viernes, marzo 19, 2010

ISO 27001 e ISO 27002: Dominio 10 - Gestión de Comunicaciones y Operaciones




Continuando con los Dominios de la ISO 27002 (Numeral 10) o Anexo A de la ISO 27001 (Anexo A10), hoy vamos a revisar las Comunicaciones y Operaciones. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen diez objetivos de control:

10.1 Procedimientos Operacionales y responsabilidades
Objetivo: asegurar la operación correcta y segura de los servicios de procesamiento de información.

Se deberían establecer todas las responsabilidades y los procedimientos para la gestión y operación de todos los servicios de procesamiento de información. Esto incluye el desarrollo de procedimientos operativos apropiados.

Cuando sea conveniente, se deberla Implementar la separación de funciones para reducir el riesgo de uso inadecuado deliberado o negligente del sistema

10. 2 Gestión de la Prestación del Servicio por Terceras partes
Objetivo: implementar y mantener un grado adecuado de seguridad de la información y de la prestación del servicio, de conformidad con los acuerdos de prestación del servicio por terceras.

La organización debería verificar la implementación de acuerdos, monitorear el cumplimiento de ellos y gestionar los cambios para asegurar que los servicios que se prestan cumplen los requisitos acordados con los terceros

10.3 Planificación y Aceptación del Sistema
Objetivo: minimizar el riesgo de fallas en los sistemas.

Se requieren planificación y preparación avanzadas para garantizar la disponibilidad de la capacidad y los recursos adecuados para entregar el desempeño requerido del sistema.

Es necesario hacer proyecciones de la capacidad futura para reducir el riesgo de sobrecarga del sistema.

Los requisitos operativos de los sistemas nuevos se deberían establecer, documentar y probar antes de su aceptación y uso.

10. 4 Protección contra códigos maliciosos y móviles.
Objetivo: proteger la integridad del software y de la información.

Se requieren precauciones para evitar y detectar la introducción de códigos maliciosos y códigos móviles no autorizados.

El software y los servicios de procesamiento de información son vulnerables a la introducción de códigos maliciosos tales como virus de computador, gusanos en la red, caballos troyanos y bombas lógicas. Los usuarios deberían ser conscientes de los peligros de los códigos maliciosos. Los directores deberían, cuando sea apropiado, introducir controles para evitar, detectar y retirar los códicos maliciosos y controlar los códigos móviles.

10.5 Respaldo
Objetivo: mantener la integridad y disponibilidad de la información y de los servicios de procesamiento de información.

Se deberian establecer procedimientos de rutina para implementar la política y la estrategia de
respaldo acordada (véase el numeral 14.1) para hacer copias de seguridad de los datos y probar sus tiempos de restauración.

10.6. Gestión de la Seguridad de Redes
Objetivo: asegurar la protección de la información en las redes y la protección de la infraestructura de soporte.

La gestión segura de las redes, las cuales pueden sobrepasar las fronteras de la organización, exige la consideración cuidadosa del flujo de datos, las implicaciones legales, el monitoreo y la protección.


También pueden ser necesarios los controles adicionales para proteger la información sensible que pasa por redes publicas.
10.7. Manejo de los Medios
Objetivos: evitar la divulgación, modificación, retiro o destrucción de activos no autorizada, y la interrupción en las actividades del negocio. Estos medios se deberían controlar y proteger de forma física.

Se deberían establecer procedimientos operativos adecuados para proteger documentos, medios de computador (por ejemplo cintas, discos), datos de entrada, salida y documentación del sistema contra divulgación, modificación, remoción y destrucción no autorizadas.

10.8. Intercambio de la Información
Objetivo: mantener la seguridad de la información y del software que se intercambian dentro de la organización y con cualquier entidad externa.

Los intercambios de información y de software entre las organizaciones se deberían basar en una politica formal de intercambio, ejecutar según los acuerdos de intercambio y cumplir la legislación correspondiente (véase la sección 15).

Se deberían establecer procedimientos y normas para proteger la información y los medios fisicos Que contienen información en tránsíto.

