jueves, 26 de marzo de 2009
martes, 17 de marzo de 2009
lunes, 2 de marzo de 2009
lunes, 9 de febrero de 2009
Secure Socket Layer
Secure Sockets Layer
Protocolo de Capa de Conexión Segura (SSL) y Transport Layer Security -Seguridad de la Capa de Transporte- (TLS), su sucesor, son protocolos criptograficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
Descripcion:
SSL permite la Confidencialidad y la Autentificación en las transacciones por Internet, siendo usado principalmente en aquellas transacciones en la que se intercambian datos sensibles, como números de tarjetas de crédito o contraseñas de acceso a sistemas privados. SSL es una de las formas base para la implementación de soluciones PKI (Infraestructuras de Clave Pública).
Protocolo de Capa de Conexión Segura (SSL) y Transport Layer Security -Seguridad de la Capa de Transporte- (TLS), su sucesor, son protocolos criptograficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
Descripcion:
SSL proporciona autenticacion y privacidad de la información entre extremos sobre mediante el uso de Internet criptografia. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de Infraestructura de llaves publicas (o PKI) para los clientes. Los protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas (eavesdroping), la falsificación de la identidad del remitente (phishing) y mantener la integridad del mensaje.
SSL implica una serie de fases básicas:
- Negociar entre las partes el algoritmo que se usará en la comunicación
- Intercambio de claves publicas y autenticación basada en certificados digitales
- Cifrado del tráfico basado en cifrado simetrico
Durante la primera fase, el cliente y el servidor negocian qué algoritmos criptográficos se van a usar. Las implementaciones actuales proporcionan las siguientes opciones:
- Para criptografía de clave pública: RSA, Diffie-Helman, DSA (Digital Signature Algorithm) o Fortezza;
- Para cifrado simétrico: RC2 RC4, IDEA (International Data Encryption Algorithm), (Data Encryption Standard), DES Triple Des o AES (Advanced Encryption Standard);
- Con funciones hash: MD5o de la familia SHA
SSL permite la Confidencialidad y la Autentificación en las transacciones por Internet, siendo usado principalmente en aquellas transacciones en la que se intercambian datos sensibles, como números de tarjetas de crédito o contraseñas de acceso a sistemas privados. SSL es una de las formas base para la implementación de soluciones PKI (Infraestructuras de Clave Pública).
Secure Socket Layer es un sistema de protocolos de caracter general diseñado en 1994 por la empresa Nestcape Communcations Corporation, y está basado en la aplicación conjunta de Criptografía Simétrica, Criptografía Asimétrica (de llave pública), certificados digitales y firmas digitales para conseguir un canal o medio seguro de comunicación a través de Internet. De los sistemas criptográficos simétricos, motor principal de la encriptación de datos transferidos en la comunicación, se aprovecha la rapidez de operación, mientras que los sistemas asimétricos se usan para el intercambio seguro de las claves simétricas, consiguiendo con ello resolver el problema de la Confidencialidad en la transmisión de datos.
SSL implementa un protocolo de negociación para establecer una comunicaión segura a nivel de socked (nombre de máquina más puerto), de forma transparente al usuario y a las aplicaciones que lo usan.
Actualmente es el estandar de comunicación segura en los navegadores web más importantes (protocolo HTTP), como Nestcape Navigator e Internet Explorer, y se espera que pronto se saquen versiones para otras otros protocolos de la capa de Aplicación (correo, FTP, etc.).
La identidad del servidor web seguro (y a veces también del usuario cliente) se consigue mediante el Certificado Digital correspondiente, del que se comprueba su validez antes de iniciar el intercambio de datos sensibles (Autenticación), mientras que de la seguridad de Integridad de los datos intercambiados se encarga la Firma Digital mediante funciones hash y la comprobación de resúmenes de todos los datos enviados y recibidos.
