viernes, mayo 07, 2010

ISO 27001 e ISO 27002: Dominio 15 Cumplimiento



Continuando con los Dominios de la ISO 27002 (Numeral 15) o Anexo A de la ISO 27001 (Anexo A15), hoy vamos a revisar el Cumplimiento. Que dicen la ISO 27001 e ISO 27002? Bien, incluye tres objetivos de control:

15.1 CUMPLIMIENTO DE REQUISITOS LEGALES

Objetivo: evitar el incumplimiento de cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad.
El diseño, el uso, la operación y la gestión de los sistemas de información pueden estar sujetos a requisitos de seguridad estatutarios, reglamentarios y contractuales.

Se debería buscar asesoría sobre los requisitos legales específicos de los asesores jurídicos de la organización o de abogados practicantes calificados. Los requisitos legales varían de un país a otro y pueden variar para la información creada en un país y que se transmite a otro (es decir, el flujo de datos transfronterizo).


15.2 CUMPLIMIENTO DE LAS POLÍTICAS Y LAS NORMAS DE SEGURIDAD Y CUMPLIMIENTO TÉCNICO

Objetivo: asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.
La seguridad de los sistemas de información se debería revisar a Intervalos regulares.

Dichas revisiones se deberían llevar a cabo frente a las políticas de seguridad apropiadas y se deberían auditar las plataformas técnicas y los sistemas de información para determinar el cumplimiento de las normas aplicables sobre implementación de la seguridad y los controles de seguridad documentados.

15.3 CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN


Objetivo: maximizar la eficacia de los procesos de auditoría de los sistemas de información y minimizar su interferencia.


Deberían existir controles para salvaguardar los sistemas operativos y las herramientas de auditoría durante las auditorias de los sistemas de información y minimizar su interferencia.


Deberían existir controles para salvaguardar los sistemas operativos y las herramientas de auditoría durante las auditorias de los sistemas de información.
También se requiere protección para salvaguardar la integridad y evitar el uso inadecuado de las herramientas de auditoría.
La Norma busca que para todos los proyectos desarrollados por la Organización, en el diseño, operación, uso y gestión de los sistemas de información se debe evaluar si deben estar sujetos a obligaciones estatutarias, reglamentarias y contractuales de seguridad. De ser así se debe evitar el incumplimiento a cualquier ley civil o penal, obligaciones estatutarias, reglamentarias o contractuales de cualquier requisito de seguridad. Veamos un poco mas:
Todas las actividades que realicen los funcionarios o proveedores de servicios externos de la Organización, en donde utilicen los activos de información del la Organización deben acogerse a la política de seguridad y de cumplimiento técnico corporativo que le aplique. En la Organización se debe asegurar que los sistemas de información con los que se interactúa cumplen con las normas y políticas de seguridad de la organización.
Para asegurar la protección de los sistemas operativos y las herramientas de auditoría durante las auditorias del sistema se deben establecer los controles respectivos y necesarios.
Ahora profundizando:

1. Cumplimiento de los requisitos legales
Para cada sistema de información en la Organizacion se deben definir, documentar específicamente y mantener actualizados los requisitos estatutarios, reglamentarios y contractuales, se deben definir los controles, medidas y responsabilidades específicos para su cumplimiento.

Para la definición y cumplimiento de los requisitos legales específicos en la Organizacion se debe buscar el soporte de los asesores jurídicos de la organización. Sobre la utilización de software patentado y/o utilización de material en el cual pueden existir derechos de propiedad intelectual en la Organizacion, se deben implementar procedimientos apropiados para el aseguramiento del cumplimiento de los requisitos legales, reglamentarios y contractuales. (Ejemplo: licencias, software legal, etc).

Los registros importantes, confidenciales o sensibles de la Organización se deben proteger contra la pérdida, destrucción y falsificación, por lo tanto se deben guardar de forma segura, para cumplir con los requisitos estatutarios, legales, contractuales y de la organización.


Los funcionarios de la Organización y usuarios de terceras partes deben estar informados que no es permitido otro acceso que no sea el autorizado a los sistemas y servicios de procesamiento de información.
Los controles criptográficos o de cifrado que se utilicen en la Organización deben cumplir con todos los acuerdos, leyes y reglamentos pertinentes con el país donde sean aplicados o donde se traslade información cifrada.

2. Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico

Se debe asegurar el cumplimiento de los sistemas con las políticas y normas de seguridad estipuladas por la Organización.
Cada responsable de los procesos en la Organizacion debe garantizar el correcto funcionamiento de todos los procedimientos de seguridad que se encuentren dentro de sus responsabilidades para lograr el cumplimiento con las políticas y normas de seguridad.

Se deben realizar revisiones regulares al menos una por año y/o de acuerdo a la programación de las auditorias internas, a todas las áreas de la Organización y a los propietarios de sistemas de información para asegurar el cumplimiento de las políticas, normas y cualquier otro requisito apropiado de seguridad.


Para determinar el cumplimiento con las normas de implementación de seguridad, los sistemas de información deben ser verificados periódicamente. Una verificación del cumplimiento técnico asegura que los controles y medidas de hardware y software han sido implementados correctamente en los sistemas operativos de la Organización. Este tipo de verificaciones las deben realizar o supervisar únicamente personas competentes y autorizadas.

3. Consideraciones de la auditoría de los sistemas de información
Durante las auditorias del sistema se deben establecer controles para la protección de los sistemas operativos y de las herramientas de auditoría, para maximizar la eficacia de los procesos de auditoría de los sistemas de información y minimizar su interferencia.


Para minimizar el riesgo de interrupciones de los procesos de negocio de la Organización, se deben planificar y acordar detalladamente los requisitos y las actividades de auditoría lo cual implica verificaciones de los sistemas operativos.


Para evitar el uso inadecuado o evitar poner en peligro las herramientas de auditoría de los sistemas de información, éstas deben estar protegidas, deben estar separadas de los sistemas de desarrollo y de producción, no se deben mantener en librerías de cintas o áreas de usuario, salvo que estén debidamente protegidas.



No hay comentarios.: