialidad, integridad y disponibilidad de la informacin, en adicin tambin de otras propiedades como autenticacin, autorizacin, registro de actividad, no repudio y confiabilidad pueden ser tambin consideradas. Eventos de seguridad de la informacin: Ocurrencia de un evento identificado sobre un sistema, servicio o red, cuyo estado indica una posible brecha en la poltica de seguridad de la informacin o fallo en el almacenamiento de la misma, tambin cualquier situacin previa desconocida que pueda ser relevante desde el punto de vista de la seguridad.

Incidente de seguridad: uno o varios eventos de seguridad de la informacin, no deseados o inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa y amenazan a la seguridad de la informacin.
Sistema de administracin de la seguridad de la informacin (ISMS: Information Security Management System): Parte de los sistemas de la empresa, basado en el anlisis de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la informacin. Integridad: Propiedad de salvaguardar la precisin y completitud de los recursos. Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad. Aceptacin de riesgo: Decisin de aceptar un riesgo. Anlisis de riego: Uso sistemtico de la informacin para identificar fuentes y estimar riesgos. Valoracin de riesgo: Totalidad de los procesos de anlisis y evaluacin de riesgo. Evaluacin de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.

 ACLARACIN AJENA A LA NORMA: En definitiva la Evaluacin del riesgo , es el resultado final de esta actividad, pero no debe ser pensada nicamente con relacin a Anlisis y Valoracin , sino tambin a los criterios de riesgo que la organizacin haya definido a lo largo de toda su poltica empresarial. Administracin del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observacin del riesgo dentro de la organizacin.

Tratamiento del riesgo: Proceso de seleccin e implementacin de mediciones para modificar el riesgo. Declaracin de aplicabilidad: Documento que describe los objetivos del control, y los controles que son relevantes y aplicables a la organizacin del ISMS.

DESCRIPCIN DE LOS 11 DOMINIOS DEL ESTNDARES ISO 27001 Poltica de Seguridad. Objetivo. El valor de una Poltica. Compromiso e Involucramiento de las partes. Organizacin de la Seguridad. Roles y Responsabilidades. Modelos de Estructura Organizacional. Ventajas y Desventajas. Administracin de Activos. La necesidad de hacerlo en la medida justa. Seguridad en los Recursos Humanos. La Cultura Empresarial y el Cambio Cultural. Niveles de Formacin. Seguridad Fsica y Ambiental. Objetivos y Alcances claros sobre modelos preestablecidos Administracin de las Comunicaciones y Operaciones. El Gobierno de TI. Control de Acceso. Sus Procesos y Controles Claves. Errores ms frecuentes. Adquisicin, desarrollo y mantenimiento de Sistemas de Informacin. Procesos y Controles Claves. Errores frecuentes. Administracin de Incidentes. Objetivos. Identificacin, Registro, Anlisis, Solucin y Reporte. Plan de Continuidad de Negocios. Objetivos y Alcance. Su desarrollo. Roles y Responsabilidades. Cumplimiento de Leyes y Regulaciones. El Impacto Real. Roles y Responsabilidades.

1. Poltica de seguridad.
Este grupo est constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado Desconcepto sobre lo que uno piensa que es un control, pues aqu se puede apreciar claramente la complejidad que representa el diseo, planificacin, preparacin, implementacin y revisiones de una Poltica de Seguridad (la revisin es justamente el segundo control que propone).como se mencion un Control es mucho (pero mucho), mas que eso La Poltica de Seguridad, para ser riguroso, en realidad debera dividirse en dos documentos: ISO-27001: Los Controles Alejandro Corletti Estrada Pgina 4 de 9 - Poltica de seguridad (Nivel poltico o estratgico de la organizacin): Es la mayor lnea rectora, la alta direccin. Define las grandes lneas a seguir y el nivel de compromiso de la direccin con ellas. - Plan de Seguridad (Nivel de planeamiento o tctico): Define el Cmo. Es decir, baja a un nivel ms de detalle, para dar inicio al conjunto de acciones o lneas rectoras que se debern cumplir.

