lunes, 9 de febrero de 2009

Secure Socket Layer

Secure Sockets Layer

Protocolo de Capa de Conexión Segura (SSL) y Transport Layer Security -Seguridad de la Capa de Transporte- (TLS), su sucesor, son protocolos criptograficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

Descripcion:

SSL proporciona autenticacion y privacidad de la información entre extremos sobre mediante el uso de Internet criptografia. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de Infraestructura de llaves publicas (o PKI) para los clientes. Los protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas (eavesdroping), la falsificación de la identidad del remitente (phishing) y mantener la integridad del mensaje.

SSL implica una serie de fases básicas:

  • Negociar entre las partes el algoritmo que se usará en la comunicación
  • Intercambio de claves publicas y autenticación basada en certificados digitales
  • Cifrado del tráfico basado en cifrado simetrico

Durante la primera fase, el cliente y el servidor negocian qué algoritmos criptográficos se van a usar. Las implementaciones actuales proporcionan las siguientes opciones:

  • Para criptografía de clave pública: RSA, Diffie-Helman, DSA (Digital Signature Algorithm) o Fortezza;
  • Para cifrado simétrico: RC2 RC4, IDEA (International Data Encryption Algorithm), (Data Encryption Standard), DES Triple Des o AES (Advanced Encryption Standard);
  • Con funciones hash: MD5o de la familia SHA



SSL permite la Confidencialidad y la Autentificación en las transacciones por Internet, siendo usado principalmente en aquellas transacciones en la que se intercambian datos sensibles, como números de tarjetas de crédito o contraseñas de acceso a sistemas privados. SSL es una de las formas base para la implementación de soluciones PKI (Infraestructuras de Clave Pública).

Secure Socket Layer es un sistema de protocolos de caracter general diseñado en 1994 por la empresa Nestcape Communcations Corporation, y está basado en la aplicación conjunta de Criptografía Simétrica, Criptografía Asimétrica (de llave pública), certificados digitales y firmas digitales para conseguir un canal o medio seguro de comunicación a través de Internet. De los sistemas criptográficos simétricos, motor principal de la encriptación de datos transferidos en la comunicación, se aprovecha la rapidez de operación, mientras que los sistemas asimétricos se usan para el intercambio seguro de las claves simétricas, consiguiendo con ello resolver el problema de la Confidencialidad en la transmisión de datos.

SSL implementa un protocolo de negociación para establecer una comunicaión segura a nivel de socked (nombre de máquina más puerto), de forma transparente al usuario y a las aplicaciones que lo usan.

Actualmente es el estandar de comunicación segura en los navegadores web más importantes (protocolo HTTP), como Nestcape Navigator e Internet Explorer, y se espera que pronto se saquen versiones para otras otros protocolos de la capa de Aplicación (correo, FTP, etc.).

La identidad del servidor web seguro (y a veces también del usuario cliente) se consigue mediante el Certificado Digital correspondiente, del que se comprueba su validez antes de iniciar el intercambio de datos sensibles (Autenticación), mientras que de la seguridad de Integridad de los datos intercambiados se encarga la Firma Digital mediante funciones hash y la comprobación de resúmenes de todos los datos enviados y recibidos.

Desde el punto de vista de su implementación en los modelos de referencia OSI y TCP/IP, SSL se introduce como una especie de nivel o capa adicional, situada entre la capa de Aplicación y la capa de Transporte, sustituyendo los sockets del sistema operativo, lo que hace que sea independiente de la aplicación que lo utilice, y se implementa generalmente en el puerto 443. (NOTA: Los puertos son las intefaces que hay entre las aplicacoines y la pila de protocolos TCP/IP del sistema operativo).

martes, 3 de febrero de 2009

Criptografia

Introduccion

Para establecer una comunicación de datos entre dos entidades (personas, equipos informáticos, etc) hacen falta al menos tres elementos básicos: el emisor del mensaje (la fuente), el receptor del mismo (el destino) y un soporte físico por el cual se transfieran los datos (el medio).

