jueves, 29 de enero de 2009

Norma ISO 17799



INDICE

Introducción

Alcance

Introducción

ISO (la Organización Internacional de Estandarización) e IEC (la Comisión Electrotécnica

Internacional) forman el sistema especializado para la estandarización mundial. Los

organismos internacionales miembros de ISO e IEC participan en el desarrollo de Estándares

Internacionales a través de los comités establecidos por la organización respectiva para lidiar

con áreas particulares de la actividad técnica. En el campo de la tecnología de la información. ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1.

Los Estándares Internacionales son diseñados en concordancia con las reglas dadas en las

Directivas ISO/IEC, Parte 2.

Los anteproyectos de los Estándares Internacionales adoptados por el comité técnico son

presentados a los organismos nacionales para su votación. La publicación de un Estándar

Internacional requiere de la aprobación de por lo menos 75% de los organismos nacionales

que emiten un voto.

ISO/IEC 17799 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de

la información, Subcomité SC 27, Técnicas de seguridad TI.

El ISO/IEC JTC 1/SC 27 viene desarrollando una familia de Estándares Internacionales para el

Sistema de Gestión de Seguridad de la Información (ISMS). La familia incluye Estándares

Internacionales sobre requerimientos gestión del riesgo, métrica y medición, y el lineamiento

de implementación del sistema de gestión de seguridad de la información.

A partir del 2007, se propone incorporar una edición nueva del ISO/IEC 17799 en este nuevo

esquema de numeración con el nombre ISO/IEC 27002.

La información es un activo que, como otros activos comerciales importantes, es esencial para

el negocio de una organización y en consecuencia necesita ser protegido adecuadamente.

Esto es especialmente importante en el ambiente comercial cada vez más interconectado.

Como resultado de esta creciente interconectividad, la información ahora está expuesta a un

número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades (ver

también los Lineamientos OECD de la Seguridad de Sistemas y Redes de Información).

La información puede existir en muchas formas. Puede estar impresa o escrita en un papel,

almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos,

mostrada en películas o hablada en una conversación. Cualquiera que sea la forma que tome

la información, o medio por el cual sea almacenada o compartida, siempre debiera estar

apropiadamente protegida.

La seguridad de la información es la protección de la información de un rango amplio de

amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y

maximizar el retorno de las inversiones y las oportunidades comerciales.

La seguridad de la información se logra implementando un adecuado conjunto de controles;

incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de

software y hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar

estos controles cuando sea necesario para asegurar que se cumplan los objetivos de

seguridad y comerciales específicos.

Alcance:

Este Estándar Internacional establece los lineamientos y principios generales para iniciar,

implementar, mantener y mejorar la gestión de la seguridad de la información en una

organización. Los objetivos delineados en este Estándar Internacional proporcionan un

lineamiento general sobre los objetivos de gestión de seguridad de la información

generalmente aceptados.

Los objetivos de control y los controles de este Estándar Internacional son diseñados para ser

implementados para satisfacer los requerimientos identificados por una evaluación del riesgo.

Este Estándar Internacional puede servir como un lineamiento práctico para desarrollar

estándares de seguridad organizacional y prácticas de gestión de seguridad efectivas y para

ayudar a elaborar la confianza en las actividades inter-organizacionales.

Términos y definiciones:

Activo: Cualquier cosa que tenga valor para la organización

Control: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal.

Lineamiento: Una descripción que aclara qué se debiera hacer y cómo, para lograr los objetivos establecidos en las políticas

Medios de procesamiento de la información: Cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales físicos que los alojan

Seguridad de la información: Preservación de confidencialidad, integración y disponibilidad de la información; además, también puede involucrar otras propiedades como autenticidad, responsabilidad, norepudiación y confiabilidad

Evento de seguridad de la información: Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible falla en la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad.

Incidente de seguridad de la información: Un incidente de seguridad de la información es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.

Política: Intención y dirección general expresada formalmente por la gerencia

Riesgo: Combinación de la probabilidad de un evento y su ocurrencia

Análisis del riesgo: Uso sistemático de la información para identificar las fuentes y calcular el riesgo

Análisis del riesgo: Proceso general del análisis del riesgo y la evaluación del riesgo

Evaluación del riesgo: Proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo.

Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con relación al riesgo. NOTA. La gestión del riesgo normalmente incluye la evaluación del riesgo, tratamiento del riesgo, aceptación del riesgo y comunicación del riesgo.

Tratamiento del riesgo: Proceso de selección e implementación de medidas para modificar el riesgo.

Tercera persona: Esa persona u organismo que es reconocido como independiente de las partes involucradas, con relación al ítem en cuestión.

Amenaza : Una causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización

Vulnerabilidad: La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

Estructura de este estándar

Este estándar contiene 11 cláusulas de control de seguridad conteniendo colectivamente un

total de 39 categorías de seguridad principales y una cláusula introductoria que presenta la

evaluación y tratamiento del riesgo.

a) Política de Seguridad (1);

b) Organización de la Seguridad de la Información (2);

c) Gestión de Activos (2);

d) Seguridad de Recursos Humanos (3);

e) Seguridad Física y Ambiental (2);

f) Gestión de Comunicaciones y Operaciones (10);

g) Control de Acceso (7);

h) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información (6);

i) Gestión de Incidentes de Seguridad de la Información (2);

j) Gestión de la Continuidad Comercial (1);

k) Conformidad (3).

Evaluación de los riesgos de seguridad

Las evaluaciones del riesgo debieran identificar, cuantificar y priorizar los riesgos en

comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la

organización. Los resultados debieran guiar y determinar la acción de gestión apropiada y las

prioridades para manejar los riesgos de la seguridad de la información y para implementar los

controles seleccionados para protegerse contra estos riesgos. Es posible que el proceso de

evaluación de riesgos y la selección de controles se deba realizar un número de veces para

abarcar las diferentes partes de la organización o sistemas de información individuales.

La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los

riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de

riesgo para determinar la importancia de los riesgos (evaluación del riesgo).

Tratamiento de los riesgos de seguridad

Antes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para

determinar si se pueden aceptar los riesgos, o no. Los riesgos pueden ser aceptados si, por

ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no es efectivo en

costo para la organización. Estas decisiones debieran ser registradas.

Para cada uno de los riesgos definidos después de una evaluación del riesgo se necesita

tomar una decisión de tratamiento del riesgo. Las opciones posibles para el tratamiento del

riesgo incluyen:

a) aplicar los controles apropiados para reducir los riesgos;

b) aceptar los riesgos consciente y objetivamente, siempre que cumplan claramente

con la política y el criterio de aceptación de la organización de la organización;

c) evitar los riesgos no permitiendo acciones que podrían causar que el riesgo ocurra;

d) transferir los riesgos asociados a otros grupos; por ejemplo, aseguradores o

proveedores.

Política de seguridad de la información

Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la

información en concordancia con los requerimientos comerciales y las leyes y regulaciones

relevantes.

La gerencia debiera establecer claramente la dirección de la política en línea con los

objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la

información, a través de la emisión y mantenimiento de una política de seguridad de la

información en toda la organización.

Lineamiento de implementación

El documento de la política de seguridad de la información debiera enunciar el compromiso de

la gerencia y establecer el enfoque de la organización para manejar la seguridad de la

información. El documento de la política debiera contener enunciados relacionados con:

a) una definición de seguridad de la información, sus objetivos y alcance generales y la

importancia de la seguridad como un mecanismo facilitador para intercambiar

información (ver introducción);

b) un enunciado de la intención de la gerencia, fundamentando sus objetivos y los

principios de la seguridad de la información en línea con la estrategia y los objetivos

comerciales;

c) un marco referencial para establecer los objetivos de control y los controles,

incluyendo la estructura de la evaluación del riesgo y la gestión de riesgo;

Organización de la seguridad de la información

Organización interna: Objetivo: Manejar la seguridad de la información dentro de la organización. Se debiera establecer un marco referencial gerencial para iniciar y controlar la

implementación de la seguridad de la información dentro de la organización.

La gerencia debiera aprobar la política de seguridad de la información, asignar los roles de

seguridad y coordinar y revisar la implementación de la seguridad en toda la organización.

Si fuese necesario, se debiera establecer una fuente de consultoría sobre seguridad de la

información y debiera estar disponible dentro de la organización. Se debieran desarrollar

contactos con los especialistas o grupos de seguridad externos, incluyendo las autoridades

relevantes, para mantenerse actualizado con relación a las tendencias industriales,

monitorear los estándares y evaluar los métodos y proporcionar vínculos adecuados para el

manejo de los incidentes de seguridad de la información. Se debiera fomentar un enfoque

multi-disciplinario para la seguridad de la información.