Desde el punto de vista de su implementación en los modelos de referencia OSI y TCP/IP, SSL se introduce como una especie de nivel o capa adicional, situada entre la capa de Aplicación y la capa de Transporte, sustituyendo los sockets del sistema operativo, lo que hace que sea independiente de la aplicación que lo utilice, y se implementa generalmente en el puerto 443. (NOTA: Los puertos son las intefaces que hay entre las aplicacoines y la pila de protocolos TCP/IP del sistema operativo).
martes, 3 de febrero de 2009
Criptografia
Introduccion
Por lo que el mensaje "HOLA MUNDO" se transformaría en "KRÑD OXPGR". Para volver al mensaje original desde el texto cifrado tan sólo hay que coger un alfabeto e ir sustituyendo cada letra por la que está tres posiciones antes en el msimo.
Para establecer una comunicación de datos entre dos entidades (personas, equipos informáticos, etc) hacen falta al menos tres elementos básicos: el emisor del mensaje (la fuente), el receptor del mismo (el destino) y un soporte físico por el cual se transfieran los datos (el medio).
En una comunicación normal los datos se envían a través del medio tal como son, sin sufrir modificaciones de ningún tipo, de tal forma que el mensaje que representan puede ser interceptado y leido por cualquier otra entidad que acceda a él durante su viaje por el medio.
Pero hay ocasiones en las que nos interesa que dicho mensaje sólamente pueda ser interpretado correctamente por el emisor del mismo y por el receptor al que va dirigido. En estas ocasiones es necesario implementar algun mecanismo de protección de la información sensible tal que el mensaje viaje seguro desde la fuente al destino, siendo imposible la interceptación por terceros del mensaje, o que si se produce ésta, el mensaje capturado sea incomprensible para quien tenga acceso al mismo.
Una de las formas de conseguir esto es enviar el mensaje en claro, tal como lo ha redactado el emisor, y protejerlo en el camino mediante sistemas de fuerza que lo defiendan durante el camino, como es el caso de la protección de mensajes mediante personal de seguridad.
Otro método posible es el enviar el mensaje por un camino con tanto tráfico de información que resulte muy dificil a las terceras personas detectar que se trata de información confidencial (la mejor forma de ocultar un arbol es dentro de un bosque), como es el caso de enviar el mensaje mediante una carta por el sistema estándar de correo.
Desafortunadamente estos métodos de proteción de mensajes, al igual que otros análogos, han demostrado su inefectividad a lo largo de los tiempos, por lo que hubo que buscar otro tipo de mecanismos para proteger la información sensible en su camino entre emisor y receptor.
La criptología ha demostrado con el tiempo ser una de las mejores técnicas para resolver esta cuestión. Tanto es así que actualmente, en la época de los ordenadores y la información, es el mecanismo más usado en los procesos de protección de datos, como las transacciones bancarias por Internet, el correo electrónico cifrado, etc.
Definicion Criptografía
Entendemos por Criptografía (Kriptos=ocultar, Graphos=escritura) la técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello, que llamaremos criptograma o texto cifrado. El método o sistema empleado para encriptar el texto en claro se denomina algoritmo de encriptación.
Criptografía clásica.-
El cifrado de textos es una actividad que ha sido ámpliamente usada a lo largo de la historia humana, sobre todo en el campo militar y en aquellos otros en los que es necesario enviar mensajes con información confidencial y sensible a través de medios no seguros.
Aunque en cierta forma el sitema de jeroglíficos egipcio puede considerarse ya una forma de criptografía (sólo podían ser entendidos por personas con conocimientos suficientes), el primer sistema criptográfico como tal conocido de debe a Julio Cesar. Su sistema consistía en reemplazar en el mensaje a enviar cada letra por la situada tres posiciones por delante en el alfabeto latino. En nuestro alfabeto actual tendríamos la siguiente tabla de equivalencias:
| A | B | C | D | E | F | G | H | I | J | K | L | M | N | Ñ | O | P | Q | R | S | T | U | V | W | X | Y | Z |
| D | E | F | G | H | I | J | K | L | M | N | Ñ | O | P | Q | R | S | T | U | V | W | X | Y | Z | A | B | C |
Por lo que el mensaje "HOLA MUNDO" se transformaría en "KRÑD OXPGR". Para volver al mensaje original desde el texto cifrado tan sólo hay que coger un alfabeto e ir sustituyendo cada letra por la que está tres posiciones antes en el msimo.