En una comunicación normal los datos se envían a través del medio tal como son, sin sufrir modificaciones de ningún tipo, de tal forma que el mensaje que representan puede ser interceptado y leido por cualquier otra entidad que acceda a él durante su viaje por el medio.

Pero hay ocasiones en las que nos interesa que dicho mensaje sólamente pueda ser interpretado correctamente por el emisor del mismo y por el receptor al que va dirigido. En estas ocasiones es necesario implementar algun mecanismo de protección de la información sensible tal que el mensaje viaje seguro desde la fuente al destino, siendo imposible la interceptación por terceros del mensaje, o que si se produce ésta, el mensaje capturado sea incomprensible para quien tenga acceso al mismo.

Una de las formas de conseguir esto es enviar el mensaje en claro, tal como lo ha redactado el emisor, y protejerlo en el camino mediante sistemas de fuerza que lo defiendan durante el camino, como es el caso de la protección de mensajes mediante personal de seguridad.

Otro método posible es el enviar el mensaje por un camino con tanto tráfico de información que resulte muy dificil a las terceras personas detectar que se trata de información confidencial (la mejor forma de ocultar un arbol es dentro de un bosque), como es el caso de enviar el mensaje mediante una carta por el sistema estándar de correo.

Desafortunadamente estos métodos de proteción de mensajes, al igual que otros análogos, han demostrado su inefectividad a lo largo de los tiempos, por lo que hubo que buscar otro tipo de mecanismos para proteger la información sensible en su camino entre emisor y receptor.

La criptología ha demostrado con el tiempo ser una de las mejores técnicas para resolver esta cuestión. Tanto es así que actualmente, en la época de los ordenadores y la información, es el mecanismo más usado en los procesos de protección de datos, como las transacciones bancarias por Internet, el correo electrónico cifrado, etc.


Definicion Criptografía

Entendemos por Criptografía (Kriptos=ocultar, Graphos=escritura) la técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello, que llamaremos criptograma o texto cifrado. El método o sistema empleado para encriptar el texto en claro se denomina algoritmo de encriptación.


Criptografía clásica.-

El cifrado de textos es una actividad que ha sido ámpliamente usada a lo largo de la historia humana, sobre todo en el campo militar y en aquellos otros en los que es necesario enviar mensajes con información confidencial y sensible a través de medios no seguros.

Aunque en cierta forma el sitema de jeroglíficos egipcio puede considerarse ya una forma de criptografía (sólo podían ser entendidos por personas con conocimientos suficientes), el primer sistema criptográfico como tal conocido de debe a Julio Cesar. Su sistema consistía en reemplazar en el mensaje a enviar cada letra por la situada tres posiciones por delante en el alfabeto latino. En nuestro alfabeto actual tendríamos la siguiente tabla de equivalencias:

A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z
D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z A B C

Por lo que el mensaje "HOLA MUNDO" se transformaría en "KRÑD OXPGR". Para volver al mensaje original desde el texto cifrado tan sólo hay que coger un alfabeto e ir sustituyendo cada letra por la que está tres posiciones antes en el msimo.


La sustitución consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición natural en el alfabeto. Por ejemplo, fijar una equivalencia entre las letras del alfabeto original y una variación de él, de forma análoga a lo que ocurre en el método de Julio Cesar. Si fijamos la equivalencia de alfabetos:

A B C D E F G H I J K L M N Ñ O P Q R S T U V W X Y Z
J K L M N Ñ O P Q R S T U V W X Y Z A B C D E F G H I

El mensaje "HOLA MUNDO" quedaría como "PXTJ UDVMX".


La trasposición en cambio consiste en cambiar los caracteres componentes del mensaje original en otros según una regla determinada de posición en el orden del mensaje. Por ejemplo, si establecemos la siguiente regla de cambio en el orden de las letras en el texto:

la letra 1 2 3 4 5 6 7 8 9
pasa a ser la 5 1 4 7 8 2 9 3 6

la frase "HOLA MUNDO" nos quedaría "OUDL HOAMN".