Coordinación de la seguridad de la información

Típicamente, la coordinación de la seguridad de la información debiera involucrar la

cooperación y colaboración de los gerentes, usuarios, administradores, diseñadores de

aplicación, auditores y personal de seguridad, y capacidades especializadas en áreas como

seguros, temas legales, recursos humanos, TI o gestión del riesgo. Esta actividad debiera:

a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con la

política de seguridad de la información;

b) identificar cómo manejar las no-conformidades;

c) aprobar las metodologías y procesos para la seguridad de la información; por

ejemplo, la evaluación del riesgo, la clasificación de la información;

d) identificar cambios significativos en las amenazas y la exposición de la información

y los medios de procesamiento de la información ante amenazas.

Acuerdos de confidencialidad

Se debieran identificar y revisar regularmente que los requerimientos de confidencialidad o

acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la

información.

Los acuerdos de confidencialidad o no-divulgación debieran tener en cuenta el requerimiento

de proteger la información confidencial utilizando términos legalmente ejecutables. Para

identificar los requerimientos de los acuerdos de confidencialidad o no-divulgación, se

debieran considerar los siguientes elementos:

a) una definición de la información a protegerse (por ejemplo, información

confidencial);

b) duración esperada de un acuerdo, incluyendo casos donde se podría necesitar

mantener la confidencialidad indefinidamente;

c) acciones requeridas cuando se termina un acuerdo;

d) responsabilidades y acciones de los firmantes para evitar la divulgación de

información no autorizada (tal como “sólo lo que necesita saber”);

Contacto con las autoridades

Se debieran mantener los contactos apropiados con las autoridades relevantes.

Lineamiento de implementación

Las organizaciones debieran contar con procedimientos que especifiquen cuándo y cuáles

autoridades (por ejemplo, policía, departamento de bomberos, autoridades supervisoras)

contactar, y cómo se debieran reportar los incidentes de seguridad de la información

identificados de una manera oportuna si se sospecha que se han incumplido las leyes.

Revisión independiente de la seguridad de la información

Se debiera revisar el enfoque de la organización para manejar la seguridad de la información y

su implementación (es decir; objetivos de control, controles, políticas, procesos y

procedimientos para la seguridad de la información) de manera independiente a intervalos

planeados, o cuando ocurran cambios significativos en la implementación de la seguridad.

Lineamiento de implementación

La gerencia debiera iniciar la revisión independiente. Esta revisión independiente es necesaria

para asegurar la continua idoneidad, eficiencia y efectividad del enfoque de la organización

para manejar la seguridad de la información. La revisión debiera incluir las oportunidades de

evaluación para el mejoramiento y la necesidad de cambios en el enfoque por seguridad,

incluyendo políticas y objetivos de control.

Grupos o personas externas

Objetivo: Mantener la seguridad de la información y los medios de procesamiento de

información de la organización que son ingresados, procesados, comunicados a, o

manejados por, grupos externos.

La seguridad de la información y los medios de procesamiento de la información de la

organización no debieran ser reducidos por la introducción de productos y servicios de

grupos externos.

Se debiera controlar cualquier acceso a los medios de procesamiento de información de la

organización y el procesamiento y comunicación de la información realizado por grupos

externos.

Identificación de los riesgos relacionados con los grupos externos

Se debieran identificar los riesgos para la información y los medios de procesamiento de la

información de la organización a raíz de procesos comerciales que involucran a grupos

externos y se debieran implementar controles apropiados antes de otorgarles acceso.

Estos abarcan diferentes acuerdos con grupos externos; por ejemplo,

incluyendo:

a) proveedores de servicio; tal como ISPs, proveedores de redes, servicios telefónicos,

servicios de mantenimiento y soporte;

b) servicios de seguridad manejados;

c) clientes;

d) abastecimiento externo de medios y/o operaciones; por ejemplo, sistemas TI,

servicios de recolección de data, operaciones de centros de llamadas;

e) gerencia y consultores comerciales, y auditores;

f) diseñadores y proveedores; por ejemplo, productos de software y sistemas TI.