La sustitución consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición natural en el alfabeto. Por ejemplo, fijar una equivalencia entre las letras del alfabeto original y una variación de él, de forma análoga a lo que ocurre en el método de Julio Cesar. Si fijamos la equivalencia de alfabetos:
| A | B | C | D | E | F | G | H | I | J | K | L | M | N | Ñ | O | P | Q | R | S | T | U | V | W | X | Y | Z |
| J | K | L | M | N | Ñ | O | P | Q | R | S | T | U | V | W | X | Y | Z | A | B | C | D | E | F | G | H | I |
El mensaje "HOLA MUNDO" quedaría como "PXTJ UDVMX".
La trasposición en cambio consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición en el orden del mensaje. Por ejemplo, si establecemos la siguiente regla de cambio en el orden de las letras en el texto:
| la letra | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| pasa a ser la | 5 | 1 | 4 | 7 | 8 | 2 | 9 | 3 | 6 |
la frase "HOLA MUNDO" nos quedaría "OUDL HOAMN".
Tanto la sustitución como la trasposición son técnicas básicas para ocultar la redundancia en un texto plano, redundancia que se transmite al texto cifrado, y que puede ser el punto de partida para un ataque por Criptoanálisis. La redundancia es el hecho de que casi todos los símbolos de un mensaje en lenguaje natural contienen información que se puede extraer de los símbolos que le rodean.
jueves, 29 de enero de 2009
Norma ISO 17799
Introducción
Alcance
Introducción
ISO (
Internacional) forman el sistema especializado para la estandarización mundial. Los
organismos internacionales miembros de ISO e IEC participan en el desarrollo de Estándares
Internacionales a través de los comités establecidos por la organización respectiva para lidiar
con áreas particulares de la actividad técnica. En el campo de la tecnología de la información. ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1.
Los Estándares Internacionales son diseñados en concordancia con las reglas dadas en las
Directivas ISO/IEC, Parte 2.
Los anteproyectos de los Estándares Internacionales adoptados por el comité técnico son
presentados a los organismos nacionales para su votación. La publicación de un Estándar
Internacional requiere de la aprobación de por lo menos 75% de los organismos nacionales
que emiten un voto.
ISO/IEC 17799 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de
la información, Subcomité SC 27, Técnicas de seguridad TI.
El ISO/IEC JTC 1/SC 27 viene desarrollando una familia de Estándares Internacionales para el
Sistema de Gestión de Seguridad de
Internacionales sobre requerimientos gestión del riesgo, métrica y medición, y el lineamiento
de implementación del sistema de gestión de seguridad de la información.
A partir del 2007, se propone incorporar una edición nueva del ISO/IEC 17799 en este nuevo
esquema de numeración con el nombre ISO/IEC 27002.
La información es un activo que, como otros activos comerciales importantes, es esencial para
el negocio de una organización y en consecuencia necesita ser protegido adecuadamente.
Esto es especialmente importante en el ambiente comercial cada vez más interconectado.
Como resultado de esta creciente interconectividad, la información ahora está expuesta a un
número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades (ver
también los Lineamientos OECD de
La información puede existir en muchas formas. Puede estar impresa o escrita en un papel,
almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos,
mostrada en películas o hablada en una conversación. Cualquiera que sea la forma que tome
la información, o medio por el cual sea almacenada o compartida, siempre debiera estar
apropiadamente protegida.
La seguridad de la información es la protección de la información de un rango amplio de
amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y
maximizar el retorno de las inversiones y las oportunidades comerciales.
La seguridad de la información se logra implementando un adecuado conjunto de controles;
incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de
software y hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar
estos controles cuando sea necesario para asegurar que se cumplan los objetivos de
seguridad y comerciales específicos.
Alcance:
Este Estándar Internacional establece los lineamientos y principios generales para iniciar,
implementar, mantener y mejorar la gestión de la seguridad de la información en una
organización. Los objetivos delineados en este Estándar Internacional proporcionan un
lineamiento general sobre los objetivos de gestión de seguridad de la información
generalmente aceptados.
Los objetivos de control y los controles de este Estándar Internacional son diseñados para ser
implementados para satisfacer los requerimientos identificados por una evaluación del riesgo.
