IMPLEMENTACIÓN DE UN SGSI

IMPLEMENTACIÓN DE UN SGSI Definir la Ruta para un Proyecto de SGSI de forma simple y con sentido común.

Resumen de Buenas Practicas del Gobierno de TI y los aspectos a contemplar en su Implementación.

2012

1

ITCP ITCP ITCP ITCP

Aspectos para la implementación dAspectos para la implementación dAspectos para la implementación dAspectos para la implementación de una SGSI.e una SGSI.e una SGSI.e una SGSI.

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN – SGSI

Sistema de Gestión de la Seguridad de la Información El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

¿Qué es un SGSI? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información:

• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

¿Para qué sirve un SGSI? La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos. Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y

2

ITCP ITCP ITCP ITCP


conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos. El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Premisas a cumplir en la implementación de SGSI: En este documento se recomiendan seguir los estándares de la informática que se mencionan a continuación:

1.- INFORMACIÓN Y SISTEMA INFORMÁTICO 2.- ASPECTOS CLAVE EN LA SSI 3.- DEFINICIÓN DE SEGURIDAD INFORMÁTICA

• Confidencialidad

• Integridad

• Disponibilidad

• Autenticidad

• Imposibilidad de rechazo

• Consistencia

• Aislamiento

• Auditoría 4.- POLÍTICA DE SEGURIDAD 5.- ANÁLISIS Y GESTIÓN DE RIESGOS 6.- VULNERABILIDAD, AMENAZAS Y CONTRAMEDIDAS

• Vulnerabilidad

• Amenaza

• Contramedida 7.- TIPOS DE VULNERABILIDAD

• Vulnerabilidad física

• Vulnerabilidad natural

• Vulnerabilidad del hardware y del software

• Vulnerabilidad de los medios o dispositivos

• Vulnerabilidad por emanación

3

ITCP ITCP ITCP ITCP


• Vulnerabilidad de las comunicaciones

• Vulnerabilidad humana

8.- TIPOS DE AMENAZAS

• Intercepción

• Modificación

• Interrupción

• Generación

• Amenazas naturales o físicas

• Amenazas involuntarias

• Amenazas intencionadas

9.- TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS

• Medidas físicas

• Medidas lógicas

• Medidas administrativas

• Medidas legales

10.- PLANES DE CONTINGENCIA 11.- PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD INFORMÁTICA

• Principio de menor privilegio

• La seguridad no se obtiene a través de la oscuridad

• Principio del eslabón más débil

• Defensa en profundidad

• Punto de control centralizado 12.- SEGURIDAD EN CASO DE FALLO

• Participación universal

• Simplicidad

Ente regulador de Normas ISO en Guatemala es: Coguanor.org La certificación de Auditor Líder se puede gestionar en dicha institución.

Retos de la implementación de un SGSI: Existen 3 grandes obstáculos a vencer:

• Cultura de la Organización.

• Alinear la SGSI con la estrategia del negocio.

• Comunicar adecuadamente SI.

Implementar un SGSI es un Proyecto? La respuesta es simple: “SI” ya que se realiza con alcance especifico, tiempo y costo especificados por la misma. Además de velar por la calidad y el control de cambios respectivo, por lo que es recomendable que se maneje como un proyecto.

4

ITCP ITCP ITCP ITCP


¿Qué incluye un SGSI? En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:

Documentos de Nivel 1: Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

Documentos de Nivel 2: Procesos y Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

Documentos de Nivel 3 Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Documentos de Nivel 4 Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio):

Manual de Seguridad.

Procesos y Procedimientos.

Instruccion, Listas de Verificacion, Formularios.

Registros

5

ITCP ITCP ITCP ITCP


• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).

• Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.

• Procesos y Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.

• Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables .

• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.• Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionarlos riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.

• Procesos y Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.

• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.

• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.

Control de la documentación Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para:

• Aprobar documentos apropiados antes de su emisión.

• Revisar y actualizar documentos cuando sea necesario y renovar su validez.

• Garantizar que los cambios y el estado actual de revisión de los documentos están identificados.

• Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo.

• Garantizar que los documentos se mantienen legibles y fácilmente identificables.

• Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables según su clasificación.

• Garantizar que los documentos procedentes del exterior están identificados.

• Garantizar que la distribución de documentos está controlada.

• Prevenir la utilización de documentos obsoletos.

• Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.

6

ITCP ITCP ITCP ITCP


¿Cómo se implementa un SGSI? Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

• Plan (planificar): establecer el SGSI.

• Do (hacer): implementar y utilizar el SGSI.

• Check (verificar): monitorizar y revisar el SGSI.

• Act (actuar): mantener y mejorar el SGSI.

Plan: Establecer el SGSIPlan: Establecer el SGSIPlan: Establecer el SGSIPlan: Establecer el SGSI

• Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.

• Definir una política de seguridad que: – Incluya el marco general y los objetivos de seguridad de la información dela organización; – Considere requerimientos legales o contractuales relativos a la seguridad de la información;

• Esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI;

• Establezca los criterios con los que se va a evaluar el riesgo;

• Esté aprobada por la dirección. Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia).

7

ITCP ITCP ITCP ITCP


Identificar los riesgos:

• Identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios;

• Identificar las amenazas en relación a los activos;

• Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas;

• Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.

Analizar y evaluar los riesgos:

• Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información;

• Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados;

• Estimar los niveles de riesgo;

• Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: • Aplicar controles adecuados;

• Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos;

• Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;

• Transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de outsourcing.

• Seleccionar los objetivos de control y los controles del Anexo A de ISO27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo.

• Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del SGSI.

8

ITCP ITCP ITCP ITCP


Definir una declaración de aplicabilidad que incluya: Definir una declaración de aplicabilidad que incluya: Definir una declaración de aplicabilidad que incluya: Definir una declaración de aplicabilidad que incluya:

• Los objetivos de control y controles seleccionados y los motivos para su elección;

• Los objetivos de control y controles que actualmente ya están implantados;

• Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias. En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO17799) proporciona una completa guía de implantación que contiene 133 controles, según 39 objetivos de control agrupados en

11 dominios. Esta norma es referenciada en ISO 27001, en su segunda cláusula, en términos de “documento indispensable para la aplicación de este documento” y deja abierta la posibilidad de incluir controles adicionales en el caso de que la guía no contemplase todas las necesidades particulares.

Gestión de Riesgos

Planificar• Definir:

• Alcance• Politica• Metodologia

Identificar y Analizar• Identificar :

• Activos.• Amenazas.• Vulnerabilidades.

• Analizar:• Riesgos.• Costo / Beneficio.

Dirección.

• Decidir Tratamiento de Riesgos.

• Aceptar Riesgo Residual.

Mitigar Riesgo

• Controles.• Seleccionar.• SOA.• Implamantar

Transferir Riesgo

• Seguros.• Proveedores.

Aceptar Riesgo

• No hacer Nada.

Evitar Riesgo.

• Cese de la Actividad que lo Origina.

9

ITCP ITCP ITCP ITCP


Do: Implementar y utilizar el SGSIDo: Implementar y utilizar el SGSIDo: Implementar y utilizar el SGSIDo: Implementar y utilizar el SGSI

• Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.

• Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.

• Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.

• Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles.

• Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal.

• Gestionar las operaciones del SGSI.

• Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.

• Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.

Check: Monitorizar y revisar el SGSICheck: Monitorizar y revisar el SGSICheck: Monitorizar y revisar el SGSICheck: Monitorizar y revisar el SGSI

La organización deberá:

• Ejecutar procedimientos de monitorización y revisión para:

• Detectar a tiempo los errores en los resultados generados por el procesamiento de la información;

• Identificar brechas e incidentes de seguridad;

• Ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto;

• Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;

• Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.

• Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.

• Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.

• Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-.

• Realizar periódicamente auditorías internas del SGSI en intervalos planificados.

• Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.

• Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión.

• Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.

10

ITCP ITCP ITCP ITCP


Act: Mantener y mejorar el SGSIAct: Mantener y mejorar el SGSIAct: Mantener y mejorar el SGSIAct: Mantener y mejorar el SGSI

La organización deberá regularmente:

• Implantar en el SGSI las mejoras identificadas.