10.9 Servicios de Comercio Electrónico
Objetivo: garantizar la seguridad de los servicios de comercio electrónico y su utilización segura.

Es necesario considerar las implicaciones de seguridad asociadas al uso de servicios de comercio electrónico. incluyendo las transacciones en linea y los requisitos para los controles.

También se deberían considerar la integridad y disponibilidad de la información publicada electrónicamente a través de sistemas disponibles al público.

10.10 Monitoreo
Objetivo: detectar actividades de procesamiento de la información no autorizadas.

Se deberían monitorear los sistemas y registrar los eventos de seguridad de la información.

Los registros de operador y la actividad de registro de fallas se deberían utilizar para garantizar la identificación de los problemas del sistema de Información.

La organización deberla cumplir todos los requisitos legales pertinentes que se aplican a sus actividades de monitoreo y registro.

Es recomendable emplear el monitoreo del sistema para verificar la eficacia de los controles adoptados y revisar el cumplimiento de un modelo de política de acceso.

Sintetizando, y mucho por que son 10 objetivos de control, esto es lo que busca este Dominio:
Para los sistemas y servicios de procesamiento de la información e infraestructura de la organización se deben definir y establecer controles que garanticen la seguridad, integridad y disponibilidad de la información.
Ahora si detallemos Objetivo por Objetivo:

10.1 Procedimientos y responsabilidades de operación
Para la gestión y operación de todos los sistemas y servicios de procesamiento de información de la Organización, se deben establecer procedimientos y responsabilidades que incluyan el desarrollo de instrucciones adecuadas para la operación y procedimientos de respuesta a incidentes operativos y de información.
Para reducir el riesgo de usos no adecuados, sin intención, por error o negligencia de los sistemas de información se debe implementar, de ser requerido, la segregación de funciones de los diferentes roles establecidos en la organización.

10.2 Gestión de servicios tercerizados

Se deben definir normas y controles de seguridad que garanticen la adecuada y eficiente entrega de servicios por parte de proveedores externos. Se deben identificar los posibles riegos de seguridad de la información con relación a los servicios que presta el proveedor externo, para adicionar en el contrato las correspondientes medidas de seguridad que ayudan a la mitigación de estos riesgos.

10.3 Planificación y aceptación del sistema
Se deben definir los requerimientos sobre la planeación en cuanto a la capacidad que deben tener los sistemas o servicios de procesamiento de la información del la Organización y sobre los controles que se deben aplicar para la aceptación y desarrollo de actualizaciones o nuevas versiones de los sistemas de información.

Para todas las nuevas actualizaciones a sistemas, nuevas versiones y nuevos sistemas de información se deben establecer criterios de aceptación, se deben realizar planes de pruebas para estos nuevos requerimientos antes de su definitiva aceptación y puesta en producción.

10.4 Protección contra software malicioso

Se deben definir los adecuados controles para prevenir y detectar la introducción de código o software malicioso.

Los usuarios y funcionarios de la Organización deben tener conocimiento de los peligros que puede ocasionar el software malicioso o no autorizado. Se deben tomar las precauciones adecuadas para la detección e impedimento de los virus informáticos en los equipos de la Organización.

10.5 Gestión de respaldo y recuperación
Se deben establecer normas y procedimientos rutinarios que permitan tener respaldo de la información y procesamientos de información, realizando copias de seguridad, realizando planes de pruebas y simulaciones de la recuperación oportuna de los datos, registrando eventos o fallos y monitoreo de los equipos.

10.6 Gestión de seguridad en redes
Se deben establecer controles y medidas específicas para la protección de los datos críticos o sensibles que transitan por las redes públicas de la Organización.

10.7 Utilización de los medios de información
Para proteger los documentos, soportes de información, como: discos, cintas, etc., se deben establecer procedimientos operativos para la protección de estos activos de información.

10.8 Intercambio de información
Se debe garantizar que toda la información, datos y software intercambiado entre las organizaciones permanezcan controlados y cumpla con las leyes y regulaciones correspondientes.