2. Organizacin de la informacin de seguridad.

Este segundo grupo de controles abarca once de ellos y se subdivide en: - Organizacin Interna: Compromiso de la Direccin, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de inters en temas de seguridad, revisiones independientes. - Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a clientes y socios de negocio. Lo ms importante a destacar de este grupo son dos cosas fundamentales que abarcan a ambos subgrupos: - Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.). - Derechos y obligaciones de cualquiera de los involucrados. En este grupo de controles, lo ideal es disear e implementar una simple base de datos, que permita de forma amigable, el alta, baja y/o modificacin de cualquiera de estos campos. La redaccin de la documentacin inicial de responsables: derechos y obligaciones (para personal interno y ajeno) y el conjunto de medidas a adoptar con cada uno de ellos. Una vez lanzado este punto de partida, se debe documentar la metodologa de actualizacin, auditabildad y periodicidad de informes de la misma.

3. Administracin de recursos.
Este grupo cubre cinco controles y tambin se encuentra subdividido en: - Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos. - Clasificacin de la informacin: Guas de clasificacin y Denominacin, identificacin y tratamiento de la informacin. Este grupo es eminentemente procedimental y no aporta nada al aspecto ya conocido en seguridad de la informacin, en cuanto a que todo recurso debe estar perfectamente inventariado con el mximo detalle posible, que se debe documentar el uso adecuado de los recursos y que toda la informacin deber ser tratada de acuerdo a su nivel. En el caso de Espaa, tanto la LOPD como la LSSI han aportado bastante a que esta tarea sea efectuada con mayor responsabilidad en los ltimos aos. Tambin se puede encontrar en Internet varias referencias a la clasificacin de la informacin por niveles.

4. Seguridad de los recursos humanos.

Este grupo cubre nueve controles y tambin se encuentra subdividido en: - Antes del empleo: Responsabilidades y roles, verificaciones curriculares, trminos y condiciones de empleo. - Durante el empleo: Administracin de responsabilidades, preparacin, educacin y entrenamiento en seguridad de la informacin, medidas disciplinarias. - Finalizacin o cambio de empleo: Finalizacin de responsabilidades, devolucin de recursos, revocacin de derechos. Este grupo, en la actualidad, debe ser el gran ausente en la mayora de las organizaciones. Se trata de un serio trabajo a realizar entre RRHH y los responsables de Seguridad de la Informacin de la organizacin. Se debe partir por la redaccin de la documentacin necesaria para la contratacin de personal y la revocacin de sus contratos (por solicitud, cambio o despido). En la misma deber quedar bien claro las acciones a seguir para los diferentes perfiles de la organizacin, basados en la responsabilidad de manejo de informacin que tenga ese puesto. Como se pueda apreciar, tanto la contratacin como el cese de un puesto, es una actividad conjunta de estas dos reas, y cada paso deber ser coordinado, segn la documentacin confeccionada, para que no se pueda pasar por alto ningn detalle, pues son justamente estas pequeas omisiones de las que luego resulta el haber quedado con alta dependencia tcnica de personas cuyo perfil es peligroso, o que al tiempo de haberse ido, mantiene accesos o permisos que no se debieran (casos muy comunes).

5. Seguridad fsica y del entorno.

Este grupo cubre trece controles y tambin se encuentra subdividido en: - reas de seguridad: Seguridad fsica y perimetral, control fsico de entradas, seguridad de locales edificios y recursos, proteccin contra amenazas externas y del entorno, el trabajo en reas e seguridad, accesos pblicos, reas de entrega y carga. - Seguridad de elementos: Ubicacin y proteccin de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organizacin, seguridad en la redistribucin o reutilizacin de equipamiento, borrado de informacin y/o software. A juicio del autor, uno de los mejores resultados que se pueden obtener en la organizacin de una infraestructura de seguridad de la informacin, est en plantearla siempre por niveles. Tal vez no sea necesario hacerlo con el detalle de los siete niveles del modelo ISO/OSI, pero s por lo menos de acuerdo al modelo TCP/IP que algunos consideran de cuatro (Integrando fsico y enlace) y otros de cinco niveles.

6. Administracin de las comunicaciones y operaciones.

Este grupo comprende treinta y dos controles, es el ms extenso de todos y se divide en: -Procedimientos operacionales y responsabilidades: Tiene como objetivo asegurar la correcta y segura operacin de la informacin, comprende cuatro controles. Hace especial hincapi en documentar todos los procedimientos, manteniendo los mismos y disponibles a todos los usuarios que los necesiten, segregando adecuadamente los servicios y las responsabilidades para evitar uso inadecuado de los mismos. - Administracin de prestacin de servicios de terceras partes: Abarca tres controles, se refiere fundamentalmente, como su nombre lo indica, a los casos en los cuales se encuentran tercerizadas determinadas tareas o servicios del propio sistema informtico.