• Realizar las acciones preventivas y correctivas adecuadas en relación a la cláusula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.

• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.

• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están implantados en su totalidad.

¿Qué tareas tiene la Gerencia en un SGSI? Uno de los componentes primordiales en la implantación exitosa de un Sistema de Gestión de Seguridad de la Información es la implicación de la dirección. No se trata de una expresión retórica, sino que debe asumirse desde un principio que un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones y acciones que sólo puede tomar la gerencia de la organización. No se debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada a niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son responsabilidad y decisión de la dirección. El término Dirección debe contemplarse siempre desde el punto de vista del alcance del SGSI. Es decir, se refiere al nivel más alto de gerencia de la parte de la organización afectada por el SGSI (recuérdese que el alcance no tiene por qué ser toda la organización). Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la dirección se detallan en los siguientes puntos:

Compromiso de la dirección La dirección de la organización debe comprometerse con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI. Para ello, debe tomar las siguientes iniciativas:

• Establecer una política de seguridad de la información.

• Asegurarse de que se establecen objetivos y planes del SGSI.

• Establecer roles y responsabilidades de seguridad de la información.

• Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad, como sus responsabilidades legales y la necesidad de mejora continua.

• Asignar suficientes recursos al SGSI en todas sus fases.

• Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.

11

ITCP ITCP ITCP ITCP


• Estructurar los DNA de confidencialidad con el personal de la organización.

• Asegurar que se realizan auditorías internas.

• Realizar revisiones del SGSI, como se detalla más adelante.

Asignación de recursos Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la dirección garantizar que se asignan los suficientes para:

• Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.

• Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de negocio.

• Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones contractuales de seguridad.

• Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada.

• Realizar revisiones cuando sea necesario y actuar adecuadamente segúnlos resultados de las mismas.

• Mejorar la eficacia del SGSI donde sea necesario.

• Incorporar la Tecno vigilancia dentro del plan de trabajo.

Formación y concienciación La formación y la concienciación en seguridad de la información son elementos básicos para el éxito de un SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le asignen responsabilidades definidas en el SGSI esté suficientemente capacitado. Se deberá:

• Determinar las competencias necesarias para el personal que realiza tareas en aplicación del SGSI.

• Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej., contratación del personal ya formado.

• Evaluar la eficacia de las acciones realizadas.

• Mantener registros de estudios, formación, habilidades, experiencia y cualificación. Además, la dirección debe asegurar que todo el personal relevante esté concienciado de la importancia de sus actividades de seguridad de la información y de cómo contribuye a la consecución de los objetivos del SGSI.

• Informar de la Ingenieria Social utilizada para extraer información.

Revisión del SGSI A la dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar:

• Resultados de auditorías y revisiones del SGSI.

• Observaciones de todas las partes interesadas.

• Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia del SGSI.

• Información sobre el estado de acciones preventivas y correctivas.

• Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores.

• Resultados de las mediciones de eficacia.

12

ITCP ITCP ITCP ITCP


• Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.

• Cualquier cambio que pueda afectar al SGSI.

Recomendaciones de mejora. Basándose en todas estas informaciones, la dirección debe revisar el SGSI y tomar decisiones y acciones relativas a:

• Mejora de la eficacia del SGSI.

• Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.

• Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos.

• Necesidades de recursos.

• Mejora de la forma de medir la efectividad de los controles.

¿Se integra un SGSI con otros sistemas de gestión? Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información. La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la información. Las empresas tienen la posibilidad de implantar un número variable de estos sistemas de gestión para mejorar la organización y beneficios sin imponer una carga a la organización. El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos estos estándares. Las facilidades para la integración de las normas ISO son evidentes mediante la consulta de sus anexos. ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación existente y se puede intuir la posibilidad de integrar el sistema de gestión de seguridad de la información en los sistemas de gestión existentes ya en la organización. Algunos puntos que suponen una novedad en ISO 27001 frente a otros estándares son la evaluación de riesgos y el establecimiento de una declaración de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al resto de normas en un futuro. En las secciones de FAQS y de Artículos del documento, podrá encontrar más informaciones acerca de la integración del SGSI con otros sistemas de gestión.

ISO 27000 La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.

13

ITCP ITCP ITCP ITCP


Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.

Origen

Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:

• 1979 Publicación BS 5750 - ahora ISO 9001

• 1992 Publicación BS 7750 - ahora ISO 14001

• 1996 Publicación BS 8800 - ahora OHSAS 18001 La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

14

ITCP ITCP ITCP ITCP


En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. La serie 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste. ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros países donde también está publicada en español son, por ejemplo, Colombia, Venezuela y Argentina. El original en inglés y la traducción al francés pueden adquirirse en ISO.org. ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005.

15

ITCP ITCP ITCP ITCP


En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en ISO.org. ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org. ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org. ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI. ISO 27011: En fase de desarrollo; su fecha prevista de publicación es Enero de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones). ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciber seguridad. ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes,

16

ITCP ITCP ITCP ITCP


escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante

gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e

implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028. ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones. ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información (palabras y números, grabaciones sonoras, dibujos, vídeos e imágenes médicas), sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la información siempre debe estar adecuadamente protegida. El original en inglés o francés puede adquirirse en ISO.org.

Contenido En esta sección se hace un breve resumen del contenido de las normas ISO 27001, ISO 27002, ISO 27006 e ISO 27799. Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas. Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia organización: http://www.iso.org/iso/en/prods-services/ISOstore/store.html Las normas en español pueden adquirirse en España en AENOR (vea en la sección Serie 27000 cuáles están ya traducidas): http://www.aenor.es/desarrollo/normalizacion/normas/buscadornormas.asp Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de Enlaces, bajo Acreditación y Normalización. ISO 27001:2005

• Introducción: generalidades e introducción al método PDCA.

• Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones.

• Normas para consulta: otras normas que sirven de referencia.

• Términos y definiciones: breve descripción de los términos más usados en la norma.

• Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma.

17

ITCP ITCP ITCP ITCP


• Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal.

• Auditorías internas del SGSI: cómo realizar las auditorías internas de control y cumplimiento.

• Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección.

• Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas.

• Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005.

• Relación con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.

• Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001.

• Bibliografía: normas y publicaciones de referencia. ISO 27002:2005 (anterior ISO 17799:2005)

• Introducción: conceptos generales de seguridad de la información y SGSI.

• Campo de aplicación: se especifica el objetivo de la norma.


• Estructura del estándar: descripción de la estructura de la norma.

• Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.

• Política de seguridad: documento de política de seguridad y su gestión.

• Aspectos organizativos de la seguridad de la información: organización interna; terceros.

• Gestión de activos: responsabilidad sobre los activos; clasificación de la información.

• Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo.

• Seguridad física y ambiental: áreas seguras; seguridad de los equipos.

• Gestión de comunicaciones y operaciones: responsabilidades y procedimientos de operación; gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; manipulación de los soportes; intercambio de información; servicios de comercio electrónico; supervisión.

• Control de acceso: requisitos de negocio para el control de acceso; gestión de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo.

• Adquisición, desarrollo y mantenimiento de los sistemas de información: requisitos de seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica.

• Gestión de incidentes de seguridad de la información: notificación de eventos y puntos débiles de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras.

• Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la continuidad del negocio.

• Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.

• Bibliografía: normas y publicaciones de referencia.

18

ITCP ITCP ITCP ITCP


Puede descargarse una lista de todos los controles que contiene esta norma aquí: http://www.iso27000.es/download/ControlesISO27002-2005.pdf ISO 27006:2007

(Esta norma referencia directamente a muchas cláusulas de ISO 17021 - requisitos de entidades de auditoría y certificación de sistemas de gestión-, por lo que es recomendable disponer también de dicha norma, que puede adquirirse en español en AENOR).

• Preámbulo: presentación de las organizaciones ISO e IEC y sus actividades.

• Introducción: antecedentes de ISO 27006 y guía de uso para la norma.