Se deben establecer acuerdos, procedimientos y normas para el intercambio de información entre organizaciones. Se deben considerar las implicaciones relacionadas con comercio, correo e intercambio electrónico de datos.

10.9 Servicios de comercio electrónico
Se deben establecer e implementar controles y normas para proteger el comercio electrónico de amenazas que pueden llevar a actividades fraudulentas, disputas por contratos y divulgación o modificación de la información de la Organización.

10.10 Monitoreo
Se deben definir lineamientos sobre el monitoreo de los sistemas de información de la Organización para la detección de actividades de procesamiento de información no autorizados. Se deben definir y asignar roles a los funcionarios que tengan la responsabilidad de monitorear la efectividad y eficiencia de los procesos operacionales, de tal forma que se realicen auditorías y se puedan con el tiempo aplicar mejoras a los procesos.
Este es el Dominio mas extenso de toda la ISO 27002 y/o ISO 27001, y abarca desde la asignación inicial de responsabilidades, la planeación de la capacidad del sistema, generación de backups, gestión de redes, monitoreo, TODO lo que este involucrado con la capacidad productiva de la Organización y de la continuidad de las comunicaciones de la misma para evitar situaciones que puedan eventualmente paralizar la producción con resultados tales como perdidas económicas, de reputación, demandas, etc.

sábado, marzo 13, 2010

ISO 27001 e ISO 27002: Dominio 9 - Seguridad Física

Continuando con los Dominios de la ISO 27002 (Numeral 9) o Anexo A de la ISO 27001 (Anexo A9), hoy vamos a revisar la Seguridad Física. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen dos objetivos de control:

9.1 Áreas Seguras

Evitar el acceso físico no autorizado, el daño o la interferencia a las instalaciones y a la información de la organización.

Los servicios de procesamiento de información sensible o crítica deberían estar ubicados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada adecuados, Dichas áreas deberían estar protegidas físicamente contra acceso no autorizado, daño e interferencia.

La protección suministrada debería estar acorde con los riesgos identificados.

9.2 Seguridad de los Equipos

Evitar pérdida, daño, robo o puesta en peligro de los activos, y la interrupción de las actividades de la organización.


Los equipos deberían estar protegidos contra amenazas físicas y ambientales.

La protección del equipo (incluyendo el utilizado por fuera) es necesaria para reducir el riesgo de acceso no autorizado a la información y para proteger contra pérdida o daño. También se debería considerar la ubicación y la eliminación de los equipos. Es posible que se requieran controles especiales para la protección contra amenazas físicas y para salvaguardar los servicios de soporte tales como energía eléctrica e infraestructura de cableado

Sintetizando, esto es lo que busca este Dominio:
Se deben definir normas para prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información de la Organización.

Se deben aplicar controles para el manejo preventivo de factores ambientales que puedan causar daños en el correcto funcionamiento de los equipos de información que almacenan la información de la Organización.

Detallando lo que busca la Norma:
Todos los centros de almacenamiento de información de la Organización o instalaciones que estén involucradas con los activos de información deben cumplir con las normas de seguridad física y ambiental, para garantizar que la información manejada en éstas permanezca siempre protegida de accesos físicos por parte de personal no autorizado o por factores ambientales que no se puedan controlar.

La información manejada por funcionarios (internos y externos) de la Organización en sus instalaciones, durante las labores habituales de trabajo, debe estar protegida.

Se debe proporcionar una protección a los activos de información proporcional a los riesgos identificados.

Se debe evitar la pérdida, daño, robo o puesta en peligro de los activos y la interrupción de las actividades de la Organización.

Las normas sobre seguridad física deben contener los controles de acceso a personal no autorizado en las instalaciones y centros de procesamiento de información de la Organización, para garantizar la seguridad de los activos de información. Es importante involucrar a personal especializado en seguridad física y utilizar herramientas tecnológicas que ayuden en la implementación de las medidas de seguridad establecidas.