Tanto la sustitución como la trasposición son técnicas básicas para ocultar la redundancia en un texto plano, redundancia que se transmite al texto cifrado, y que puede ser el punto de partida para un ataque por Criptoanálisis. La redundancia es el hecho de que casi todos los símbolos de un mensaje en lenguaje natural contienen información que se puede extraer de los símbolos que le rodean.




jueves, 29 de enero de 2009

Norma ISO 17799



INDICE

Introducción

Alcance

Introducción

ISO (la Organización Internacional de Estandarización) e IEC (la Comisión Electrotécnica

Internacional) forman el sistema especializado para la estandarización mundial. Los

organismos internacionales miembros de ISO e IEC participan en el desarrollo de Estándares

Internacionales a través de los comités establecidos por la organización respectiva para lidiar

con áreas particulares de la actividad técnica. En el campo de la tecnología de la información. ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1.

Los Estándares Internacionales son diseñados en concordancia con las reglas dadas en las

Directivas ISO/IEC, Parte 2.

Los anteproyectos de los Estándares Internacionales adoptados por el comité técnico son

presentados a los organismos nacionales para su votación. La publicación de un Estándar

Internacional requiere de la aprobación de por lo menos 75% de los organismos nacionales

que emiten un voto.

ISO/IEC 17799 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de

la información, Subcomité SC 27, Técnicas de seguridad TI.

El ISO/IEC JTC 1/SC 27 viene desarrollando una familia de Estándares Internacionales para el

Sistema de Gestión de Seguridad de la Información (ISMS). La familia incluye Estándares

Internacionales sobre requerimientos gestión del riesgo, métrica y medición, y el lineamiento

de implementación del sistema de gestión de seguridad de la información.

A partir del 2007, se propone incorporar una edición nueva del ISO/IEC 17799 en este nuevo

esquema de numeración con el nombre ISO/IEC 27002.

La información es un activo que, como otros activos comerciales importantes, es esencial para

el negocio de una organización y en consecuencia necesita ser protegido adecuadamente.

Esto es especialmente importante en el ambiente comercial cada vez más interconectado.

Como resultado de esta creciente interconectividad, la información ahora está expuesta a un

número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades (ver

también los Lineamientos OECD de la Seguridad de Sistemas y Redes de Información).

La información puede existir en muchas formas. Puede estar impresa o escrita en un papel,

almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos,

mostrada en películas o hablada en una conversación. Cualquiera que sea la forma que tome

la información, o medio por el cual sea almacenada o compartida, siempre debiera estar

apropiadamente protegida.

La seguridad de la información es la protección de la información de un rango amplio de

amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y

maximizar el retorno de las inversiones y las oportunidades comerciales.

La seguridad de la información se logra implementando un adecuado conjunto de controles;

incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de

software y hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar

estos controles cuando sea necesario para asegurar que se cumplan los objetivos de

seguridad y comerciales específicos.

Alcance:

Este Estándar Internacional establece los lineamientos y principios generales para iniciar,

implementar, mantener y mejorar la gestión de la seguridad de la información en una

organización. Los objetivos delineados en este Estándar Internacional proporcionan un

lineamiento general sobre los objetivos de gestión de seguridad de la información

generalmente aceptados.

Los objetivos de control y los controles de este Estándar Internacional son diseñados para ser

implementados para satisfacer los requerimientos identificados por una evaluación del riesgo.

Este Estándar Internacional puede servir como un lineamiento práctico para desarrollar

estándares de seguridad organizacional y prácticas de gestión de seguridad efectivas y para

ayudar a elaborar la confianza en las actividades inter-organizacionales.

Términos y definiciones:

Activo: Cualquier cosa que tenga valor para la organización

Control: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal.

Lineamiento: Una descripción que aclara qué se debiera hacer y cómo, para lograr los objetivos establecidos en las políticas

Medios de procesamiento de la información: Cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales físicos que los alojan

Seguridad de la información: Preservación de confidencialidad, integración y disponibilidad de la información; además, también puede involucrar otras propiedades como autenticidad, responsabilidad, norepudiación y confiabilidad

Evento de seguridad de la información: Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible falla en la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad.