• Campo de aplicación: a quién aplica este estándar.

• Referencias normativas: otras normas que sirven de referencia.


• Principios: principios que rigen esta norma.

• Requisitos generales: aspectos generales que deben cumplir las entidades de certificación de SGSIs.

• Requisitos estructurales: estructura organizativa que deben tener las entidades de certificación de SGSIs.

• Requisitos en cuanto a recursos: competencias requeridas para el personal de dirección, administración y auditoría de la entidad de certificación, así como para auditores externos, expertos técnicos externos y subcontratas.

• Requisitos de información: información pública, documentos de certificación, relación de clientes certificados, referencias a la certificación y marcas, confidencialidad e intercambio de información entre la entidad de certificación y sus clientes.

• Requisitos del proceso: requisitos generales del proceso de certificación, auditoría inicial y certificación, auditorías de seguimiento, recertificación, auditorías especiales, suspensión, retirada o modificación de alcance de la certificación, apelaciones, reclamaciones y registros de solicitantes y clientes.

• Requisitos del sistema de gestión de entidades de certificación: opciones, opción 1 (requisitos del sistema de gestión de acuerdo con ISO 9001) y opción 2 (requisitos del sistema de gestión general).

• Anexo A - Análisis de la complejidad de la organización de un cliente y aspectos específicos del sector: potencial de riesgo de la organización. (tabla orientativa) y categorías de riesgo de la seguridad de la información específicas del sector de actividad.

• Anexo B - Áreas de ejemplo de competencia del auditor: consideraciones de competencia general y consideraciones de competencia específica (conocimiento de los controles del Anexo A de ISO 27001:2005 y conocimientos sobre SGSIs).

• Anexo C - Tiempos de auditoría: introducción, procedimiento para determinar la duración de la auditoría y tabla de tiempos de auditoría (incluyendo comparativa con tiempos de auditoría de sistemas de calidad - ISO 9001- y medioambientales -ISO 14001-).

• Anexo D - Guía para la revisión de controles implantados del Anexo A de ISO 27001:2005: tabla de apoyo para el auditor sobre cómo auditar los controles, sean organizativos o técnicos.

ISO 27799:2008

Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002).

19

ITCP ITCP ITCP ITCP


Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma.

• Alcance

• Referencias (Normativas)

• Terminología

• Simbología

• Seguridad de la información sanitaria (Objetivos; Seguridad en el gobierno de la información; Infomación sanitara a proteger; Amenazas y vulnerabilidades)

• Plan de acción práctico para implantar ISO 17799/27002 (Taxonomía; Acuerdo de la dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing)

• Implicaciones sanitarias de ISO 17799/27002 (Política de seguridad de la información; Organización; gestión de activos; RRHH; Físicos; Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal)

• Anexo A: Amenazas

• Anexo B: Tareas y documentación de un SGSI

• Anexo C: Beneficios potenciales y atributos de herramientas

• Anexo D: Estándares relacionados.

Beneficios

• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

• Reducción del riesgo de pérdida, robo o corrupción de información.

• Los clientes tienen acceso a la información a través medidas de seguridad.

• Los riesgos y sus controles son continuamente revisados.

• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.

• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.

• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).

• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.

• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

• Confianza y reglas claras para las personas de la organización.

• Reducción de costes y mejora de los procesos y servicio.

• Aumento de la motivación y satisfacción del personal.

• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

¿Cómo adaptarse?

20

ITCP ITCP ITCP ITCP


Arranque del proyectoArranque del proyectoArranque del proyectoArranque del proyecto

21

ITCP ITCP ITCP ITCP


Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección.

Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

PlanificaciónPlanificaciónPlanificaciónPlanificación

Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado.

• Definir política de seguridad: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general, establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política de seguridad es un documento

22

ITCP ITCP ITCP ITCP


muy general, una especie de "declaración de intenciones" de la Dirección, por lo que no pasará de dos o tres páginas.

• Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cómo definirla (en el futuro, ISO 27005 proporcionará ayuda en este sentido). El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.

• Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI.

• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.

• Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos.

• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.

• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing).

• Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si se consideran necesarios.

• Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. El riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente en ningún caso).

• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

ImplementaciónImplementaciónImplementaciónImplementación

• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.

• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados.

• Implementar los controles: todos los que se seleccionaron en la fase anterior.

• Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información.

• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.

• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.

• Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.

23

ITCP ITCP ITCP ITCP


SeguimientoSeguimientoSeguimientoSeguimiento

Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la información están desarrollándose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces.

• Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados.

• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.

• Revisar regularmente la evaluación de riesgos: los cambios en la organización, tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.

• Realizar regularmente auditorías internas: para determinar si los controles, procesos y

procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado.

• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información.

• Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones.

• Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

Mejora continuaMejora continuaMejora continuaMejora continua

• Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior.

• Acciones correctivas: para solucionar no conformidades detectadas.

• Acciones preventivas: para prevenir potenciales no conformidades.

• Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.

• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.

Aspectos ClaveAspectos ClaveAspectos ClaveAspectos Clave FundamentalesFundamentalesFundamentalesFundamentales

• Compromiso y apoyo de la Dirección de la organización.

• Definición clara de un alcance apropiado.

• Concienciación y formación del personal.

• Evaluación de riesgos exhaustiva y adecuada a la organización.

• Compromiso de mejora continua.

• Establecimiento de políticas y normas.

• Organización y comunicación.

• Integración del SGSI en la organización. Factores de éxitoFactores de éxitoFactores de éxitoFactores de éxito

• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

24

ITCP ITCP ITCP ITCP


• Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de mejora.

• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).

• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

• La seguridad no es un producto, es un proceso.

• La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.

• La seguridad debe ser inherente a los procesos de información y del negocio. RiesgosRiesgosRiesgosRiesgos

• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.

• Temor ante el cambio: resistencia de las personas.

• Discrepancias en los comités de dirección.

• Delegación de todas las responsabilidades en departamentos técnicos.

• No asumir que la seguridad de la información es inherente a los procesos de negocio. Planes de formación y concienciación inadecuados. Calendario de revisiones que no se puedan cumplir. Definición poco clara del alcance. Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. Falta de comunicación de los progresos al personal de la organización. Consejos básicosConsejos básicosConsejos básicosConsejos básicos

• Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases.

• Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación; adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con asesoramiento de consultores externos especializados.

• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

• La autoridad y compromiso decidido de la Dirección de la empresa –incluso si al inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la norma.

• La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito.

• No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener información relativa a la gestión de la seguridad de la información de otros métodos y marcos reconocidos.

• Servirse de lo ya implementado: otros estándares como ISO 9001 son útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a auditores internos y responsables de otros sistemas de gestión.

• Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.

25

ITCP ITCP ITCP ITCP


• Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificación para demostrar que el SGSI funciona adecuadamente.

Otros EstándaresOtros EstándaresOtros EstándaresOtros Estándares

Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos. Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001 con un menor esfuerzo. En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuación una selección de los estándares y métodos de referencia más conocidos y relevantes. Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en todo el mundo. ISO/IEC 20000ISO/IEC 20000ISO/IEC 20000ISO/IEC 20000

Es el primer estándar internacional certificable para la gestión de servicios TI. Proviene del estándar británico BS 15000. ISO 20000-1: especificaciones en las cuales se describe la adopción de un proceso de mejora integrado para el desempeño y gestión de los servicios acorde a los requisitos del negocio y del cliente. Este documento comprende 10 secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación e implantación de servicios nuevos o modificados”, “Proceso de entrega de servicios”, “Procesos de relación”, “Procesos de resolución”, “Procesos de control” y “Procesos de liberación”. ISO 20000-2: código de prácticas donde se describen las mejores prácticas para la gestión de los servicios y dentro del ámbito indicado por la norma ISO 20000-1. ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores prácticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de obligada aplicación para la implantación en la norma ISO 20000, sí suele ser una adecuada referencia para aquellas organizaciones que desean la implantación de éste norma mediante la introducción de un paso intermedio.