El propósito fundamental de este Dominio de las la ISO 27002 ó Anexo A de la ISO 27001 es lograr que tanto las instalaciones donde esta ubicada la Organización, y su infraestructura técnica esten tan protegidas como lo sugiera el análisis de riesgos que se haga a la misma. Si el análisis sugiere la instalación de un Data Center Tier 2, instalar este y no un data Center Tier 1; y así con cada uno de los riesgos que se identifiquen de seguridad física. Y aqui ya tocamos un punto supremamente sensible de un SGSI: el Análisis de riesgos, del cual estare hablando mas detalladamente en una próxima entrada.

martes, marzo 09, 2010

ISO 27001 e ISO 27002: Dominio 8 - Seguridad de los Recursos Humanos




Continuando con los Dominios de la ISO 27002 (Numeral 8) o Anexo A de la ISO 27001 (Anexo A8), hoy vamos a revisar la Seguridad del Personal. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen tres objetivos de control:
8.1 Antes de la contratación laboral

Asegurar que los empleados, contratistas y usuarios de terceras partes entienden sus responsabilidades y sean aptos para las funciones para las cuales están considerados, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral,
describiendo adecuadamente el trabajo y los términos y condiciones del mismo.

Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se
deberían seleccionar adecuadamente, especialmente para trabajos sensibles.

Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento
de información deberían firmar un acuerdo sobre sus funciones y responsabilidades de seguridad

8.2 Durante la vigencia del contrato laboral

Asegurar que todos los empleados, contratistas y usuarios de terceras partes estan conscientes de las amenazas y preocupaciones respecto a la seguridad de la información, sus responsabilidades y deberes, y que esten equipados para apoyar la política de seguridad de la organización en el transcurso de su trabajo normal, al igual que reducir el riesgo de error humano.


Es conveniente definir las responsabilidades de la dirección para garantizar que se aplica la seguridad durante todo el contrato laboral de una persona dentro de la organización.
Se debería brindar un nivel adecuado de concientización, educación y formación en los procedimientos de seguridad y el uso correcto de los servicios de procesamiento de información a todos los empleados, contratistas y usuarios de terceras partes para minimizar los posibles riesgos de seguridad.

Es conveniente establecer un proceso disciplinario formal para el manejo de las violaciones de seguridad.

8.3 Terminación o cambio de la contratación laboral

Asegurar que los empleados, los contratistas y los usuarios de terceras partes salen de la organización o cambian su contrato laboral de forma ordenada.

Se deberían establecer responsabilidades para asegurar la gestión de la salida de los empleados, contratistas o usuarios de terceras partes de la organización y que se completa la devolución de todo el equipo y la cancelación de todos los derechos de acceso.


Los cambios en las responsabilidades y las relaciones laborales dentro de la organización se deberían gestionar como la terminación de la respectiva responsabilidad o contrato laboral según esta sección y todas las contrataciones nuevas se deberían gestionar como se describe en el numeral 8.1

En pocas palabras, este es el propósito de la Norma:
La seguridad de los recursos humanos dentro de la organización, debe considerar como recurso humano al personal interno, temporal o partes externas en el aseguramiento de las responsabilidades que son asignadas a cada uno, asociadas con sus respectivos roles, para reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

Todo el recurso humano que hace parte de la Organización debe estar consciente de las amenazas y vulnerabilidades relacionadas con la seguridad de la información y sus responsabilidades y deberes en el apoyo que deben brindar a la política de seguridad de la organización establecida para la reducción del riesgo de error humano.

Profundizando en los requisitos de la Norma:
1 Seguridad antes de la contratación
Se deben realizar en conjunto con el área de recursos humanos una valoración del proceso de verificación de antecedentes que se debe aplicar al personal que ingrese a la Organización, teniendo en cuenta el tipo y clasificación de la información a la que tendría acceso en sus respectivos cargos y responsabilidades. Se debe tener en cuenta que no todos los procesos de contratación en la organización deben ser manejados de igual forma, cada rol y sus responsabilidades debe tener un manejo diferente con relación a la verificación de antecedentes, procedencia, formación, conocimientos, etc.