Este Estándar Internacional puede servir como un lineamiento práctico para desarrollar
estándares de seguridad organizacional y prácticas de gestión de seguridad efectivas y para
ayudar a elaborar la confianza en las actividades inter-organizacionales.
Términos y definiciones:
Activo: Cualquier cosa que tenga valor para la organización
Control: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal.
Lineamiento: Una descripción que aclara qué se debiera hacer y cómo, para lograr los objetivos establecidos en las políticas
Medios de procesamiento de la información: Cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales físicos que los alojan
Seguridad de la información: Preservación de confidencialidad, integración y disponibilidad de la información; además, también puede involucrar otras propiedades como autenticidad, responsabilidad, norepudiación y confiabilidad
Evento de seguridad de la información: Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible falla en la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad.
Incidente de seguridad de la información: Un incidente de seguridad de la información es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.
Política: Intención y dirección general expresada formalmente por la gerencia
Riesgo: Combinación de la probabilidad de un evento y su ocurrencia
Análisis del riesgo: Uso sistemático de la información para identificar las fuentes y calcular el riesgo
Análisis del riesgo: Proceso general del análisis del riesgo y la evaluación del riesgo
Evaluación del riesgo: Proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo.
Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con relación al riesgo. NOTA. La gestión del riesgo normalmente incluye la evaluación del riesgo, tratamiento del riesgo, aceptación del riesgo y comunicación del riesgo.
Tratamiento del riesgo: Proceso de selección e implementación de medidas para modificar el riesgo.
Tercera persona: Esa persona u organismo que es reconocido como independiente de las partes involucradas, con relación al ítem en cuestión.
Amenaza : Una causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización
Vulnerabilidad: La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.
Estructura de este estándar
Este estándar contiene 11 cláusulas de control de seguridad conteniendo colectivamente un
total de 39 categorías de seguridad principales y una cláusula introductoria que presenta la
evaluación y tratamiento del riesgo.
a) Política de Seguridad (1);
b) Organización de
c) Gestión de Activos (2);
d) Seguridad de Recursos Humanos (3);
e) Seguridad Física y Ambiental (2);
f) Gestión de Comunicaciones y Operaciones (10);
g) Control de Acceso (7);
h) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información (6);
i) Gestión de Incidentes de Seguridad de
j) Gestión de
k) Conformidad (3).
Evaluación de los riesgos de seguridad
Las evaluaciones del riesgo debieran identificar, cuantificar y priorizar los riesgos en
comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la
organización. Los resultados debieran guiar y determinar la acción de gestión apropiada y las
prioridades para manejar los riesgos de la seguridad de la información y para implementar los
controles seleccionados para protegerse contra estos riesgos. Es posible que el proceso de
evaluación de riesgos y la selección de controles se deba realizar un número de veces para
abarcar las diferentes partes de la organización o sistemas de información individuales.
La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los
riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de
riesgo para determinar la importancia de los riesgos (evaluación del riesgo).
Tratamiento de los riesgos de seguridad
Antes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para
determinar si se pueden aceptar los riesgos, o no. Los riesgos pueden ser aceptados si, por
ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no es efectivo en
costo para la organización. Estas decisiones debieran ser registradas.
Para cada uno de los riesgos definidos después de una evaluación del riesgo se necesita
tomar una decisión de tratamiento del riesgo. Las opciones posibles para el tratamiento del
riesgo incluyen:
a) aplicar los controles apropiados para reducir los riesgos;
b) aceptar los riesgos consciente y objetivamente, siempre que cumplan claramente
con la política y el criterio de aceptación de la organización de la organización;
c) evitar los riesgos no permitiendo acciones que podrían causar que el riesgo ocurra;
d) transferir los riesgos asociados a otros grupos; por ejemplo, aseguradores o
proveedores.
Política de seguridad de la información
Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la
información en concordancia con los requerimientos comerciales y las leyes y regulaciones
relevantes.
La gerencia debiera establecer claramente la dirección de la política en línea con los
objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la
información, a través de la emisión y mantenimiento de una política de seguridad de la
información en toda la organización.
