viernes, marzo 19, 2010

ISO 27001 e ISO 27002: Dominio 10 - Gestión de Comunicaciones y Operaciones




Continuando con los Dominios de la ISO 27002 (Numeral 10) o Anexo A de la ISO 27001 (Anexo A10), hoy vamos a revisar las Comunicaciones y Operaciones. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen diez objetivos de control:

10.1 Procedimientos Operacionales y responsabilidades
Objetivo: asegurar la operación correcta y segura de los servicios de procesamiento de información.

Se deberían establecer todas las responsabilidades y los procedimientos para la gestión y operación de todos los servicios de procesamiento de información. Esto incluye el desarrollo de procedimientos operativos apropiados.

Cuando sea conveniente, se deberla Implementar la separación de funciones para reducir el riesgo de uso inadecuado deliberado o negligente del sistema

10. 2 Gestión de la Prestación del Servicio por Terceras partes
Objetivo: implementar y mantener un grado adecuado de seguridad de la información y de la prestación del servicio, de conformidad con los acuerdos de prestación del servicio por terceras.

La organización debería verificar la implementación de acuerdos, monitorear el cumplimiento de ellos y gestionar los cambios para asegurar que los servicios que se prestan cumplen los requisitos acordados con los terceros

10.3 Planificación y Aceptación del Sistema
Objetivo: minimizar el riesgo de fallas en los sistemas.

Se requieren planificación y preparación avanzadas para garantizar la disponibilidad de la capacidad y los recursos adecuados para entregar el desempeño requerido del sistema.

Es necesario hacer proyecciones de la capacidad futura para reducir el riesgo de sobrecarga del sistema.

Los requisitos operativos de los sistemas nuevos se deberían establecer, documentar y probar antes de su aceptación y uso.

10. 4 Protección contra códigos maliciosos y móviles.
Objetivo: proteger la integridad del software y de la información.

Se requieren precauciones para evitar y detectar la introducción de códigos maliciosos y códigos móviles no autorizados.

El software y los servicios de procesamiento de información son vulnerables a la introducción de códigos maliciosos tales como virus de computador, gusanos en la red, caballos troyanos y bombas lógicas. Los usuarios deberían ser conscientes de los peligros de los códigos maliciosos. Los directores deberían, cuando sea apropiado, introducir controles para evitar, detectar y retirar los códicos maliciosos y controlar los códigos móviles.

10.5 Respaldo
Objetivo: mantener la integridad y disponibilidad de la información y de los servicios de procesamiento de información.

Se deberian establecer procedimientos de rutina para implementar la política y la estrategia de
respaldo acordada (véase el numeral 14.1) para hacer copias de seguridad de los datos y probar sus tiempos de restauración.

10.6. Gestión de la Seguridad de Redes
Objetivo: asegurar la protección de la información en las redes y la protección de la infraestructura de soporte.

La gestión segura de las redes, las cuales pueden sobrepasar las fronteras de la organización, exige la consideración cuidadosa del flujo de datos, las implicaciones legales, el monitoreo y la protección.


También pueden ser necesarios los controles adicionales para proteger la información sensible que pasa por redes publicas.
10.7. Manejo de los Medios
Objetivos: evitar la divulgación, modificación, retiro o destrucción de activos no autorizada, y la interrupción en las actividades del negocio. Estos medios se deberían controlar y proteger de forma física.

Se deberían establecer procedimientos operativos adecuados para proteger documentos, medios de computador (por ejemplo cintas, discos), datos de entrada, salida y documentación del sistema contra divulgación, modificación, remoción y destrucción no autorizadas.

10.8. Intercambio de la Información
Objetivo: mantener la seguridad de la información y del software que se intercambian dentro de la organización y con cualquier entidad externa.

Los intercambios de información y de software entre las organizaciones se deberían basar en una politica formal de intercambio, ejecutar según los acuerdos de intercambio y cumplir la legislación correspondiente (véase la sección 15).

Se deberían establecer procedimientos y normas para proteger la información y los medios fisicos Que contienen información en tránsíto.

10.9 Servicios de Comercio Electrónico
Objetivo: garantizar la seguridad de los servicios de comercio electrónico y su utilización segura.

Es necesario considerar las implicaciones de seguridad asociadas al uso de servicios de comercio electrónico. incluyendo las transacciones en linea y los requisitos para los controles.

También se deberían considerar la integridad y disponibilidad de la información publicada electrónicamente a través de sistemas disponibles al público.

10.10 Monitoreo
Objetivo: detectar actividades de procesamiento de la información no autorizadas.

Se deberían monitorear los sistemas y registrar los eventos de seguridad de la información.