Incidente de seguridad de la información: Un incidente de seguridad de la información es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.

Política: Intención y dirección general expresada formalmente por la gerencia

Riesgo: Combinación de la probabilidad de un evento y su ocurrencia

Análisis del riesgo: Uso sistemático de la información para identificar las fuentes y calcular el riesgo

Análisis del riesgo: Proceso general del análisis del riesgo y la evaluación del riesgo

Evaluación del riesgo: Proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo.

Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con relación al riesgo. NOTA. La gestión del riesgo normalmente incluye la evaluación del riesgo, tratamiento del riesgo, aceptación del riesgo y comunicación del riesgo.

Tratamiento del riesgo: Proceso de selección e implementación de medidas para modificar el riesgo.

Tercera persona: Esa persona u organismo que es reconocido como independiente de las partes involucradas, con relación al ítem en cuestión.

Amenaza : Una causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización

Vulnerabilidad: La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

Estructura de este estándar

Este estándar contiene 11 cláusulas de control de seguridad conteniendo colectivamente un

total de 39 categorías de seguridad principales y una cláusula introductoria que presenta la

evaluación y tratamiento del riesgo.

a) Política de Seguridad (1);

b) Organización de la Seguridad de la Información (2);

c) Gestión de Activos (2);

d) Seguridad de Recursos Humanos (3);

e) Seguridad Física y Ambiental (2);

f) Gestión de Comunicaciones y Operaciones (10);

g) Control de Acceso (7);

h) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información (6);

i) Gestión de Incidentes de Seguridad de la Información (2);

j) Gestión de la Continuidad Comercial (1);

k) Conformidad (3).

Evaluación de los riesgos de seguridad

Las evaluaciones del riesgo debieran identificar, cuantificar y priorizar los riesgos en

comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la

organización. Los resultados debieran guiar y determinar la acción de gestión apropiada y las

prioridades para manejar los riesgos de la seguridad de la información y para implementar los

controles seleccionados para protegerse contra estos riesgos. Es posible que el proceso de

evaluación de riesgos y la selección de controles se deba realizar un número de veces para

abarcar las diferentes partes de la organización o sistemas de información individuales.

La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los

riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de

riesgo para determinar la importancia de los riesgos (evaluación del riesgo).

Tratamiento de los riesgos de seguridad

Antes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para

determinar si se pueden aceptar los riesgos, o no. Los riesgos pueden ser aceptados si, por

ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no es efectivo en

costo para la organización. Estas decisiones debieran ser registradas.

Para cada uno de los riesgos definidos después de una evaluación del riesgo se necesita

tomar una decisión de tratamiento del riesgo. Las opciones posibles para el tratamiento del

riesgo incluyen:

a) aplicar los controles apropiados para reducir los riesgos;

b) aceptar los riesgos consciente y objetivamente, siempre que cumplan claramente

con la política y el criterio de aceptación de la organización de la organización;

c) evitar los riesgos no permitiendo acciones que podrían causar que el riesgo ocurra;

d) transferir los riesgos asociados a otros grupos; por ejemplo, aseguradores o

proveedores.

Política de seguridad de la información

Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la

información en concordancia con los requerimientos comerciales y las leyes y regulaciones

relevantes.

La gerencia debiera establecer claramente la dirección de la política en línea con los

objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la

información, a través de la emisión y mantenimiento de una política de seguridad de la

información en toda la organización.