2 Seguridad durante la contratación
Se deben asegurar en la contratación del personal de la Organización, acuerdos de confidencialidad de la información que se manejarán durante el tiempo que labore dentro de la organización y una vez finalizado el contrato.

Debe quedar documentado en acuerdos de confidencialidad, materiales de concientización, contratos de empleo entre el empleado y la organización la responsabilidad de los trabajadores relacionada con la protección de la información manejada por la Organización.

Anualmente se debe considerar la posibilidad de revisar en conjunto con los empleados los términos, acuerdos y condiciones expuestas en los contratos laborales, para garantizar el compromiso que adquirieron con relación a la seguridad de la información con la organización.

3 Seguridad en la finalización o cambio de empleo
Cuando los empleados finalizan sus contratos laborales con la organización o se retiran de ésta, se deben tener en cuenta varias actividades que se deben realizar para garantizar la gestión apropiada de activos de la organización que tenía a su cargo.
El propósito fundamental de este Dominio de las la ISO 27002 ó Anexo A de la ISO 27001 es proteger la información de la organización inclusive desde antes de darle acceso a la misma a un tercero, sea este empleado, contratista, proveedor, etc.; así como durante toda la duración del contrato y su finalización, buscando evitar que cualquier persona que haya tenido acceso a la información por motivos laborales pueda darle un uso inadecuado a la misma.

viernes, marzo 05, 2010

ISO 27001 e ISO 27002: Dominio 7 - Gestión de Activos



Continuando con los Dominios de la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 7 titulado Gestión de Activos. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen objetivos de control:

7.1. Responsabilidad por los Activos:
Lograr mantener la protección adecuada de los activos de la organización.

Todos los activos se deben incluir y deben tener un dueño designado.

Se deberían identificar los dueños para todos los activos y asignar la responsabilidad para el mantenimiento de los controles adecuados. La implementación de los controles específicos puede ser delegada por el dueño según el caso, pero él sigue siendo responsable de la protección adecuada de los activos.

7.2 Clasificación de la Información
Asegurar que la información recibe el nivel de protección adecuado.

La información se debería clasificar para indicar la necesidad, las prioridades y el grado esperado de protección al manejar la información.

La información tiene diferentes grados de sensibilidad e importancia. Algunos elementos pueden requerir un grado adicional de protección o manejo especial. Se recomienda utilizar un esquema de clasificación de la información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas especiales de manejo.

Resumiendo, el propósito de este dominio es el siguiente:

Proveer las medidas de seguridad necesarias para proporcionar una protección adecuada a los activos de la Organización, así como controlar, generar responsabilidades, normas de uso y clasificación sobre los activos de información.


Detallando un poco más:

Responsabilidad por los activos
Según el Modelo Normativo de Seguridad de la Información todo activo de información, bajo la responsabilidad de la Organización, es decir información propia de la Organización o de entidades externas debe ser administrada y monitoreada.

Toda la información generada por la Organización debe estar disponible para funcionarios tanto externos como internos que requieran del acceso y consulta de ésta, siempre y cuando se manejen los controles de acceso y confidencialidad apropiados.

Se deben asignar responsabilidades en cuanto a la propiedad de los activos de información a usuarios encargados de mantener la integridad de la información. Es responsabilidad del administrador de la información asignar los respectivos controles de acceso a la información.


Clasificación de la información
Se debe realizar un análisis y valoración de la información manejada por la Organización para definir una clasificación apropiada, dependiendo de su valor, requisitos legales, sensibilidad e importancia.

Una clasificación apropiada de la información garantiza la confidencialidad, integridad y disponibilidad de la información para la Organización.

Aquí básicamente se busca definir en cuanto a seguridad de la información muy claramente quien es responsable por que, bajo que circunstancias, etc; asi como tener una clasificación de la información que se maneje para saber que controles se deben tener en cuanta para garantizar la confidencialidad, integridad y disponibilidad de la información en una Organización.

jueves, marzo 04, 2010

ISO 27001 e ISO 27002: Dominio 6 - Organización de la Seguridad

Continuando con los Dominios del SGSI regidos por la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 6 titulado Organización de la Seguridad de la Información. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen objetivos de control:


6.1 Organización Interna:
Se debe establecer una estructura de gestión para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.

La dirección debería aprobar la política de seguridad de la información, asignar las funciones de seguridad, coordinar y revisar la implementación de la seguridad en toda la organización.

Si es necesario, se recomienda establecer una fuente de asesoría especializada sobre seguridad de la información y ponerla a disposición en la organización.
Es conveniente desarrollar contactos con grupos o especialistas externos en seguridad, incluyendo las autoridades pertinentes, para ir al campas de las tendencias industriales, monitorear normas y métodos de evaluación, así como proveer puntos adecuados de vínculo cuando se manejan incidentes de seguridad de la información. Se debería promover un enfoque multidisciplinario para la seguridad de la información.





6.2 Partes Externas:
Mantener la seguridad de la información y de los servicios de procesamiento de información de la organización a los cuales tienen acceso partes externas o que son procesados. comunicados o dirigidos por éstas.


La seguridad de la información y de los servicios de procesamiento de información no se deberían reducir introduciendo productos o servicios de partes externas.


Se debería controlar todo acceso a los servicios de procesamiento de información, así
como el procesamiento y comunicación de información por partes externas.

Cuando existe una necesidad del negocio de trabajar con partes externas que pueden requerir acceso a la información de la organización y a sus servicios de procesamiento de información, o de obtener o suministrar productos y servicios de o para una parte externa, se debería realizar una evaluación de riesgos para determinar las implicaciones para la seguridad y los requisitos de control. Los controles se deberían acordar y definir en un convenio con la parte externa.

Básicamente, el propósito que persigue este dominio es el siguiente:

Implantar los lineamientos para administrar y mantener la seguridad de la información en la organización, al igual que los términos de seguridad que deben ser aplicados al personal (interno y externo), que se vea involucrado directa o indirectamente con su información. Adicionalmente definir la estructura de Gestión de Seguridad y los roles y perfiles relacionados con ésta.
Ahora, entremos en detalles sobre este Dominio:


Organización Interna

Dentro de los roles definidos en el modelo normativo de seguridad de la información se encuentran definidas todas las funciones y labores relacionadas con seguridad de la información. Entre éstos podriamos encontrar:

  • El Comité de seguridad de la información es el responsable de revisar y aprobar la política de seguridad de la información.
  • El Comité de seguridad de la información es el encargado de la definición de las políticas, normas y procedimientos relacionados con la seguridad de la información e igualmente velarán por la implantación y cumplimiento de los mismos.
  • El Coordinador de Sistemas: es el responsable de asegurar el cumplimiento del esquema organizacional requerido para la labor de administración de seguridad de la información y de velar por la implantación de las medidas de administración de seguridad de la información. Igualmente es responsable de desarrollar las tareas necesarias para el mantenimiento de estas medidas.
  • Por medio de la ejecución de planes de comunicación, divulgación, entrenamiento y capacitación, se debe dar a conocer la cultura de seguridad de la información a todos los usuarios del SGSI.

Relación con terceros
  • El contenido del modelo normativo de seguridad de la información debe involucrar al personal externo a la empresa o a un tercero de la organización, que este involucrado por medio de un contrato, alianza o convenio, con el fin de asegurar la integridad, confidencialidad y disponibilidad de la información de la Organización
  • Todos los funcionarios deben cumplir las leyes y regulaciones nacionales e internacionales respecto a derechos de autor y propiedad intelectual, comercio electrónico e intercambio electrónico de datos. Personal externo a la organización o un tercero que esté involucrado debe cumplir de igual forma con estas leyes y regulaciones definidas.
  • La Organización por medio de contratos comerciales o civiles, alianzas o convenios que tenga con el personal externo y que posea acceso a la información del proyecto deberá acatar el modelo normativo de seguridad de la información. Las excepciones que se presenten deben estar totalmente documentadas, justificadas y aprobadas, y el tercero, en ningún caso podrá hacer uso de estas excepciones para violar o infringir la seguridad de la información de la Organización.
  • El acceso a los activos de información está sujeto a validación por parte del personal encargado de la seguridad de la información en la Organización, para que no se otorgue acceso a la información confidencial sin la existencia de una autorización y compromiso explícitos, los cuales deben estar respaldados por un acuerdo escrito de confidencialidad y/o de no-revelación, total ni parcial de información.
Como pueden ver, la implementación de un SGSI busca "blindar" toda posibilidad de incidentes de seguridad ya sea con los trabajadores propios de la Organización, un proveedor o agentes externos a ella que por cualquier razón deban tener acceso a la información que posea. Aquí no hay eslabones sueltos, todo va muy bien encadenado con el propósito de garantizar la seguridad con cualquier persona o entidad que se involucre con una Organización que tenga adecuadamente implementado un SGSI.

