Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y
contiene los requisitos del sistema de gestión de seguridad de la información. Tiene
su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por
auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2,
habiéndose establecido unas condiciones de transición para aquellas empresas
certificadas en esta última. En su Anexo A, enumera en forma de resumen los
objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva
numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no
ser obligatoria la implementación de todos los controles enumerados en dicho anexo,
la organización deberá argumentar sólidamente la no aplicabilidad de los controles
no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada
en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. WWW.ISO27000.ES ©
4
Otros países donde también está publicada en español son, por ejemplo, Colombia ,
Venezuela y Argentina. El original en inglés y la traducción al francés pueden
adquirirse en ISO.org.
miércoles, 30 de octubre de 2013
ISO 27000
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
Standards Institution, la organización británica equivalente a AENOR en España) es
responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001
1992 Publicación BS 7750 - ahora ISO 14001
1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas
para la gestión de la seguridad de su información.
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la
que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2),
publicada por primera vez en 1998, la que establece los requisitos de un sistema de
seguridad de la información (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó
por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de
sistemas de gestión. WWW.ISO27000.ES ©
3
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se
publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó
ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de
2007, manteniendo el contenido así como el año de publicación formal de la revisión.
En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó
la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la
historia de ISO 27001 e ISO 17799.
COBIT
COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.
COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.
Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información.
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
CONTROLES
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.
Clasificación general de los controles
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones .
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría
Procedimientos de validación
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar dificil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.
Principales Controles físicos y lógicos
Controles particulares tanto en la parte fisica como en la lógica se detallan a continuación
Autenticidad
Permiten verificar la identidad
- Passwords
- Firmas digitales
Exactitud
Aseguran la coherencia de los datos
- Validación de campos
- Validación de excesos
Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de envio
- Conteo de regitros
- Cifras de control
Redundancia
Evitan la duplicidad de datos
- Cancelación de lotes
- Verificación de secuencias
Privacidad
Aseguran la protección de los datos
- Compactación
- Encriptación
Existencia
Aseguran la disponibilidad de los datos
- Bitácora de estados
- Mantenimiento de activos
Protección de Activos
Destrucción o corrupción de información o del hardware
- Extintores
- Passwords
Efectividad
Aseguran el logro de los objetivos
- Encuestas de satisfacción
- Medición de niveles de servicio
Eficiencia
Aseguran el uso óptimo de los recursos
- Programas monitores
- Análisis costo-beneficio
Controles automáticos o lógicos
Periodicidad de cambio de claves de acceso
Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
Combinación de alfanuméricos en claves de acceso
No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.
Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales
Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.
Confidenciales
De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves.
No significativas
Las claves no deben corresponder a números secuenciales ni a nombres o fechas.
Verificación de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.
Conteo de registros
Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.
Totales de Control
Se realiza mediante la creación de totales de linea, columnas, cantidad de formularios, cifras de control, etc. , y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.
Verficación de limites
Consiste en la verificación automática de tablas, códigos, limites mínimos y máximos o bajo determinadas condiciones dadas previamente.
Verificación de secuencias
En ciertos procesos los registros deben observar cierta secuencia numerica o alfabetica, ascendente o descendente, esta verificacion debe hacerse mediante rutinas independientes del programa en si.
Dígito autoerificador
Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la cédula de identidad, calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo 11.
Utilizar software de seguridad en los microcomputadores
El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.
Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.
Controles administrativos en un ambiente de Procesamiento de Datos
La máxima autoridad del Area de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores
Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.
ANÀLISIS DE RIESGO
Análisis
de Riesgo
El
análisis de riesgo es un proceso sistemático para estimar la magnitud de los
riesgos a que está expuesta una organización o empresa.
Es
la identificación de las amenazas que acechan a los distintos componentes
pertenecientes o relacionados con un sistema de información (activos) para
determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el
impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la
organización.
Acorde
al punto 5.4 de Magerit (España) es importante crear escenarios de ataque,
imaginar amenazas a los activos, pensar cómo un atacante se enfrentaría a
nuestros sistemas o activos.
Hay
que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos
y recursos. Es importante plantear diferentes situaciones dependiendo del
perfil técnico del atacante o de sus recursos técnicos y humanos.
Estos
escenarios de ataque o dramatizaciones son importantes para evaluar impactos y
riesgos.