Lineamiento de implementación

El documento de la política de seguridad de la información debiera enunciar el compromiso de

la gerencia y establecer el enfoque de la organización para manejar la seguridad de la

información. El documento de la política debiera contener enunciados relacionados con:

a) una definición de seguridad de la información, sus objetivos y alcance generales y la

importancia de la seguridad como un mecanismo facilitador para intercambiar

información (ver introducción);

b) un enunciado de la intención de la gerencia, fundamentando sus objetivos y los

principios de la seguridad de la información en línea con la estrategia y los objetivos

comerciales;

c) un marco referencial para establecer los objetivos de control y los controles,

incluyendo la estructura de la evaluación del riesgo y la gestión de riesgo;

Organización de la seguridad de la información

Organización interna: Objetivo: Manejar la seguridad de la información dentro de la organización. Se debiera establecer un marco referencial gerencial para iniciar y controlar la

implementación de la seguridad de la información dentro de la organización.

La gerencia debiera aprobar la política de seguridad de la información, asignar los roles de

seguridad y coordinar y revisar la implementación de la seguridad en toda la organización.

Si fuese necesario, se debiera establecer una fuente de consultoría sobre seguridad de la

información y debiera estar disponible dentro de la organización. Se debieran desarrollar

contactos con los especialistas o grupos de seguridad externos, incluyendo las autoridades

relevantes, para mantenerse actualizado con relación a las tendencias industriales,

monitorear los estándares y evaluar los métodos y proporcionar vínculos adecuados para el

manejo de los incidentes de seguridad de la información. Se debiera fomentar un enfoque

multi-disciplinario para la seguridad de la información.

Coordinación de la seguridad de la información

Típicamente, la coordinación de la seguridad de la información debiera involucrar la

cooperación y colaboración de los gerentes, usuarios, administradores, diseñadores de

aplicación, auditores y personal de seguridad, y capacidades especializadas en áreas como

seguros, temas legales, recursos humanos, TI o gestión del riesgo. Esta actividad debiera:

a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con la

política de seguridad de la información;

b) identificar cómo manejar las no-conformidades;

c) aprobar las metodologías y procesos para la seguridad de la información; por

ejemplo, la evaluación del riesgo, la clasificación de la información;

d) identificar cambios significativos en las amenazas y la exposición de la información

y los medios de procesamiento de la información ante amenazas.

Acuerdos de confidencialidad

Se debieran identificar y revisar regularmente que los requerimientos de confidencialidad o

acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la

información.

Los acuerdos de confidencialidad o no-divulgación debieran tener en cuenta el requerimiento

de proteger la información confidencial utilizando términos legalmente ejecutables. Para

identificar los requerimientos de los acuerdos de confidencialidad o no-divulgación, se

debieran considerar los siguientes elementos:

a) una definición de la información a protegerse (por ejemplo, información

confidencial);

b) duración esperada de un acuerdo, incluyendo casos donde se podría necesitar

mantener la confidencialidad indefinidamente;

c) acciones requeridas cuando se termina un acuerdo;

d) responsabilidades y acciones de los firmantes para evitar la divulgación de

información no autorizada (tal como “sólo lo que necesita saber”);

Contacto con las autoridades

Se debieran mantener los contactos apropiados con las autoridades relevantes.

Lineamiento de implementación

Las organizaciones debieran contar con procedimientos que especifiquen cuándo y cuáles

autoridades (por ejemplo, policía, departamento de bomberos, autoridades supervisoras)

contactar, y cómo se debieran reportar los incidentes de seguridad de la información

identificados de una manera oportuna si se sospecha que se han incumplido las leyes.

Revisión independiente de la seguridad de la información

Se debiera revisar el enfoque de la organización para manejar la seguridad de la información y

su implementación (es decir; objetivos de control, controles, políticas, procesos y

procedimientos para la seguridad de la información) de manera independiente a intervalos

planeados, o cuando ocurran cambios significativos en la implementación de la seguridad.

Lineamiento de implementación

La gerencia debiera iniciar la revisión independiente. Esta revisión independiente es necesaria

para asegurar la continua idoneidad, eficiencia y efectividad del enfoque de la organización

para manejar la seguridad de la información. La revisión debiera incluir las oportunidades de

evaluación para el mejoramiento y la necesidad de cambios en el enfoque por seguridad,

incluyendo políticas y objetivos de control.