26

ITCP ITCP ITCP ITCP


ITILITILITILITIL

“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios.

Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura lógica para mejor comprensión en su publicación y difusión.

27

ITCP ITCP ITCP ITCP


ITIL sirve de base para el estándar ISO 20000 y consta de 7 bloques principales: “Managers Set”, “Service Support”, “Service Delivery”, “Software Support”, “Networks”, “Computer Operations” y “Environmental”: Las áreas cubiertas por ITIL en cada documento publicado por la OGC son:

• Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado además de la mejor forma posible.

• Entrega del servicio: administración de los servicios de soporte y mantenimiento que se prestan al cliente.

• Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada organización.

• Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de vida de las aplicaciones, centrándose sobre todo en definición de requisitos e implementación de soluciones.

• Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión de la administración de sistemas como máquinas, redes o sistemas operativos, entre otros.

• Administración de seguridad: proceso para la implantación de requerimientos de seguridad; relaciona las áreas ITIL de soporte y entrega de servicio.

• Administración de activos de software: pautas necesarias para la gestión del software adquirido y/o de desarrollo propio.

• Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de externalización y gestión del cambio, entre otro

COBITCOBITCOBITCOBIT

El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI.

Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa.

28

ITCP ITCP ITCP ITCP


Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologías de la información y similares). Se trata de un marco compatible con ISO 27002 (anterior ISO

17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por COBIT están más cerca de adaptarse y lograr la certificación en ISO 27001. CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 44 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio. No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título personal de obtener certificaciones como “Certified Information Systems Auditor” (CISA), “Certified Information Security Manager” (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.

ISO 27001ISO 27001ISO 27001ISO 27001

ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la información, pero no da indicaciones más detalladas de

29

ITCP ITCP ITCP ITCP


cómo realizar dicho proceso ni de cómo situar dichos riesgos en el marco de los riesgos generales de la empresa. BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y conformidad con otros estándares y regulaciones sobre el riesgo.

COSOCOSOCOSOCOSO----ENTERPRISE RISK MANAGEMENT ENTERPRISE RISK MANAGEMENT ENTERPRISE RISK MANAGEMENT ENTERPRISE RISK MANAGEMENT / SOX/ SOX/ SOX/ SOX

El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control. COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA). El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94). Existe una relación directa entre los objetivos que la entidad desea lograr y

30

ITCP ITCP ITCP ITCP


los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.

Las cuatro categorías de objetivos (estrategia, operaciones, información y conformidad) están representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las unidades de la entidad, por la tercera dimensión del cubo. Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora. Información adicional en el informe ejecutivo y marco general de la norma. COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI. COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. No se trata de un marco o estándar específico de seguridad de la información pero, por el impacto que está teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la información, conviene mencionarlo en esta sección. La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel país. Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de un informe de la empresa. Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. El marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión del riesgo empresarial de COSO. Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno de los marcos que más se utilizan para implantar el sistema en esta área es CobiT. Más específicamente,

31

ITCP ITCP ITCP ITCP


ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT. Certificación La norma ISO 27001, al igual que su antecesora BS 7799La norma ISO 27001, al igual que su antecesora BS 7799La norma ISO 27001, al igual que su antecesora BS 7799La norma ISO 27001, al igual que su antecesora BS 7799----2, es certificable.2, es certificable.2, es certificable.2, es certificable. Esto quieEsto quieEsto quieEsto quiere decir que la re decir que la re decir que la re decir que la

organización que tenga implantado un SGSI puedeorganización que tenga implantado un SGSI puedeorganización que tenga implantado un SGSI puedeorganización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora solicitar una auditoría a una entidad certificadora solicitar una auditoría a una entidad certificadora solicitar una auditoría a una entidad certificadora

acreditada y, caso de superaracreditada y, caso de superaracreditada y, caso de superaracreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO la misma con éxito, obtener una certificación del sistema según ISO la misma con éxito, obtener una certificación del sistema según ISO la misma con éxito, obtener una certificación del sistema según ISO

27001.27001.27001.27001.

En las siguientes secciones, se abordan diferentes temas relacionados con la certificación.

Implantación del SGSI Evidentemente, el paso previo a intentar la certificación es la implantación en la organización del sistema de gestión de seguridad de la información según ISO 27001. Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación. ISO 27001 exige que el SGSI contemple los siguientes puntos:

Implicación de la Dirección. Alcance del SGSI y política de seguridad. Inventario de todos los activos de información. Metodología de evaluación del riesgo.

32

ITCP ITCP ITCP ITCP


Identificación de amenazas, vulnerabilidades e impactos. Análisis y evaluación de riesgos. Selección de controles para el tratamiento de riesgos. Aprobación por parte de la dirección del riesgo residual. Declaración de aplicabilidad. Plan de tratamiento de riesgos. Implementación de controles, documentación de políticas, procesos y procedimientos e

instrucciones de trabajo TI. Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo. Formación y concienciación en lo relativo a seguridad de la información a todo el personal. Monitorización constante y registro de todas las incidencias. Realización de auditorías internas. Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su

alcance. Mejora continua del SGSI.

La documentación del SGSI deberá incluir:

Política y objetivos de seguridad. Alcance del SGSI. Procesos y Procedimientos y controles que apoyan el SGSI. Descripción de la metodología de evaluación del riesgo. Informe resultante de la evaluación del riesgo. Plan de tratamiento de riesgos. Procesos de planificación, manejo y control de los procesos de seguridad de la información y de

medición de la eficacia de los controles. Registros. Declaración de aplicabilidad (SOA -Statement of Applicability-). Procedimiento de gestión de toda la documentación del SGSI.

Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:

Política de seguridad. Asignación de responsabilidades de seguridad por medio de una RACSI. Formación y capacitación para la seguridad. Registro de incidencias de seguridad. Gestión de continuidad del negocio. Protección de datos personales. Salvaguarda de registros de la organización. Derechos de propiedad intelectual.

33

ITCP ITCP ITCP ITCP


34

ITCP ITCP ITCP ITCP


El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…). La propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria, con objeto de facilitar la integración. Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra. Auditoría y certificación Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:

Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.

Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designación de auditores, determinación de fechas y establecimiento conjunto del plan de

auditoría. Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre

la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real. Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis

de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.

Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.

Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.

Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.

Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.

35

ITCP ITCP ITCP ITCP


36

ITCP ITCP ITCP ITCP


Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han autorizado, también está publicado el alcance de certificación. Naturalmente, la organización que implanta un SGSI no tiene la obligación de certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la certificación, porque supone la oportunidad de recibir la confirmación por parte de un experto ajeno a la empresa de que se está gestionando correctamente la seguridad de la información, añade un factor de tensión y de concentración en una meta a todos los miembros del proyecto y de la organización en general y envía una señal al mercado de que la empresa en cuestión es confiable y es gestionada transparentemente. La entidad de certificación

Las entidades de certificación son organismos de evaluación de la conformidad, encargados de evaluar y realizar una declaración objetiva de que los servicios y productos cumplen unos requisitos específicos. En el caso de ISO 27001, certifican, mediante la auditoría, que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. Existen numerosas entidades de certificación en cada país, ya que se trata de una actividad empresarial privada con un gran auge en el último par de décadas, debido a la creciente estandarización y homologación de productos y sistemas en todo el mundo. La organización que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidiéndose por la más conveniente, como hace con cualquier otro producto o servicio. Para que las entidades de certificación puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditación, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificación para la actividad objeto de acreditación. En cada país suele haber una sola entidad de acreditación (en algunos, hay más de una), a la que la Administración encarga esa tarea. En España, es ENAC (Entidad Nacional de Acreditación); para otros países, puede consultarse una lista. La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2 -antes de derogarse- suele hacerse en base al documento EA 7/03 "Directrices para la acreditación de organismos operando programas de certificación/registro de sistemas de gestión de seguridad en la información". En el futuro, será la norma ISO 27006 la que regule directamente estas cuestiones. Las entidades de acreditación establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA (European co-operation for Accreditation). El auditor

El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores:

• De primera parte: auditor interno que audita la organización en nombre de sí misma, normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación;

• De segunda parte: auditor de cliente, es decir, que audita una organización en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing;

37

ITCP ITCP ITCP ITCP


• De tercera parte: auditor independiente, que audita una organización como tercera parte imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y contrata para ello los servicios de una entidad de certificación.