martes, marzo 02, 2010

ISO 27001 e ISO 27002: Dominio 5 - Política de Seguridad


Hoy inicio con una serie de entradas con los Dominios del SGSI regidos por la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 5 titulado Política de la Información. Que dicen la ISO 27001 e ISO 27002? Veamos:

La política de seguridad de información de una organización brindar apoyo y Orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.


Las directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de segundad de la información en toda la organización
Ahora, profundizando un poco mas:
  1. Debe estar documentada.
  2. Debe ser comunicada y conocida por todos y cada uno de los trabajadores que pertenezcan a la organización, así como también por sus proveedores.
  3. Debe ser revisada a intervalos planificados, o cuando ocurra algún cambio significativo que pueda afectar el enfoque de la organización para la gestión de la seguridad de la información. Importante: de estas revisiones, debe quedar registro.
  4. Debe ser aprobada por la Alta Dirección de la Organización.
  5. Debe declarar el compromiso de la dirección y establecer el enfoque de ésta para la gestión de la seguridad de la información.

Para finalizar, los dejo con un modelo de política de seguridad de información:

Compromiso De La Dirección

La Alta Dirección de ______________ provee evidencia de su compromiso con el desarrollo y la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) así como la mejora continua de su efectividad mediante:

  • La autorización para que se implemente el SGSI en ________.
  • Estableciendo la política del SGSI
  • Estableciendo los objetivos del SGSI
  • Revisiones semestrales del SGSI
  • Asignando roles y responsabilidades en seguridad de la información.
  • Comunicando a la organización la importancia de lograr los objetivos de seguridad, de cumplir sus responsabilidades y de buscar el mejoramiento continúo en seguridad.
  • Proporcionar todos los recursos necesarios para una adecuada implementación del SGSI.
  • Asegurar que todo el personal a quien se asignó las responsabilidades definidas en el SGSI sea competente para realizar las tareas requeridas
La responsabilidad final con respecto a la seguridad de la información de la implementación del SGSI recae sobre la gerencia de __________, soportado por los responsables de cada área de servicio de ___________.

La definición de la política del SGSI para ___________, incluye los siguientes tópicos:

  1. Organización de la Seguridad, que busca establecer un modelo de gerenciamiento para controlar la implementación del sistema y la definición clara de funciones y responsabilidades.
  2. Gestión de activos, destinado a mantener una adecuada protección de los activos, con base en los niveles requeridos y tratamiento especial que se de acuerdo a su clasificación.
  3. Seguridad de los recursos humanos, orientado a reducir los riesgos en el manejo de información y el establecimiento de compromisos y mecanismos necesarios para fortalecer las debilidades en materia de seguridad a este respecto.
  4. Seguridad física y del entorno, destinado a impedir accesos no autorizados, daños o alteraciones en la infraestructura que compone a __________.
  5. Gestión de las comunicaciones y las operaciones, dirigido a mantener disponible y en correcto funcionamiento las instalaciones de ____________.
  6. Control de acceso, orientado a validar, verificar y proveer el acceso lógico a la información (aplicaciones, bases de datos y servicios en general) de forma adecuada.
  7. Desarrollo y mantenimiento de los sistemas de información, en donde se definirán las medidas necesarias para crear ambientes propios de desarrollo, implementación y mantenimiento de los sistemas de información y los controles de seguridad de cada uno.
  8. Gestión de la continuidad del negocio, orientado a minimizar el impacto causado por interrupciones en las actividades ejecutadas dentro del proyecto, protegiendo los procesos críticos de eventos significativos funestos que pudieran presentarse.
  9. Cumplimiento, destinado a impedir posibles infracciones o violaciones a las normas, reglamentos, contratos y requisitos de seguridad de información que se establezcan como parte de la implementación del SGSI de ___________.
Cualquier violación de la presente política podrá dar lugar a medidas disciplinarias, incluyendo despido.
Vale la pena aclarar que este es un modelo, y como tal puede ser modificado, mejorado, etc. a gusto de cada persona que implemente un SGSI.