Grupos o personas externas

Objetivo: Mantener la seguridad de la información y los medios de procesamiento de

información de la organización que son ingresados, procesados, comunicados a, o

manejados por, grupos externos.

La seguridad de la información y los medios de procesamiento de la información de la

organización no debieran ser reducidos por la introducción de productos y servicios de

grupos externos.

Se debiera controlar cualquier acceso a los medios de procesamiento de información de la

organización y el procesamiento y comunicación de la información realizado por grupos

externos.

Identificación de los riesgos relacionados con los grupos externos

Se debieran identificar los riesgos para la información y los medios de procesamiento de la

información de la organización a raíz de procesos comerciales que involucran a grupos

externos y se debieran implementar controles apropiados antes de otorgarles acceso.

Estos abarcan diferentes acuerdos con grupos externos; por ejemplo,

incluyendo:

a) proveedores de servicio; tal como ISPs, proveedores de redes, servicios telefónicos,

servicios de mantenimiento y soporte;

b) servicios de seguridad manejados;

c) clientes;

d) abastecimiento externo de medios y/o operaciones; por ejemplo, sistemas TI,

servicios de recolección de data, operaciones de centros de llamadas;

e) gerencia y consultores comerciales, y auditores;

f) diseñadores y proveedores; por ejemplo, productos de software y sistemas TI.

Tratamiento de la seguridad cuando se lidia con clientes

Se debieran tratar todos los requerimientos de seguridad identificados antes de proporcionar a

los clientes acceso a la información o activos de la organización.

Lineamiento de implementación

Se debieran considerar los siguientes términos de seguridad antes de proporcionar a los

clientes acceso a cualquier activo de la organización (dependiendo del tipo y extensión de

acceso dado, tal vez no se apliquen todos ellos):

a) protección de activos, incluyendo:

1) procedimientos para proteger los activos de la organización, incluyendo

información y software, y el manejo de las vulnerabilidades conocidas;

2) procedimientos para determinar si algún activo está comprometido; por

ejemplo, cuando ha ocurrido una pérdida o modificación de data;

3) integridad;

4) restricciones sobre el copiado y divulgación de información;

b) descripción del producto o servicio a ser provisto;

c) las diferentes razones, requerimientos y beneficios para el acceso del cliente;

d) política de control de acceso, abarcando

1) métodos de acceso permitidos, y el control y uso de identificadores singulares

como IDs del usuario y claves secretas;

2) un proceso de autorización para el acceso y privilegios del usuario;

3) un enunciado que establezca que está prohibido todo acceso que no esté

explícitamente autorizado;

4) un proceso para revocar los derechos de acceso o interrumpir la conexión

entre los sistemas;

e) acuerdos para el reporte, notificación e investigación de las inexactitudes de la

información (por ejemplo, de detalles personales), incidentes de seguridad de

información y fallas en la seguridad;

f) una descripción de cada servicio que debiera estar disponible

Tratamiento de la seguridad en acuerdos con terceros

Control

Los acuerdos o contratos con terceros que involucran el acceso, procesamiento, comunicación

o manejo de la información o medios de procesamiento de información de la compañía, o

agregan producto o servicios a los medios de procesamiento de información debieran abarcar

todos los requerimientos de seguridad relevantes.

Lineamiento de implementación

El acuerdo debiera asegurar que no existan malos entendidos entre la organización y la otra

parte. Las organizaciones debieran estar satisfechas con relación a la indemnización de las

otras partes.

Gestión de activos

Responsabilidad por los activos:

Objetivo: Lograr y mantener una apropiada protección de los activos organizacionales.

Todos los activos debieran ser inventariados y contar con un propietario nombrado.

Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad

por el mantenimiento de los controles apropiados. La implementación de controles

específicos puede ser delegada por el propietario conforme sea apropiado, pero el

propietario sigue siendo responsable por la protección apropiada de los activos.

Inventario de los activos

Control

Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de

todos los activos importantes.