Tratamiento de la seguridad cuando se lidia con clientes

Se debieran tratar todos los requerimientos de seguridad identificados antes de proporcionar a

los clientes acceso a la información o activos de la organización.

Lineamiento de implementación

Se debieran considerar los siguientes términos de seguridad antes de proporcionar a los

clientes acceso a cualquier activo de la organización (dependiendo del tipo y extensión de

acceso dado, tal vez no se apliquen todos ellos):

a) protección de activos, incluyendo:

1) procedimientos para proteger los activos de la organización, incluyendo

información y software, y el manejo de las vulnerabilidades conocidas;

2) procedimientos para determinar si algún activo está comprometido; por

ejemplo, cuando ha ocurrido una pérdida o modificación de data;

3) integridad;

4) restricciones sobre el copiado y divulgación de información;

b) descripción del producto o servicio a ser provisto;

c) las diferentes razones, requerimientos y beneficios para el acceso del cliente;

d) política de control de acceso, abarcando

1) métodos de acceso permitidos, y el control y uso de identificadores singulares

como IDs del usuario y claves secretas;

2) un proceso de autorización para el acceso y privilegios del usuario;

3) un enunciado que establezca que está prohibido todo acceso que no esté

explícitamente autorizado;

4) un proceso para revocar los derechos de acceso o interrumpir la conexión

entre los sistemas;

e) acuerdos para el reporte, notificación e investigación de las inexactitudes de la

información (por ejemplo, de detalles personales), incidentes de seguridad de

información y fallas en la seguridad;

f) una descripción de cada servicio que debiera estar disponible

Tratamiento de la seguridad en acuerdos con terceros

Control

Los acuerdos o contratos con terceros que involucran el acceso, procesamiento, comunicación

o manejo de la información o medios de procesamiento de información de la compañía, o

agregan producto o servicios a los medios de procesamiento de información debieran abarcar

todos los requerimientos de seguridad relevantes.

Lineamiento de implementación

El acuerdo debiera asegurar que no existan malos entendidos entre la organización y la otra

parte. Las organizaciones debieran estar satisfechas con relación a la indemnización de las

otras partes.

Gestión de activos

Responsabilidad por los activos:

Objetivo: Lograr y mantener una apropiada protección de los activos organizacionales.

Todos los activos debieran ser inventariados y contar con un propietario nombrado.

Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad

por el mantenimiento de los controles apropiados. La implementación de controles

específicos puede ser delegada por el propietario conforme sea apropiado, pero el

propietario sigue siendo responsable por la protección apropiada de los activos.

Inventario de los activos

Control

Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de

todos los activos importantes.

Lineamiento de implementación

Una organización debiera identificar todos los activos y documentar la importancia de estos

activos. El inventario de los activos debiera incluir toda la información necesaria para poder

recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de

respaldo, información de licencias y un valor comercial. El inventario no debiera duplicar

innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado.

Los inventarios de los activos ayudan a asegurar que se realice una protección efectiva de los

activos, y también puede requerir de otros propósitos comerciales; como planes de salud y

seguridad, seguros o razones financieras (gestión de activos). El proceso de compilar un

inventario de activos es un pre-requisito importante de la gestión del riesgo

Propiedad de los activos

Control

Toda la información y los activos asociados con los medios de procesamiento de información

debieran ser propiedad2 de una parte designada de la organización.

Lineamiento de implementación

El propietario del activo debiera ser responsable de:

a) asegurar que la información y los activos asociados con los medios de procesamiento

de la información sean clasificados apropiadamente;

b) definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando

en cuenta las políticas de control de acceso aplicables.

La propiedad puede ser asignada a:

a) un proceso comercial;

b) un conjunto de actividades definido;

c) una aplicación; o

d) un conjunto de data definido.

El término “propietario” identifica una persona o entidad que

cuenta con la responsabilidad gerencial aprobada de controlar la

producción, desarrollo, mantenimiento, uso y seguridad de los

activos. El término “propietario” no significa que la persona en

realidad tenga algún derecho de propiedad sobre el activo.

Uso aceptable de los activos

Control

Se debieran identificar, documentar e implementar reglas para el uso aceptable de la

información y los activos asociados con los medios del procesamiento de la información.

Lineamiento de implementación

Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso aceptable

de la información y los activos asociados con los medios del procesamiento de la información,

incluyendo:

a) reglas para la utilización del correo electrónico e Internet (ver 10.8);

b) lineamientos para el uso de dispositivos móviles, especialmente para el uso fuera

del local de la organización (ver 11.7.1).

La gerencia relevante debiera proporcionar reglas o lineamientos específicos. Los empleados,

contratistas y terceros que usan o tienen acceso a los activos de la organización debieran

estar al tanto de los límites existentes para su uso de la información y los activos asociados

con los medios y recursos del procesamiento de la información de la organización. Ellos

debieran ser responsables por el uso que le den a cualquier recurso de procesamiento de

información, y de cualquier uso realizado bajo su responsabilidad.

Clasificación de la información

Objetivo: Asegurar que la información reciba un nivel de protección apropiado.

La información debiera ser clasificada para indicar la necesidad, prioridades y grado de

protección esperado cuando se maneja la información.

La información tiene diversos grados de confidencialidad e importancia. Algunos ítems

pueden requerir un nivel de protección adicional o manejo especial. Se debiera utilizar un

esquema de clasificación de información para definir un conjunto apropiado de niveles de

protección y comunicar la necesidad de medidas de uso especiales.

Lineamientos de clasificación

Control

Se debiera clasificar la información en términos de su valor, requerimientos legales,

sensibilidad y grado crítico para la organización.

Lineamiento de implementación

Las clasificaciones y los controles de protección asociados para la información debieran tomar

en cuenta las necesidades comerciales de intercambiar o restringir información y los impactos

comerciales asociados con dichas necesidades.

Los lineamientos de clasificación debieran incluir protocolos para la clasificación inicial y la reclasificación

a lo largo del tiempo; en concordancia con alguna política pre-determinada de

control de acceso

Debiera ser responsabilidad del propietario del activo definir la clasificación de un

activo, revisarla periódicamente y asegurarse que se mantenga actualizada y en el nivel

apropiado.

Se puede evaluar el nivel de protección analizando la confidencialidad, integridad y

disponibilidad, y cualquier otro requerimiento para la información considerada.

Con frecuencia, la información deja de ser sensible o crítica después de cierto período de

tiempo, por ejemplo, cuando la información se ha hecho pública. Se debieran tomar en cuenta

estos aspectos, ya que la sobre-clasificación puede llevar a la implementación de controles

innecesarios resultando en un gasto adicional.







miércoles, 28 de enero de 2009

Análisis Comparativo de la norma ISO 27000 y la norma ISO 17799

Introducción:

La información es un activo vital para la continuidad y desarrollo de cualquier organización, pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio común establecido, entorno a la compra de productos técnicos y sin considerar toda la información fundamental que se debe proteger.


- La nueva serie ISO 27000 es una familia de estándares internacionales, que propone requerimientos de sistemas de gestión de seguridad de la información, gestión de riesgo, métricas y medidas, guías de implantación, vocabulario y mejora continua.

De esta serie ya se mencionan seis normas, encabezada por la ISO 27001, esta norma muestra como aplicar los controles propuestos en la ISO 17799.



- ISO 17799 es un conjunto de buenas prácticas en seguridad de la información. Contiene 133 controles aplicables.



- La ISO 17799 no es certificable, ni fue diseñada para tal fin.

- La norma que sí es certificable es ISO 27001, como también lo fue su antecesora BS 7799-2



- ISO 27001 contiene un anexo A, que considera los controles de la norma ISO 17799 para su posible aplicación en el SGSI que establezca cada organización.

- ISO 17799 es para ISO 27001, por tanto, una relación de controles necesarios para garantizar la seguridad de la información.



- ISO 17799 aplica invariablemente a organizaciones pequeñas, medianas y multinacionales. ISO 17799 comprende cláusulas enfocadas a prácticas y métodos fundamentales de seguridad contemporánea contemplando avances tecnológicos



- ISO 27001 especifica los requisitos para implantar, operar, vigilar, mantener, evaluar un sistema de seguridad informática explícitamente. ISO 27001 permite auditar un sistema bajo lineamientos ISO 17799 para certificar ISMS (Information Security Management System).



- La norma ISO 27002 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO17799:2005.



- La norma ISO27001 contiene un anexo que resume los controles de ISO17799:2005.