Marco Normativo (Normas y politicas) de un SGSI

Cuando se quiere implementar un SGSI, se debe estructurar un Modelo Normativo que incluya cada uno de los dominios de la ISO 27001 (Anexo 1) e ISO 27002 (Numerales 5 a 15), los cuales pueden ser incluidos por ejemplo, en el Manual de Seguridad que se desarrolle en la implementación del SGSI.

Este modelo normativo puede estructurarse documentando una política por cada dominio, y normas que complementen a la política y que aglomeren los objetivos de control que exista en la ISO 27002, teniendo así 10 Políticas, y aproximadamente 30 o mas Normas para cubrir completamente lo incluido en esta Norma. En realidad el número de Normas no es tan relevante como el contenido, así que es posible manejar este tema como brinde mayor comodidad a la persona que este implementando el SGSI. A continuación les muestro un modelo de marco normativo:
Organización del SGSI
1. Norma Organización Interna Seguridad Información
2. Norma Seguridad Información Relacion Terceras Partes
3. Norma Seguridad Información Acuerdos Confidencialidad
4. Norma Seguridad Información Acceso Terceros
5. Norma Seguridad Contratos con Terceros

Gestión de Activos
1. Norma de responsabilidad sobre los activos de información
2. Norma sobre clasificación de la información y responsabilidades sobre su manejo.

Recursos Humanos
1. Norma sobre requerimientos de seguridad de la información en el proceso de contratación.

Seguridad Física y Ambiental
1. Norma sobre áreas seguras.
2. Norma sobre seguridad de equipos informáticos y telecomunicaciones.
3. Norma Seguridad Trabajo Areas Seguras.

Comunicaciones y Operaciones
1. Norma sobre documentación de procedimientos operativos
2. Norma para la gestión de servicios tercerizados
3. Norma sobre planeación y aceptación de sistemas
4. Norma sobre protección contra virus, código malicioso y móvil
5. Norma sobre gestión de respaldo y recuperación
6. Norma sobre gestión de seguridad en redes
7. Norma para el manejo de medios de información
8. Norma sobre Intercambio de información
9. Norma sobre el servicio de comercio electrónico
10. Norma sobre monitoreo de actividades de seguridad de la información.

Control de Acceso
1. Requisitos del negocio para el control del acceso

2. Gestión del acceso de usuarios

3. Responsabilidades de los usuarios

4. Control de acceso a las redes

5. Control de acceso al sistema operativo

6. Control de acceso a las aplicaciones y a la información

7. Computación móvil y trabajo remoto



Desarrollo de Software
1. Norma para adquisición, desarrollo y mantenimiento de sistemas de información
2. Norma Instalación Software Ambiente Operativo
3. Norma Acceso Código Fuente
4. Norma Especificaciones Funcionales Seguridad Aplicaciones.

Gestión Incidentes
1. Norma para la gestión de incidentes de seguridad de la información.

Continuidad del Negocio
1. Norma Continuidad Negocio.

Cumplimiento
1. Norma de Cumplimiento con Requisitos Legales y Reglamentarios

Para finalizar, les comento que a partir de este modelo normativo, iniciare una serie de entradas sobre cada uno de los Dominios de la Norma en los que profundizare mas sobre que dicen las ISO 27001 y 27002 y como interpretarlo satisfactoriamente.