- Planificacin y aceptacin de sistemas: El objetivo es realizar una adecuada metodologa para que al entrar en produccin cualquier sistema, se pueda minimizar el riesgo de fallos. De acuerdo a la magnitud de la empresa y al impacto del sistema a considerar, siempre esuna muy buena medida la realizacin de maquetas. Estas maquetas deberan acercarse todo lo posible al entorno en produccin, para que sus pruebas de funcionamiento sean lo ms veraces posibles, simulando ambientes de trabajo lo ms parecidos al futuro de ese sistema (Hardware y Software, red, carga de operaciones y transacciones, etc.), cuanto mejor calidad y tiempo se dedique a estas maquetas, menor ser la probabilidad de fallos posteriores, es una relacin inversamente proporcional que se cumple en la inmensa mayora de los casos. - Proteccin contra cdigo mvil y maligno: el objetivo de este apartado es la proteccin de la integridad del software y la informacin almacenada en los sistemas.

 - Resguardo: El objetivo de esta apartado conceptualmente es muy similar al anterior, comprende un solo control que remarca la necesidad de las copias de respaldo y recuperacin. Siguiendo la misma insistencia del prrafo precedente, de nada sirve realizar copias de respaldo y recuperacin, sino se prepara al personal e implementan las mismas con prcticas y procedimientos. - Administracin de la seguridad de redes: Los dos controles que conforman este apartado hacen hincapi en la necesidad de administrar y controlar lo que sucede en nuestra red, es decir, implementar todas las medidas posibles para evitar amenazas, manteniendo la seguridad de los sistemas y aplicaciones a travs del conocimiento de la informacin que circula por ella. Se deben implementar controles tcnicos, que evalen permanentemente los servicios que la red ofrece, tanto propios como tercerizados.

- Manejo de medios: En esta traduccin, como medio debe entenderse todo elemento capaz de almacenar informacin (discos, cintas, papeles, etc. tanto fijos como removibles). Por lo tanto el objetivo de este grupo es, a travs de sus cuatro controles, prevenir la difusin, modificacin, borrado o destruccin de cualquiera de ellos o lo que en ellos se guarda. - Intercambios de informacin: Este grupo contempla el conjunto de medidas a considerar para cualquier tipo de intercambio de informacin, tanto en lnea como fuera de ella, y para movimientos internos o externos de la organizacin. - Servicios de comercio electrnico: Este grupo, supone que la empresa sea la prestadora de servicios de comercio electrnico, es decir, no aplica a que los empleados realicen una transaccin, por parte de la empresa o por cuenta propia, con un servidor ajeno a la misma. - Monitorizacin: Este apartado tiene como objetivo la deteccin de actividades no autorizadas en la red y rene seis controles.

7. Control de accesos.

No se debe confundir la actividad de control de accesos con autenticacin, esta ltima tiene por misin identificar que verdaderamente sea, quien dice ser. El control de acceso es posterior a la autenticacin y debe regular que el usuario autenticado, acceda nicamente a los recursos sobre los cuales tenga derecho y a ningn otro, es decir que tiene dos tareas derivadas: Encauzar (o enjaular) al usuario debidamente. Verificar el desvo de cualquier acceso, fuera de lo correcto. El control de acceso es una de las actividades ms importantes de la arquitectura de seguridad de un sistema. Al igual que sucede en el mundo de la seguridad fsica, cualquiera que ha tenido que acceder a una caja de seguridad bancaria vivi como a medida que uno de llegando a reas de mayor criticidad

8. Adquisicin de sistemas de informacin, desarrollo y mantenimiento.

Este grupo rene dieciseis controles. - Requerimientos de seguridad de los sistemas de informacin: Este primer grupo que incluye un solo control, plantea la necesidad de realizar un anlisis de los requerimientos que deben exigirse a los sistemas de informacin, desde el punto de vista de la seguridad para cumplir con las necesidades del negocio de cada empresa en particular, para poder garantizar que la seguridad sea una parte integral de los sistemas. - Procesamiento correcto en aplicaciones: En este grupo se presentan cuatro controles, cuya misin es el correcto tratamiento de la informacin en las aplicaciones de la empresa. Para ello las medidas a adoptar son, validacin en la entrada de datos, la implementacin de controles internos en el procesamiento de al informacin para verificar o detectar cualquier corrupcin de la informacin a travs de los procesos, tanto por error como intencionalmente, la adopcin de medidas par asegurar y proteger los mensajes de integridad de las aplicaciones. Y por ltimo la validacin en la salida de datos, para asegurar que los datos procesados, y su posterior tratamiento o almacenamiento, sea apropiado a los requerimientos de esa aplicacin. - Controles criptogrficos: Nuevamente se recalca este objetivo de la criptografa de proteger la integridad , confidencialidad y autenticidad de la informacin. En este caso, a travs de dos controles, lo que propone es desarrollar una adecuada poltica de empleo de estos controles criptogrficos y administrar las calves que se emplean de forma consciente.