Lineamiento de implementación
El documento de la política de seguridad de la información debiera enunciar el compromiso de
la gerencia y establecer el enfoque de la organización para manejar la seguridad de la
información. El documento de la política debiera contener enunciados relacionados con:
a) una definición de seguridad de la información, sus objetivos y alcance generales y la
importancia de la seguridad como un mecanismo facilitador para intercambiar
información (ver introducción);
b) un enunciado de la intención de la gerencia, fundamentando sus objetivos y los
principios de la seguridad de la información en línea con la estrategia y los objetivos
comerciales;
c) un marco referencial para establecer los objetivos de control y los controles,
incluyendo la estructura de la evaluación del riesgo y la gestión de riesgo;
Organización de la seguridad de la información
Organización interna: Objetivo: Manejar la seguridad de la información dentro de la organización. Se debiera establecer un marco referencial gerencial para iniciar y controlar la
implementación de la seguridad de la información dentro de la organización.
La gerencia debiera aprobar la política de seguridad de la información, asignar los roles de
seguridad y coordinar y revisar la implementación de la seguridad en toda la organización.
Si fuese necesario, se debiera establecer una fuente de consultoría sobre seguridad de la
información y debiera estar disponible dentro de la organización. Se debieran desarrollar
contactos con los especialistas o grupos de seguridad externos, incluyendo las autoridades
relevantes, para mantenerse actualizado con relación a las tendencias industriales,
monitorear los estándares y evaluar los métodos y proporcionar vínculos adecuados para el
manejo de los incidentes de seguridad de la información. Se debiera fomentar un enfoque
multi-disciplinario para la seguridad de la información.
Coordinación de la seguridad de la información
Típicamente, la coordinación de la seguridad de la información debiera involucrar la
cooperación y colaboración de los gerentes, usuarios, administradores, diseñadores de
aplicación, auditores y personal de seguridad, y capacidades especializadas en áreas como
seguros, temas legales, recursos humanos, TI o gestión del riesgo. Esta actividad debiera:
a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con la
política de seguridad de la información;
b) identificar cómo manejar las no-conformidades;
c) aprobar las metodologías y procesos para la seguridad de la información; por
ejemplo, la evaluación del riesgo, la clasificación de la información;
d) identificar cambios significativos en las amenazas y la exposición de la información
y los medios de procesamiento de la información ante amenazas.
Acuerdos de confidencialidad
Se debieran identificar y revisar regularmente que los requerimientos de confidencialidad o
acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la
información.
Los acuerdos de confidencialidad o no-divulgación debieran tener en cuenta el requerimiento
de proteger la información confidencial utilizando términos legalmente ejecutables. Para
identificar los requerimientos de los acuerdos de confidencialidad o no-divulgación, se
debieran considerar los siguientes elementos:
a) una definición de la información a protegerse (por ejemplo, información
confidencial);
b) duración esperada de un acuerdo, incluyendo casos donde se podría necesitar
mantener la confidencialidad indefinidamente;
c) acciones requeridas cuando se termina un acuerdo;
d) responsabilidades y acciones de los firmantes para evitar la divulgación de
información no autorizada (tal como “sólo lo que necesita saber”);
Contacto con las autoridades
Se debieran mantener los contactos apropiados con las autoridades relevantes.
Lineamiento de implementación
Las organizaciones debieran contar con procedimientos que especifiquen cuándo y cuáles
autoridades (por ejemplo, policía, departamento de bomberos, autoridades supervisoras)
contactar, y cómo se debieran reportar los incidentes de seguridad de la información
identificados de una manera oportuna si se sospecha que se han incumplido las leyes.
Revisión independiente de la seguridad de la información
Se debiera revisar el enfoque de la organización para manejar la seguridad de la información y
su implementación (es decir; objetivos de control, controles, políticas, procesos y
procedimientos para la seguridad de la información) de manera independiente a intervalos
planeados, o cuando ocurran cambios significativos en la implementación de la seguridad.