El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias profesionales y personales necesarias para desempeñar la labor de auditoría de la materia para la que está certificado. En este punto, hay pequeñas diferencias entre las entidades certificadoras, que pueden formular requisitos distintos para homologar a sus auditores. Pero, en general, la certificación de auditores se ciñe a la norma ISO 19011 de directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la competencia y evaluación de los auditores. Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educación formal, experiencia laboral y formación como auditor. Existen diversas organizaciones internacionales de certificación de auditores, con el objeto de facilitar la estandarización de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, además de homologar a las instituciones que ofrecen cursos de formación de auditor. Algunas de estas organizaciones son IRCA, RABQSA o IATCA. IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificación de auditores de sistemas de gestión. Tiene su sede en el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace años un programa de certificación de auditores de sistemas de gestión de seguridad de la información. Su página web, también en español, es una buena fuente de consulta de los requisitos y los grados de auditor. Dispone de un enlace directo a las últimas novedades del IRCA desde nuestra sección de boletines. En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían crear un clima de confianza y colaboración entre auditor y auditado. El auditado debe tomar el proceso de auditoría siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalización de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboración, información y trabajo conjunto.

O - ISM3 O - ISM3 Open Information Security Management Maturity Model (ISM Cubo) es un estándar de madurez de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001, La publicación del ISM3 (Information Security Management Maturity Model) ofrece un nuevo enfoque de los sistemas de gestión de seguridad de la información (ISM). ISM3 nace de la observación del contraste existente entre el número de organizaciones certificadas ISO9000 (unas 350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende cubrir la necesidad de un estándar simple y aplicable de calidad para sistemas de gestión de la seguridad de la información.

38

ITCP ITCP ITCP ITCP


ISM3 proporciona un marco para ISM que puede utilizarse tanto por pequeñas organizaciones que realizan sus primeros esfuerzos, como a un nivel alto de sofisticación por grandes organizaciones como parte de sus procesos de seguridad de la información... Al igual que otros estándares del ISECOM, ISM3 se proporciona con una licencia de “código libre”, tiene una curva de aprendizaje suave, y puede utilizarse para fortalecer sistemas ISM en organizaciones que utilicen estándares como COBIT, ITIL, CMMI y ISO17799. Está estructurado en niveles de madurez, de modo que cada organización puede elegir un nivel adecuado para su negocio, y cubrir ese objetivo en varias etapas. En lugar de depender exclusivamente de métodos caros de análisis de riesgos, que suponen una barrera a la implantación de sistemas de ISM, ISM3 sigue un punto de vista cualitativo, empezando por analizar los requerimientos de seguridad del negocio. Permite a la empresa aprovechar la infraestructura actual, fortaleciéndola mediante un sistema de calidad, y alcanzado niveles de madurez certificables según el sistema de ISM evoluciona. Utiliza un modelo de gestión para diferenciar las tareas de seguridad operativa que previenen y mitigan incidentes de las tareas estratégicas y tácticas que identifican los activos a proteger, las medidas de seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un proceso de certificación que permite a una organización autoevaluar su madurez, o bien obtener una certificación de un auditor independiente. La publicación de ISM3 v1.20 (Information Security Management Maturity Model, que se pronuncia ISM ISM3 v1.20 (Information Security Management Maturity Model, que se pronuncia ISM ISM3 v1.20 (Information Security Management Maturity Model, que se pronuncia ISM ISM3 v1.20 (Information Security Management Maturity Model, que se pronuncia ISM

cubo)cubo)cubo)cubo) ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad de la información.

ISM3 por sí solo o para mejorar sistemas basados en ITIL, ISO27001 o COBIT. ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados)... Algunas características significativas de ISM3 son:

• Métricas de Seguridad de la Información - "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar" - ISM3 v1.20 hace de la seguridad un proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.

• Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.

• Basado el Procesos - ISM3 v1.20 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.

• Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución

39

ITCP ITCP ITCP ITCP


explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.

• Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.

• Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.

Gobierno de TI - ITIL - COBIT – SGSI = O – ISM3 El gobierno de TI ha cobrado importancia en los últimos años y TI tiene un papel fundamental que desempeñar en la mejora de sus buenas prácticas de gobierno corporativo. La administración de riesgos se ha sensibilizado y hay una mayor conciencia creciente del compromiso de llevar a cabo una gestión de control para las distintas actividades de TI. Aunque la palabra Gobierno de TI es relativamente nueva como disciplina definida ha evolucionado a grandes pasos pero se está buscando que el enfoque sea más específico en cuando a la mejora de la gestión de control y de tecnologías de información. La creación de nuevas tecnologías y oportunidades de negocio implican cada vez un riesgo mayor que pueden afectar la continuidad del negocio, la seguridad de la información y la falta de reconocimiento para poder aplicar eficientemente cambios organizacionales. Hay muchos riesgos del pasado y otros que han ido surgiendo, pero lo que sí es claro es que están siendo visibles y que definitivamente hay que empezar a tratarlos y a hacerlos parte de los planes estratégicos de la organización. En el mundo de la informática, el tema de Gobierno de TI ha cobrado importancia y se han creado muchas definiciones entorno a este concepto. La forma para empezar a definir este tema es traduciendo la palabra que viene del latín Gubernance que no significa otra diferente a dirigir o guiar, pero existe un instituto llamado: Instituto de Gobierno de TI (ITGI), el cual hacen su definición así: “Gobierno de TI es responsabilidad de los ejecutivos y del Consejo de Dirección, y consiste del liderazgo, estructura organizacional y procesos que garantizan que la TI corporativa, sustente y prolongue las estrategias y objetivos de la organización”[1]. Por otra parte encontramos dos grandes investigadores de la Escuela de Administración de Sloan del MIT, Jeanne Ross y Peter Weill quien dicen: “El gobierno de TI es especificar los derechos de decidir y el marco de rendición de cuentas que obligan a comportamientos deseados en el uso de la TI”. Esta definición de gobierno de TI aspira a capturar la simpleza de este gobierno: derechos de decisión, rendición de cuentas y comportamiento deseado que son diferentes en cada organización”. Si bien podemos encontrar muchas otras definiciones sobre el Gobierno de TI, lo que si se tiene claro es que el un buen gobierno debe proveer estructuras que logre unir los distintos procesos de TI, los recursos, la información y los objetivos, por ello entonces llega a la organización definiciones como:

• Alineación del negocio de TI

• Administración del portafolio

• Administración de Valor

• Administración de recursos

• Administración de beneficios

40

ITCP ITCP ITCP ITCP


• Administración de Riesgos Es esta última definición en la cual se concentrará este estudio, ya que la conciencia del riesgo existe y su estado en la organización cada día se vuelve más importante y de necesario tratamiento siempre guardando un equilibrio entre las metas de cumplimiento y desempeño por medio de las acciones del directorio mencionadas anteriormente.

El núcleo del gobierno de TI tiene dos grandes responsabilidades, la entrega de valor al negocio y la mitigación de riesgos asociados a TI. Se habla entonces de un gobierno corporativo, en donde se abarca un conjunto de relaciones entre la dirección de la compañía, su consejo, sus accionistas y otras partes interesadas en donde se proporciona la estructura a través de la cual se definen objetivos de la compañía y se determina el medio para alcanzarlos y se supervisa el desempeño. Entonces, el gobierno corporativo llega a formar una vista de la siguiente manera:

El gobierno corporativo está centrado en el rendimiento, los riesgos y el control de las tecnologías de información, por tanto la gestión de las tecnologías de información tiene su clasificación basada en:

• Planeación de las TI

• Control de Gestión de TI

• Administración de Portafolio de proyectos de TI

GOBIERNO

Gestión de Riesgos

Control Interno

SGSI

41

ITCP ITCP ITCP ITCP


En la parte central de este artículo, control de Gestión de TI, se tiene también dos divisiones una igualmente importante que la otra:

Plan

eaci

ón E

strá

tegi

ca d

e TI

C. • PETI.

• Plan Estrategico Negocio.