- Seguridad en los sistemas de archivos: La Seguridad en los sistemas de archivos, independientemente que existan sistemas operativos ms robustos que otros en sus tcnicas de archivos y directorios, es una de las actividades sobre las que se debe hacer un esfuerzo tcnico adicional, pues en general existen muchas herramientas para robustecerlos, pero no suelen usarse. - Seguridad en el desarrollo y soporte a procesos: Este apartado cubre cinco controles cuya finalidad est orientada hacia los cambios que sufre todo sistema. - Administracin tcnica de vulnerabilidades: Toda vulnerabilidad que sucede en un sistema de informacin, tarde o temprano se describe con todo lujo de detalles en Internet. Las palabras claves de esto son tarde o temprano, pues cuanto antes se tenga conocimiento de una debilidad y las medidas adecuadas para solucionarlas, mejor ser para la organizacin.

9. Administracin de los incidentes de seguridad.

Todo lo relativo a incidentes de seguridad queda resumido a dos formas de proceder: - Proteger y proceder. - Seguir y perseguir. Este viejo planteo (que hemos mencionado varias veces), viene desde la RFC (Request For Comments) 1244, que fue uno de los primeros estndares que regulariz la Poltica de Seguridad. Tal vez no sea la mejor traduccin de estos dos procederes, pero lo que trata de poner de manifiesto es que ante un incidente, quien no posea la capacidad suficiente solo puede Proceder y proteger, es decir cerrar, apagar, desconectar, etccon ello momentneamente solucionar el problema, pero al volver sus sistemas al rgimen de trabajo normal el problema tarde o temprano volver pues no se erradicaron sus causas. La segunda opcin, en cambio, propone verdaderamente Convivir con el enemigo, y permite ir analizando paso a paso su accionar, llegar a comprender todo el detalle de su tarea y entonces s erradicarlo definitivamente. Por supuesto este ltimo trabajo, requiere estar preparado y contar con los medios y recursos. En definitiva, es esto lo que trata de dejar claro este punto de la norma a travs de los cinco controles que agrupa, y subdivide en: - Reportes de eventos de seguridad de la informacin y debilidades. - Administracin de incidentes de seguridad de la informacin y mejoras.

10. Administracin de la continuidad de negocio.

Este grupo cubre nuevamente cinco controles y los presenta a travs de un solo grupo: - Aspectos de seguridad de la informacin en la continuidad del negocio. Este grupo tiene como objetivo contemplar todas las medidas tendientes a que los sistemas no hagan sufrir interrupciones sobre la actividad que realiza la empresa. Hoy en da los sistemas informticos son uno de los pilares fundamentales de toda empresa, independientemente de la actividad que realice, ya se puede afirmar que no existe ninguna que no tenga un cierto grado de dependencia con estas tecnologas. Cualquier anomala de sus sistemas repercute en el negocio de la empresa y por supuesto esto debera ser lo mnimo posible.

11. Marco Legal y buenas prcticas (legales, de estndares, tcnicas y auditoras).

Este grupo cubre diez controles. Es uno de los aspectos ms dbiles que en estos momentos posee la norma, pues la aplicacin de la misma en cada Pas, debe estar de acuerdo a las bases y regulaciones legales del mismo, las cuales slo son consideradas, una vez que las organizaciones de estandarizacin correspondientes adecuan el estndar Ingls a cada Pas respectivo. Para poner como ejemplo, en el caso de Espaa, no puede (o no debera) ser posible la certificacin de una empresa que no de cumplimiento a la LSSI, LOPD, leyes de regulacin de las telecomunicaciones, interceptacin legal, etcEstos aspectos ningn auditor certificado en BSI, ISACA internacionalmente, etc. tiene porqu conocerlos, como tampoco tendr la base suficiente para controlarlos con la rigurosidad que esto implica, y por lo tanto, puede suceder (o ya sucede?....) que existan empresas que se estn certificando en esta norma y no cumplan estrictamente con las bases legales de cada Pas.