Lineamiento de implementación

Una organización debiera identificar todos los activos y documentar la importancia de estos

activos. El inventario de los activos debiera incluir toda la información necesaria para poder

recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de

respaldo, información de licencias y un valor comercial. El inventario no debiera duplicar

innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado.

Los inventarios de los activos ayudan a asegurar que se realice una protección efectiva de los

activos, y también puede requerir de otros propósitos comerciales; como planes de salud y

seguridad, seguros o razones financieras (gestión de activos). El proceso de compilar un

inventario de activos es un pre-requisito importante de la gestión del riesgo

Propiedad de los activos

Control

Toda la información y los activos asociados con los medios de procesamiento de información

debieran ser propiedad2 de una parte designada de la organización.

Lineamiento de implementación

El propietario del activo debiera ser responsable de:

a) asegurar que la información y los activos asociados con los medios de procesamiento

de la información sean clasificados apropiadamente;

b) definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando

en cuenta las políticas de control de acceso aplicables.

La propiedad puede ser asignada a:

a) un proceso comercial;

b) un conjunto de actividades definido;

c) una aplicación; o

d) un conjunto de data definido.

El término “propietario” identifica una persona o entidad que

cuenta con la responsabilidad gerencial aprobada de controlar la

producción, desarrollo, mantenimiento, uso y seguridad de los

activos. El término “propietario” no significa que la persona en

realidad tenga algún derecho de propiedad sobre el activo.

Uso aceptable de los activos

Control

Se debieran identificar, documentar e implementar reglas para el uso aceptable de la

información y los activos asociados con los medios del procesamiento de la información.

Lineamiento de implementación

Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso aceptable

de la información y los activos asociados con los medios del procesamiento de la información,

incluyendo:

a) reglas para la utilización del correo electrónico e Internet (ver 10.8);

b) lineamientos para el uso de dispositivos móviles, especialmente para el uso fuera

del local de la organización (ver 11.7.1).

La gerencia relevante debiera proporcionar reglas o lineamientos específicos. Los empleados,

contratistas y terceros que usan o tienen acceso a los activos de la organización debieran

estar al tanto de los límites existentes para su uso de la información y los activos asociados

con los medios y recursos del procesamiento de la información de la organización. Ellos

debieran ser responsables por el uso que le den a cualquier recurso de procesamiento de

información, y de cualquier uso realizado bajo su responsabilidad.

Clasificación de la información

Objetivo: Asegurar que la información reciba un nivel de protección apropiado.

La información debiera ser clasificada para indicar la necesidad, prioridades y grado de

protección esperado cuando se maneja la información.

La información tiene diversos grados de confidencialidad e importancia. Algunos ítems

pueden requerir un nivel de protección adicional o manejo especial. Se debiera utilizar un

esquema de clasificación de información para definir un conjunto apropiado de niveles de

protección y comunicar la necesidad de medidas de uso especiales.

Lineamientos de clasificación

Control

Se debiera clasificar la información en términos de su valor, requerimientos legales,

sensibilidad y grado crítico para la organización.

Lineamiento de implementación

Las clasificaciones y los controles de protección asociados para la información debieran tomar

en cuenta las necesidades comerciales de intercambiar o restringir información y los impactos

comerciales asociados con dichas necesidades.

Los lineamientos de clasificación debieran incluir protocolos para la clasificación inicial y la reclasificación

a lo largo del tiempo; en concordancia con alguna política pre-determinada de

control de acceso

Debiera ser responsabilidad del propietario del activo definir la clasificación de un

activo, revisarla periódicamente y asegurarse que se mantenga actualizada y en el nivel

apropiado.

Se puede evaluar el nivel de protección analizando la confidencialidad, integridad y

disponibilidad, y cualquier otro requerimiento para la información considerada.

Con frecuencia, la información deja de ser sensible o crítica después de cierto período de

tiempo, por ejemplo, cuando la información se ha hecho pública. Se debieran tomar en cuenta

estos aspectos, ya que la sobre-clasificación puede llevar a la implementación de controles

innecesarios resultando en un gasto adicional.