• Procesos de Negocio.

• Aquitectura TI. Cont

rol d

e Ge

stió

n de

TI

• ITIL

• COBIT

• SGSI

• ISO 27001

• O - ISM3

• PMI

• Gobierno TIC.

Adm

inis

trac

ión

de P

orta

folio

de

proy

ecto

s de

TI

• Portafolio Proyecto TI.

• Programa de Proyectos TI.

• Oficna de Proyectos TI.

• PMI.

• PM- RISK.

Planeación de las

TI

Control de

Gestión de TI

Administración

de Portafolio de

proyectos de TI

• Cedula Riesgos

• Plan Riesgos.

• Mitigacion Riesgos.

• Cultura Riesgos.

• Analisis de

SteakHolders.

• Mitigacion Riesgos.

42

ITCP ITCP ITCP ITCP


Teniendo en cuenta la ubicación en donde se está, se puede hacer una definición de riesgo basados en el Committee AS/NZA4360 de Risk Management que dice: “Riesgo expresa la incertidumbre con

respecto a eventos futuros o sus consecuencias, los cuales podrían afectar el logro de los objetivos.

Es percibido como una amenaza o peligro el cual al materializarse podría impactar negativamente a la

organización”. La gestión de riesgo requiere que por parte de la gerencia exista una cultura y conciencia del riesgo y comprensión de tus requerimientos legales y regulatorios basado en la identificación, valoración tratamiento, monitoreo y comunicación de los riesgos y sus impactos. Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su información, como para sus activos entonces para alcanzar estos objetivos la gerencia debe entender muy bien el estado de sus sistemas, controlarlos y asegurarlos y es aquí en donde entran a jugar un papel clave los estándares y mejores prácticas.

ESTÁNDARES Y MEJORES PRÁCTICAS SGSI La utilización de unos y otros depende estrictamente de la organización, sus prioridades y expectativas. De igual puede adoptarse todo el estándar o solo una parte de ellos pero siempre buscando un mejor desempeño de los procesos de negocios. El gobierno de TI se ha vuelto algo critico debido a los cambios vertiginosos del mundo informático y generalmente las inversiones en tecnología solo sirven para atender problemas operativos en vez de generar valor aunque se tiene claro que TI es la forma de ejecutar grandes objetivos empresariales. Por todo esto, la organización está constantemente enfrentado desafíos y retos y busca alinearse según su estrategia de TI con el negocio por ello se optó por la búsqueda de una estructura organizacional que facilitara la aplicación de estrategias y objetivos adoptando un marco de trabajo.

• VAL IT• GOBIERNO TIC• ISO 38500• COSO - ERM

• ISO 20000• ISO 20500• PMI• O - ISM3

• ISO 27000• IT RISK• ISO 9001:2008• PDAC.

• ISO 12207• SOA• RUP• UML• ISHIKAWA

CMMI SGSI

COBITITIL

43

ITCP ITCP ITCP ITCP


Por ellos, se piensan en estándares y mejores prácticas para el cumplimiento de objetivos enfocados a la organización, el equilibrio y el cumplimiento. COBIT, (Objetivos de control para la información y las tecnologías relacionadas) es uno de los primeros framework en preferencia organizacional, ya que ayuda a integrar prácticas tecnológicas específicas con prácticas generales de alto nivel y se establece un puente entre los riesgos del negocio, los controles que se necesitan y los aspectos técnicos más relevantes. Por otro lado, la seguridad de la información y la continuidad del negocio son dos componentes críticos de la estrategia futura de muchas instituciones a nivel nacional e internacional Por lo tanto, COBIT está diseñado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de los riesgos así como de los beneficios asociados con la información y sus tecnologías relacionadas. COBIT generalmente es aceptable y aplicable para las buenas prácticas de seguridad y control. COSO, publicó el sistema de Control Interno, que consistía en un informe que establece una definición de control interno y proporciona un estándar por medio del cual las organizaciones pueden evaluar y mejorar su sistema de control. Su objetivo es: mejorar la calidad de información concentrándose en el manejo corporativo, las normas éticas y el control interno y así unificar criterios ante la existencia de una variedad de interpretaciones y conceptos sobre control interno.

Monitoreo

44

ITCP ITCP ITCP ITCP


Finalmente esta RISK IT que basa su teoría en 3 categorías de riesgo:

• Entrega de riesgo asociado al rendimiento y a la disponibilidad de los servicios de TI

• Entrega de soluciones y beneficios asociados a la contribución de TI

• Beneficios en la realización de riesgos asociados a las oportunidades para utilizar tecnologías que mejoren la eficiencia y efectividad de los procesos.

Risk IT, proporciona de extremo a extremo una visión global de todos los riesgos relacionados con el uso de las TI y su tratamiento. El entorno de RISK TI, es bien importante por ello se explican las funciones los entes asociados a TI.

Roles / Actividades

Definir alcance de análisis de riesgo de TI

Estimar el riesgo de TI, sus productos críticos, servicios, procesos y

recursos

Identificar las opciones de

respuesta al riesgo

Revisión de los resultados del análisis de riesgo

CEO I I

CRO R R C A/R

CIO C C C

CFO I C C

Enterprise Risk Committee C I R

Business Management A A/R A I

Business Procesos Owner R R R

Risk Control Funtions C R R I

HR

Compliance and Audit C C I

METODOLOGÍA DE ANÁLISIS DE RIESGOS SGSI. A continuación se presentan la metodología que se utiliza:

• Riesgo = Valor de activos

• Impacto de activos y Nivel de aceptación del Riesgo = Valor de activos Integridad Confidencial, y viabilidad

45

ITCP ITCP ITCP ITCP


• Impacto de Activos = Impacto en los procesos de Negocio y Tolerancia al Riesgo = Probabilidad de Amenaza explotación de la vulnerabilidad

Medida de cálculo de Riesgo: Valor de Activos BIA * Amenaza * Vulnerabilidad = Riesgo Medida. Dónde BIA Valor de activos es una medida de 0 a 5, donde el propietario de los activos es necesario para identificar las consecuencias para los negocios de una violación del peor caso de la confidencialidad, integridad o disponibilidad. Se visualiza los Riesgos como la pérdida de reputación, el interés de los medios de comunicación, la sensibilidad de los datos, pérdida financiera, etc. La amenaza se basa la evaluación de la amenaza inicial a una lista de amenazas que se han extraído de la norma ISO / IEC 27001:2005, sus vulnerabilidades asociadas. Escala de 1 a 3 Vulnerabilidad: El control de la corriente y la vulnerabilidad (riesgo de vulnerabilidad se aproveche) situación dentro de la empresa en relación con la amenaza identificada se evalúa. Escala de 1 a 5. Esto proporciona una medida de riesgo 0 a 75 con el fin de tomar decisiones sobre cómo abordar y controla:

• MUY BAJO 0MUY BAJO 0MUY BAJO 0MUY BAJO 0----14141414. El bajo nivel de riesgo no justifica los controles adicionales están poniendo en

marcha. No hay actividad aún más necesaria. • BAJA 15BAJA 15BAJA 15BAJA 15----24242424 El bajo nivel de riesgo no justifica los controles adicionales están poniendo en marcha.

No hay actividad aún más necesaria. • MEDIUM 25MEDIUM 25MEDIUM 25MEDIUM 25----45454545 Gestión aplicarán su criterio en cuanto a si los riesgos son aceptables. Los

controles se aplicarán, según proceda. • ALTO 46ALTO 46ALTO 46ALTO 46----60606060 Administración, seleccionará los controles adecuados.