Lineamiento de implementación
La gerencia debiera iniciar la revisión independiente. Esta revisión independiente es necesaria
para asegurar la continua idoneidad, eficiencia y efectividad del enfoque de la organización
para manejar la seguridad de la información. La revisión debiera incluir las oportunidades de
evaluación para el mejoramiento y la necesidad de cambios en el enfoque por seguridad,
incluyendo políticas y objetivos de control.
Grupos o personas externas
Objetivo: Mantener la seguridad de la información y los medios de procesamiento de
información de la organización que son ingresados, procesados, comunicados a, o
manejados por, grupos externos.
La seguridad de la información y los medios de procesamiento de la información de la
organización no debieran ser reducidos por la introducción de productos y servicios de
grupos externos.
Se debiera controlar cualquier acceso a los medios de procesamiento de información de la
organización y el procesamiento y comunicación de la información realizado por grupos
externos.
Identificación de los riesgos relacionados con los grupos externos
Se debieran identificar los riesgos para la información y los medios de procesamiento de la
información de la organización a raíz de procesos comerciales que involucran a grupos
externos y se debieran implementar controles apropiados antes de otorgarles acceso.
Estos abarcan diferentes acuerdos con grupos externos; por ejemplo,
incluyendo:
a) proveedores de servicio; tal como ISPs, proveedores de redes, servicios telefónicos,
servicios de mantenimiento y soporte;
b) servicios de seguridad manejados;
c) clientes;
d) abastecimiento externo de medios y/o operaciones; por ejemplo, sistemas TI,
servicios de recolección de data, operaciones de centros de llamadas;
e) gerencia y consultores comerciales, y auditores;
f) diseñadores y proveedores; por ejemplo, productos de software y sistemas TI.
Tratamiento de la seguridad cuando se lidia con clientes
Se debieran tratar todos los requerimientos de seguridad identificados antes de proporcionar a
los clientes acceso a la información o activos de la organización.
Lineamiento de implementación
Se debieran considerar los siguientes términos de seguridad antes de proporcionar a los
clientes acceso a cualquier activo de la organización (dependiendo del tipo y extensión de
acceso dado, tal vez no se apliquen todos ellos):
a) protección de activos, incluyendo:
1) procedimientos para proteger los activos de la organización, incluyendo
información y software, y el manejo de las vulnerabilidades conocidas;
2) procedimientos para determinar si algún activo está comprometido; por
ejemplo, cuando ha ocurrido una pérdida o modificación de data;
3) integridad;
4) restricciones sobre el copiado y divulgación de información;
b) descripción del producto o servicio a ser provisto;
c) las diferentes razones, requerimientos y beneficios para el acceso del cliente;
d) política de control de acceso, abarcando
1) métodos de acceso permitidos, y el control y uso de identificadores singulares
como IDs del usuario y claves secretas;
2) un proceso de autorización para el acceso y privilegios del usuario;
3) un enunciado que establezca que está prohibido todo acceso que no esté
explícitamente autorizado;
4) un proceso para revocar los derechos de acceso o interrumpir la conexión
entre los sistemas;
e) acuerdos para el reporte, notificación e investigación de las inexactitudes de la
información (por ejemplo, de detalles personales), incidentes de seguridad de
información y fallas en la seguridad;
f) una descripción de cada servicio que debiera estar disponible
Tratamiento de la seguridad en acuerdos con terceros
Control
Los acuerdos o contratos con terceros que involucran el acceso, procesamiento, comunicación
o manejo de la información o medios de procesamiento de información de la compañía, o
agregan producto o servicios a los medios de procesamiento de información debieran abarcar
todos los requerimientos de seguridad relevantes.
Lineamiento de implementación
El acuerdo debiera asegurar que no existan malos entendidos entre la organización y la otra
parte. Las organizaciones debieran estar satisfechas con relación a la indemnización de las
otras partes.
Gestión de activos
Responsabilidad por los activos:
Objetivo: Lograr y mantener una apropiada protección de los activos organizacionales.
Todos los activos debieran ser inventariados y contar con un propietario nombrado.
Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad
por el mantenimiento de los controles apropiados. La implementación de controles
específicos puede ser delegada por el propietario conforme sea apropiado, pero el
propietario sigue siendo responsable por la protección apropiada de los activos.
Inventario de los activos
Control
Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de
todos los activos importantes.