Los procesos de auditoría y análisis de riesgos son un componente clave
en la definición de seguridad de la información y seguridad informática. El
principal objetivo de un análisis de riesgo y programa de auditoría es
identificar los activos involucrados en la organización, sus metodologías y
procesos de estimar el riesgo asociado. De esta manera que usted puede proteger
la organización y la infraestructura no sólo. Un análisis de riesgo o de
auditoría es un proceso que debe ser mirado desde el punto de vista de la
administración de la organización y no sólo en el área de tecnologías de la
información, porque su alcance es mucho más amplio.
El análisis de riesgo o el proceso de auditoría busca identificar y
evaluar el riesgo y recomendar medidas de mitigación para reducir el riesgo a
niveles aceptables para la organización.
A través de un análisis de riesgo o de auditoría, las organizaciones
pueden obtener los siguientes beneficios:
• Mejoras significativas en la seguridad de sistemas de información,
almacenan, procesan y transmiten la información de la organización;
• Mejoras significativas en la aplicación y los procesos de gestión;
• Mayor y mejor control sobre los activos de la empresa;
• Permite una mejor gestión de riesgo organizacional;
• Permite la administración de una organización de hacer mejores
decisiones de inversión en seguridad de la información.
Los pasos para realizar un análisis de riesgos o auditoría son las
siguientes:
1. definición del alcance y el contexto organizacional;
2. identificación;
3. Cálculo de las estimaciones de riesgo;
4. riesgos;
5. Riesgo de controles comunicación y mitigación;
6. aplicación de los controles;
7. aceptación del riesgo.
Definición de sistema de gestión de seguridad de la información (SGSI del sistema de gestión de información seguridad)
¿Qué es un SGSI?
• Es un conjunto de políticas relacionadas con la seguridad de la información, que se basa en el modelo de mejora continua de la metodología PDCA (Plan--Check-Act).
2. identificación;
3. Cálculo de las estimaciones de riesgo;
4. riesgos;
5. Riesgo de controles comunicación y mitigación;
6. aplicación de los controles;
7. aceptación del riesgo.
Definición de sistema de gestión de seguridad de la información (SGSI del sistema de gestión de información seguridad)
¿Qué es un SGSI?
• Es un conjunto de políticas relacionadas con la seguridad de la información, que se basa en el modelo de mejora continua de la metodología PDCA (Plan--Check-Act).
ISMOS objetivas
• Tiene como principal objetivo mantener la eficacia y eficiencia de los
procesos y una infraestructura con el tiempo, manteniendo siempre las mismas
normas independientemente de versiones que existen internamente o externamente.
Un SGSI es definido por la metodología PDCA (Plan--Check-Act):
Plan:
el sorteo de los ismos, establecer su alcance declaración de
aplicabilidad (SoA);
el evaluar los activos y los riesgos de seguridad de información
(análisis de riesgos);
el realizar un plan de acción y seleccione las medidas apropiadas
(controles);
el análisis de brecha;
De:
la aplicación de los planes de acción (previamente definidos los
controles, medidas);
Verificación:
la realizan auditorías internas, validar las medidas controles
(controles) aplicado previamente;
Ley:
el analizar, verificar e implementar acciones correctivas y evolutiva
(si es necesario) para lograr la mejora continua.
Consideraciones
Jamás
olvide que en las empresas la seguridad comienza por dentro. Capacitando al
personal,creando normas basadas en standards, analizando brechas y puntos
ciegos en la seguridad lógica y en la seguridad de sistemas de información.
Es
fundamental la creación de escenarios de conflicto en forma continua
participando la gerencia de la empresa junto con un auditor en seguridad, a
partir de estos escenarios pueden lograrse medidas para evitar eventos de
seguridad.
Anticiparse
a los hechos
Imagínese
el peor escenario posible. Piense cómo evitarlo. Existen normas,
procedimientos,protocolos de seguridad existentes que pueden ayudar a crear y
basar (valga la redundancia) sus procedimientos internos para alejar la
posibilidad de riesgo.
Si
su empresa opera a través de internet o telecomunicaciones no olvide que es más
probable tener una fuga de información o problema interno de seguridad con su
personal a que un hacker intente vulnerar sus sistemas, el fraude interno está
a la orden del día.
Realice
periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con
cada uno de sus empleados con una frecuencia trimestral contando con apoyo de
un profesional en psicología laboral con experiencia previa y capacitado en PNL
(nunca está de más que en estas entrevistas participe un auditor en seguridad,
el auditor debe ser capaz de percibir a un “insider”)
El
siguiente glosario es un compendio de términos técnicos de auditoria en seguridad
que le permitirá comprender diversos informes y graficar situaciones eventuales
en que su empresa podría verse comprometida.
Suscribirse a:
Comentarios (Atom)