• MUY ALTO 61MUY ALTO 61MUY ALTO 61MUY ALTO 61----75 Alto Riesgo75 Alto Riesgo75 Alto Riesgo75 Alto Riesgo - Gestión seleccionará los controles adecuados como una prioridad.

En la norma ISO 31000, el control se define como una "medida que está modificando riesgo". La norma también define que "la organización debe asegurarse de que haya rendición de cuentas, la autoridad y las competencias adecuadas para la gestión de riesgos, incluyendo la implementación y el mantenimiento del proceso de gestión de riesgos y garantizar la adecuación, efectividad y eficiencia de todos los controles. " Si una organización tiene que implementar de manera eficiente y efectiva lo que la norma define anteriormente para los controles, cuántos controles se pueden gestionar con realismo en la organización. La experiencia es que no puede haber muchos miles, por ejemplo, 10.000 más, ya que una industria se creará dentro de una organización, si tiene que asegurar regularmente la adecuación, eficacia y eficiencia de los 10.000 controles más. Si una organización capta 10.000 más controles, pero es solamente puede garantizar regularmente la adecuación, eficacia y eficiencia de un pequeño subconjunto de los controles, entonces hay un punto en la documentación de todos los controles? ¿Por qué gastar todo el tiempo tratando de definir / documentar cada control, cuando no se puede encontrar en cualquier punto dado cuántos de ellos están trabajando o no funciona. en el contexto de las grandes organizaciones donde las decisiones importantes se tienen que hacer en términos de cuántos controles para capturar, evaluar y vigilar la aplicación efectiva de la norma ISO 31000 estándar . Bastantes de las empresas (hasta 15000 empleados) que tratan de aplicar herramientas de evaluación de riesgos como parte de su norma ISO 27001 la ejecución del proyecto. El resultado es que por lo general toma mucho tiempo y dinero con muy poco efecto.

46

ITCP ITCP ITCP ITCP


En primer lugar, ¿qué es en realidad la evaluación de riesgos, y cuál es su propósito? La evaluación de riesgos es un proceso en el que una organización debe identificar los riesgos de seguridad de la información que determinan la probabilidad e impacto. Simplemente hablando, la organización debería reconocer a todos los problemas potenciales con su información, la probabilidad de que ocurran y qué consecuencias podría ser.

El propósito de la evaluación del riesgo es determinar qué controles son necesarios con el fin de disminuir el riesgo "la selección de los controles que se llama el proceso de tratamiento de riesgos y en la ISO 27001 son elegidos en el anexo A, que especifica 133 controles”. La evaluación de riesgos se lleva a cabo mediante la identificación y evaluación de los activos, vulnerabilidades y amenazas. Un activo es cualquier cosa que tenga valor para la organización "de hardware, software, personas, infraestructuras, datos (en varias formas y medios), proveedores y socios, etc. Una vulnerabilidad es una debilidad en un activo, proceso, control, etc., lo que podría ser explotado por una amenaza, una amenaza es una causa que puede causar daño a un sistema u organización. Un ejemplo de la vulnerabilidad es la falta de software anti-virus, una amenaza relacionada es el virus informático. Sabiendo todo esto, si su empresa que realmente necesita una herramienta sofisticada para realizar la evaluación de riesgos. Todo lo que necesitas es una hoja de cálculo de Excel, buenos catálogos de vulnerabilidades y amenazas, y una buena metodología de evaluación de riesgos. La tarea principal es realmente para evaluar la probabilidad y el impacto, y eso no puede ser hecho por cualquier herramienta "es algo que los propietarios de activos, con el conocimiento de sus activos, tienen que pensar. La metodología no está disponible de forma gratuita, pero se puede usar ISO 27005 estándar (que describe la evaluación del riesgo y el tratamiento en detalle), o puede utilizar algunos otros sitios web de venta de la metodología. Todo esto debería tomar mucho menos tiempo y dinero que la compra de una herramienta de evaluación de riesgos y aprender a usarlo. Una buena metodología debe contener un método para la identificación de activos, amenazas y vulnerabilidades, tablas para el marcado de la probabilidad y el impacto, un método para el cálculo del riesgo, y definir el nivel de riesgo aceptable. Catálogos debe contener al menos 30 vulnerabilidades y amenazas 30, algunos contienen incluso unos pocos cientos de cada uno, pero eso es probablemente demasiado para una empresa. El proceso no es muy complicado "estos son los pasos básicos para la evaluación y tratamiento:

• Definir y documentar la metodología (incluyendo los catálogos), la distribuirá a todos los propietarios de activos de la organización

• Organizar entrevistas con todos los propietarios de activos durante el cual se deben identificar los activos y las vulnerabilidades y amenazas relacionadas, y en el segundo paso pedirles que evaluar la probabilidad y el impacto si los riesgos particulares debería ocurrir.

• Consolidar los datos en una sola hoja de cálculo, calcular los riesgos e indican que los riesgos no son aceptables para cada riesgo que no es aceptable, seleccione uno o varios controles del Anexo

47

ITCP ITCP ITCP ITCP


A de la norma ISO 27001 "calcular lo que el nuevo nivel de riesgo sería después de los controles se llevan a cabo.

En conclusión: la evaluación del riesgo y el tratamiento realmente son la base de la información de seguridad / ISO 27001, pero no quiere decir que tengan que ser complicado. Se puede hacer de una manera sencilla, y su sentido común es lo que realmente cuenta. Lo anteriormente expresado nos ha llevado a proponer lineamientos que consideren los aspectos fundamentales de ISO 27001, ISO 27002, ISO 27005, ISO 20000, COBIT 5.0, COSO, ITIL V3 y BS 25999, entre otros, con el fin de plantear una ruta estratégica que le ofrezca a las organizaciones la capacidad para estar mejor preparada ante un entorno cambiante y de alto riesgo. MEGERITMEGERITMEGERITMEGERIT es una metodología de evaluación del riesgo ampliamente aceptada y esta relacionada a la ISO

27005.

PROCESO PARA EVALUACIÓN DE RIESGOS Con el riesgo se pueden tener varias alternativas para como son:

• Evitar,

• Reducir,

• Mitigar,

• Dispersar o Atomizar,

• Transferir,

• Asumir o Aceptar. Sea cual sea la decisión que se tome basadas en las posibilidades anteriores es importante realizar una evaluación que se basa en:

• Alcance de la reducción de riesgo (Eficacia)

• Beneficios u oportunidades creada

• Factibilidad y Eficiencia (Costo)

48

ITCP ITCP ITCP ITCP


49

ITCP ITCP ITCP ITCP


50

ITCP ITCP ITCP ITCP


Plan de Tratamiento de riesgos es uno de los documentos clave de la norma ISO 27001, sin embargo, muy a menudo se confunde con la documentación que se produce como resultado de un proceso de tratamiento de riesgos. Esta es la diferencia:

Proceso De Tratamiento Riesgo El tratamiento del riesgo es un paso en el proceso de gestión de riesgos que sigue a la etapa de evaluación de riesgos, "en la evaluación de riesgos de todos deben ser identificados y los riesgos que no son aceptables deben ser seleccionados. La tarea principal en la etapa de tratamiento de riesgo es para seleccionar una o más opciones para tratar cada riesgo inaceptable, es decir, decidir cómo mitigar todos estos riesgos. Cuatro opciones de tratamiento de riesgo existe (para el proceso completo de gestión de riesgos, la evaluación de riesgos y tratamiento en "6 pasos básicos:

1. Aplicar los controles de seguridad del anexo A para disminuir los riesgos "ver este articulo ISO 27001 Anexo A control.

2. Transferir el riesgo a otra parte "por ejemplo, a una compañía de seguros con la compra de una póliza de seguro.

3. Evite el riesgo de detener una actividad que es demasiado arriesgado, o por hacerlo de una manera completamente diferente.

4. Aceptar el riesgo "si, por ejemplo, el costo de mitigar este riesgo sería mayor que el daño mismo.

El tratamiento del riesgo se realiza habitualmente en forma de una hoja simple, donde se vinculan las opciones de mitigación y control de cada riesgo inaceptable, lo que también se puede hacer con una herramienta de gestión de riesgos, si dispone de una. De acuerdo con la norma ISO 27001, se deben documentar los resultados de los tratamientos de riesgo en el informe de evaluación de riesgos, y los resultados son los principales insumos para la redacción de la Declaración de aplicabilidad. Esto significa que los resultados del tratamiento de riesgos no están directamente documentados en el Plan de Tratamiento de Riesgos.

Riesgo Plan de Tratamiento Así que, ¿dónde está el plan de tratamiento de riesgos en todo este proceso? La respuesta es: sólo se puede escribir después de la Declaración de aplicabilidad está terminado. ¿Por qué es esto así? Para comenzar a pensar acerca del plan de tratamiento de riesgos, sería más fácil pensar que es uno de Acción Plan donde tiene que especificar qué controles de seguridad que necesita para implementar, que es responsable de ellos, cuáles son los plazos y los recursos que (es decir, financieros y humanos) son obligatorios. Pero para escribir un documento, primero debe decidir qué controles deben aplicarse, y esto se hace (de una manera muy sistemática) a través de la Declaración de aplicabilidad.

La pregunta es "por qué ISO 27001 requieren los resultados del proceso de tratamiento de riesgos deben documentarse directamente en el Plan de Tratamiento de Riesgos? ¿Por qué este paso intermedio necesario, en forma de Declaración de aplicabilidad? Mi opinión es que los autores de la norma ISO 27001 quiso animar a las empresas a obtener una imagen completa de la información de seguridad "al momento de decidir qué controles son aplicables en la Declaración de aplicabilidad y cuáles no, el resultado del tratamiento del riesgo no es sólo la entrada A "otros insumos son los requisitos legales, reglamentarios y contractuales, otras necesidades de negocio, etc. En otras palabras, SOA sirve como una especie de lista de control que tiene una visión global de la organización, y el Plan de Tratamiento del Riesgo estar completa sin dicha inspección.

51

ITCP ITCP ITCP ITCP


Para concluir el "Plan de Tratamiento del Riesgo es el punto donde la teoría se detiene y comienza la verdadera vida de acuerdo a la norma ISO 27001. Evaluación de riesgos bien hecha y el proceso de tratamiento de riesgos, así como la Declaración de Aplicabilidad global, producirá plan de acción muy útil para la implementación de seguridad de la información; omitir alguno de estos pasos y Plan de Tratamiento de riesgos sólo va a confundir.

IMPLEMENTACIÓN DE SGSI POR MEDIO DE O – ISM3. Como hemos visto antes hay una serie de estándares que se pueden utilizar con base para implementar la SGSI, la cuestión es cómo llegar a tener un Modelo de Gestión de la Seguridad Idóneo. O – ISM3 nos da un marco de referencia y consolida las buenas prácticas de TI de:

• ITIL

• COBIT

• CMMI

• ISO 27000 Dando como Resultado un Gobierno de TI capaz de administrar y soportar las necesidades del negocio y un esquema capaz de soporta:

• Disponibilidad de los Servicios de TI.

• Monitoreo y Control de los Servicios de TI.

• Sistema de Gestión de la Seguridad de la Información que soportara la ISO 27001. (Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de ISECOM para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad de la información. ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la información, el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados). Algunas características significativas de ISM3 son: Métricas de Seguridad de la Información: "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar", ISM3 hace de la seguridad un proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información. Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles. Basado en Procesos: ISM3 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO 9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado

52

ITCP ITCP ITCP ITCP


que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades. Adopción de las Mejores Prácticas: Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa. Certificación: Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO 9001 o ISO 27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO 9001 y que tienen experiencia e infraestructura para ISO 9001. Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad. ¿Ha oído de ITIL, COBIT, COSO, ISO27000, y demás juegos de caracteres? Todos son elementos que encajan en un marco de referencia que se está tratando de implementar para lograr que este gobierno de tecnología informática cumpla su propósito. El gobierno de la tecnología informática no es más que una continuación del gobierno corporativo, pero enfocado en la tecnología informática, su desempeño, y el manejo del riesgo que el no tenerla puede ocasionar. Desde múltiples hechos económicos, en especial casos de defraudación en información financiera y contable de empresas muy grandes, que generaron perdidas enormes en sus accionistas, se ha hecho conciencia que la tecnología informática en las empresas no puede seguir siendo una caja negra. El gobierno de tecnología informática entonces implica la implementación de un sistema de administración en donde todos los "jugadores" de la empresa, incluyendo la Junta Directiva, participan en el proceso de decisión sobre el uso y aplicación de la tecnología informática y comunicaciones (TIC). El simple hecho de cuestionarse la administración de las TIC, pareciera acusar que hasta entonces no se tiene una administración apropiada. Sin embargo es imperante hacer claridad que la administración de las TIC en su aspecto técnico y de aplicación es apropiada, y lo que falta es la responsabilidad de la alta gerencia sobre los resultados de la aplicación de estas tecnologías. Ya los gerentes no pueden decir que los procesos informáticos transcurren a sus espaldas, sino que deben ser parte de ellos. Los marcos de referencia para la administración de las TIC han existido siempre, sin embargo la ausencia de ellos en la práctica en las empresas ahora tienen mayores repercusiones en cuanto al nivel de riesgo que se maneja al no tener disponibilidad de las mismas, o mediante una generación de información no confiable. A partir de legislación en Estados Unidos gestada principalmente por hechos fraudulentos en la información financiera de las empresas, se han generado una serie de lineamientos y directrices sobre las cuales se han construido algunos modelos de mejores prácticas en la administración de la información. COBIT, (Control Objectives for information and related technology, o los Objetivos de Control para la Informática y sus tecnologías relacionadas) es un conjunto de buenas prácticas o un marco de referencia

53

ITCP ITCP ITCP ITCP


creado por el Information Systems audit. And Control Association (ISACA) y el ITGovernance Institute (ITGI) en 1992, que entrega una serie de medidas, indicadores, procesos y mejores prácticas comúnmente aceptadas, que le permiten a los administradores, auditores y usuarios de TI, maximizar el beneficio derivado del uso de las TIC y el desarrollo apropiado del gobierno de TIC. Posteriormente han anunciado ValIT para Obtener valor de las TIC, y RiskIT para evaluar y mitigar riesgo. Este marco de referencia define claramente siete características que deben estar presentes en el manejo de la información:

1. Efectividad 2. Eficiencia 3. Confidencialidad 4. Integridad 5. Disponibilidad 6. Adhesión a la norma (Compliance) 7. Confiabilidad

Y genera el ciclo de calidad (planear, hacer, verificar, y actuar) sobre los recursos de tecnología incluyendo las aplicaciones, la información, la infraestructura y las personas. Se ha dividido en seis grandes grupos los procesos a generar dentro del área de tecnología informática, encima de las operaciones mismas, para ser controladas por este ciclo de calidad. Y es ahí donde empieza a jugar la "sopa de letras" de los diferentes estándares propuestos para administrar cada uno de ellos.

• Administración del servicio: ITIL, Information Technology Library Infrastructure

• Desarrollo de Software/Aplicaciones: CMMI, Capability Maturity Model for Integration

• Administración de Proyectos: PMBOK (Libro de conocimiento de administración de proyectos)

• Seguridad TI: ISO 27000 (Antes ISO 17799/ BS 7799)

• Planeación de Tecnología: AS8015 aporta algunos elementos

• Sistema de Calidad: ISO 9000 / Six Sigma Se ve claramente un conjunto de caracteres y estándares, y la pregunta de fondo es ¿y qué se debe hacer con todo esto? Consideramos que estos marcos de referencia en su mayoría, como CobiT e ITIL son maduros y tienen un ciclo de mejora continua, lo que más cuesta es lograr la curva de aprendizaje de la organización, debido que deben abandonar las costumbres por las buenas prácticas, lo que en la mayoría de casos implica resistencia al cambio por temor y porque las cosas bien hechas no son fáciles.

Documents

IMPLEMENTACIÓN DE UN SGSI