Lineamiento de implementación
Una organización debiera identificar todos los activos y documentar la importancia de estos
activos. El inventario de los activos debiera incluir toda la información necesaria para poder
recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de
respaldo, información de licencias y un valor comercial. El inventario no debiera duplicar
innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado.
Los inventarios de los activos ayudan a asegurar que se realice una protección efectiva de los
activos, y también puede requerir de otros propósitos comerciales; como planes de salud y
seguridad, seguros o razones financieras (gestión de activos). El proceso de compilar un
inventario de activos es un pre-requisito importante de la gestión del riesgo
Propiedad de los activos
Control
Toda la información y los activos asociados con los medios de procesamiento de información
debieran ser propiedad2 de una parte designada de la organización.
Lineamiento de implementación
El propietario del activo debiera ser responsable de:
a) asegurar que la información y los activos asociados con los medios de procesamiento
de la información sean clasificados apropiadamente;
b) definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando
en cuenta las políticas de control de acceso aplicables.
La propiedad puede ser asignada a:
a) un proceso comercial;
b) un conjunto de actividades definido;
c) una aplicación; o
d) un conjunto de data definido.
El término “propietario” identifica una persona o entidad que
cuenta con la responsabilidad gerencial aprobada de controlar la
producción, desarrollo, mantenimiento, uso y seguridad de los
activos. El término “propietario” no significa que la persona en
realidad tenga algún derecho de propiedad sobre el activo.
Uso aceptable de los activos
Control
Se debieran identificar, documentar e implementar reglas para el uso aceptable de la
información y los activos asociados con los medios del procesamiento de la información.
Lineamiento de implementación
Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso aceptable
de la información y los activos asociados con los medios del procesamiento de la información,
incluyendo:
a) reglas para la utilización del correo electrónico e Internet (ver 10.8);
b) lineamientos para el uso de dispositivos móviles, especialmente para el uso fuera
del local de la organización (ver 11.7.1).
La gerencia relevante debiera proporcionar reglas o lineamientos específicos. Los empleados,
contratistas y terceros que usan o tienen acceso a los activos de la organización debieran
estar al tanto de los límites existentes para su uso de la información y los activos asociados
con los medios y recursos del procesamiento de la información de la organización. Ellos
debieran ser responsables por el uso que le den a cualquier recurso de procesamiento de
información, y de cualquier uso realizado bajo su responsabilidad.
Clasificación de la información
Objetivo: Asegurar que la información reciba un nivel de protección apropiado.
La información debiera ser clasificada para indicar la necesidad, prioridades y grado de
protección esperado cuando se maneja la información.
La información tiene diversos grados de confidencialidad e importancia. Algunos ítems
pueden requerir un nivel de protección adicional o manejo especial. Se debiera utilizar un
esquema de clasificación de información para definir un conjunto apropiado de niveles de
protección y comunicar la necesidad de medidas de uso especiales.
Lineamientos de clasificación
Control
Se debiera clasificar la información en términos de su valor, requerimientos legales,
sensibilidad y grado crítico para la organización.
Lineamiento de implementación
Las clasificaciones y los controles de protección asociados para la información debieran tomar
en cuenta las necesidades comerciales de intercambiar o restringir información y los impactos
comerciales asociados con dichas necesidades.
Los lineamientos de clasificación debieran incluir protocolos para la clasificación inicial y la reclasificación
a lo largo del tiempo; en concordancia con alguna política pre-determinada de
control de acceso
Debiera ser responsabilidad del propietario del activo definir la clasificación de un
activo, revisarla periódicamente y asegurarse que se mantenga actualizada y en el nivel
apropiado.
Se puede evaluar el nivel de protección analizando la confidencialidad, integridad y
disponibilidad, y cualquier otro requerimiento para la información considerada.
Con frecuencia, la información deja de ser sensible o crítica después de cierto período de
tiempo, por ejemplo, cuando la información se ha hecho pública. Se debieran tomar en cuenta
estos aspectos, ya que la sobre-clasificación puede llevar a la implementación de controles
innecesarios resultando en un gasto adicional.
Suscribirse a:
Entradas (Atom)