Los registros de operador y la actividad de registro de fallas se deberían utilizar para garantizar la identificación de los problemas del sistema de Información.

La organización deberla cumplir todos los requisitos legales pertinentes que se aplican a sus actividades de monitoreo y registro.

Es recomendable emplear el monitoreo del sistema para verificar la eficacia de los controles adoptados y revisar el cumplimiento de un modelo de política de acceso.

Sintetizando, y mucho por que son 10 objetivos de control, esto es lo que busca este Dominio:
Para los sistemas y servicios de procesamiento de la información e infraestructura de la organización se deben definir y establecer controles que garanticen la seguridad, integridad y disponibilidad de la información.
Ahora si detallemos Objetivo por Objetivo:

10.1 Procedimientos y responsabilidades de operación
Para la gestión y operación de todos los sistemas y servicios de procesamiento de información de la Organización, se deben establecer procedimientos y responsabilidades que incluyan el desarrollo de instrucciones adecuadas para la operación y procedimientos de respuesta a incidentes operativos y de información.
Para reducir el riesgo de usos no adecuados, sin intención, por error o negligencia de los sistemas de información se debe implementar, de ser requerido, la segregación de funciones de los diferentes roles establecidos en la organización.

10.2 Gestión de servicios tercerizados

Se deben definir normas y controles de seguridad que garanticen la adecuada y eficiente entrega de servicios por parte de proveedores externos. Se deben identificar los posibles riegos de seguridad de la información con relación a los servicios que presta el proveedor externo, para adicionar en el contrato las correspondientes medidas de seguridad que ayudan a la mitigación de estos riesgos.

10.3 Planificación y aceptación del sistema
Se deben definir los requerimientos sobre la planeación en cuanto a la capacidad que deben tener los sistemas o servicios de procesamiento de la información del la Organización y sobre los controles que se deben aplicar para la aceptación y desarrollo de actualizaciones o nuevas versiones de los sistemas de información.

Para todas las nuevas actualizaciones a sistemas, nuevas versiones y nuevos sistemas de información se deben establecer criterios de aceptación, se deben realizar planes de pruebas para estos nuevos requerimientos antes de su definitiva aceptación y puesta en producción.

10.4 Protección contra software malicioso

Se deben definir los adecuados controles para prevenir y detectar la introducción de código o software malicioso.

Los usuarios y funcionarios de la Organización deben tener conocimiento de los peligros que puede ocasionar el software malicioso o no autorizado. Se deben tomar las precauciones adecuadas para la detección e impedimento de los virus informáticos en los equipos de la Organización.

10.5 Gestión de respaldo y recuperación
Se deben establecer normas y procedimientos rutinarios que permitan tener respaldo de la información y procesamientos de información, realizando copias de seguridad, realizando planes de pruebas y simulaciones de la recuperación oportuna de los datos, registrando eventos o fallos y monitoreo de los equipos.

10.6 Gestión de seguridad en redes
Se deben establecer controles y medidas específicas para la protección de los datos críticos o sensibles que transitan por las redes públicas de la Organización.

10.7 Utilización de los medios de información
Para proteger los documentos, soportes de información, como: discos, cintas, etc., se deben establecer procedimientos operativos para la protección de estos activos de información.

10.8 Intercambio de información
Se debe garantizar que toda la información, datos y software intercambiado entre las organizaciones permanezcan controlados y cumpla con las leyes y regulaciones correspondientes.

Se deben establecer acuerdos, procedimientos y normas para el intercambio de información entre organizaciones. Se deben considerar las implicaciones relacionadas con comercio, correo e intercambio electrónico de datos.

10.9 Servicios de comercio electrónico
Se deben establecer e implementar controles y normas para proteger el comercio electrónico de amenazas que pueden llevar a actividades fraudulentas, disputas por contratos y divulgación o modificación de la información de la Organización.

10.10 Monitoreo
Se deben definir lineamientos sobre el monitoreo de los sistemas de información de la Organización para la detección de actividades de procesamiento de información no autorizados. Se deben definir y asignar roles a los funcionarios que tengan la responsabilidad de monitorear la efectividad y eficiencia de los procesos operacionales, de tal forma que se realicen auditorías y se puedan con el tiempo aplicar mejoras a los procesos.
Este es el Dominio mas extenso de toda la ISO 27002 y/o ISO 27001, y abarca desde la asignación inicial de responsabilidades, la planeación de la capacidad del sistema, generación de backups, gestión de redes, monitoreo, TODO lo que este involucrado con la capacidad productiva de la Organización y de la continuidad de las comunicaciones de la misma para evitar situaciones que puedan eventualmente paralizar la producción con resultados tales como perdidas económicas, de reputación, demandas, etc.

No hay comentarios.: