Fundamentos Iso 27001-2013
INTRODUCCIÓN A LA NORMA ISO 27001 ¿CUÁL ES EL CICLO PHVA? El ciclo PHVA es, básicamente un concepto desarrollado hace u
Views 250 Downloads 80 File size 748KB
Recommend stories
- Categories
- Seguridad de la información
- Informática
- Tecnología
- Valores
- Informática y tecnología de la información
Citation preview
INTRODUCCIÓN A LA NORMA ISO 27001 ¿CUÁL ES EL CICLO PHVA?
El ciclo PHVA es, básicamente un concepto desarrollado hace unos 60 años por un famoso gurú consultor y gestión de la calidad se llama William Edwards Deming. En esencia, se dice lo siguiente: • •
•
•
Antes de comenzar la aplicación de cualquier cosa, usted debe saber exactamente lo que realmente necesita, y exactamente qué es lo que quiere lograr (objetivos) - este es la fase PLANEAR. Una vez que sepa lo que quiere lograr, se puede empezar a aplicar la seguridad de su información, continuidad del negocio, los procedimientos de calidad, o lo que sea que se centra la norma ISO , ésta es la fase HACER. Sin embargo, todo el esfuerzo no se detiene aquí, adicionalmente se desea saber si se ha logrado lo que se ha planeado, por lo que se necesita supervisar el sistema y medir si se alcanzaron los objetivos – ésta es la fase VERIFICAR. Por último, si se da cuenta que el resultado no corresponde a lo que se ha planeado, se realizan las correcciones y modificaciones necesarias. Por otro lado, se toman las decisiones y acciones pertinentes para mejorar continuamente el desarrollo de los procesos. – ésta fase corresponde al ACTUAR.
Aunque este concepto fue desarrollado para la gestión de calidad, muy pronto se dio cuenta de que se puede aplicar a cualquier tipo de gestión, incluida la gestión de seguridad de la información o la gestión de la continuidad del negocio. Por lo tanto, hoy en día este concepto es tan dominante en la gestión que está prácticamente en todas partes, en todos los estándares de gestión ISO, en cada marco de gestión, en toda teoría. Se ha vuelto tan importante que es imposible evitarlo. ¿Que es un sistema de gestión de seguridad de la información SGSI)? Parte del sistema de gestión global, basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar. Hacer seguimiento, revisar, mantener y mejorar la seguridad de la información.
Autor: Dejan Kosutic
FAMILIA ISO 27000
• • • • • • • • • •
ISO 27000 : vocabulario estándar para el SGSI. ISO 27001 : especifica los requisitos para la implantación del SGSI. ISO 27002 : código de buenas prácticas para la gestión de seguridad de la información. ISO 27003 : directrices para la implementación del SGSI. ISO 27004 : métricas para la gestión de seguridad de la información. ISO 27005 : gestión de riesgos en seguridad de la información. ISO 27006 : requisitos para acreditación de organizaciones que proporcionan certificación de SGSI. ISO 27007 : Es una guía para auditar al SGSI. ISO 27008 : Directrices para los auditores sobre los controles de seguridad de la información ISO27035 : actividades de: detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades.
UNA INTRODUCCIÓN A LA NORMA ISO/IEC 27001:2013 ISO 27001 es una norma internacional publicada por la Organización Internacional de Normalización (ISO), y describe cómo administrar seguridad de la información en una empresa. La última revisión de esta norma fue publicada en 2013, y su título completo es ahora la norma ISO / IEC 27001: 2013. La primera revisión de la norma se publicó en 2005, y fue desarrollado en base a la norma británica BS 7799-2. Fue escrita por los mejores expertos del mundo en el campo de la seguridad de la información y proporciona metodología para la implementación de la gestión de seguridad de la información en una organización. También permite a las empresas para obtener la certificación, lo que significa que un organismo de certificación independiente ha confirmado que una organización ha implementado seguridad de la información de acuerdo a la ISO 27001. La norma ISO 27001:2013 especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización.
Autor: Dejan Kosutic
BASES DE LA SEGURIDAD INFORMÁTICA Fiabilidad
Existe una frase que se ha hecho famosa dentro del mundo de la seguridad. Eugene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que “el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él”. Hablar de seguridad informática en términos absolutos es imposible y por ese motivo se habla mas bien de fiabilidad del sistema, que, en realidad es una relajación del primer término. Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de él. En general, un sistema será seguro o fiable si podemos garantizar tres aspectos: • Confidencialidad: acceso a la información solo mediante autorización y de forma controlada. • Integridad: modificación de la información solo mediante autorización. • Disponibilidad: la información del sistema debe permanecer accesible mediante autorización.
Existe otra propiedad de los sistemas que es la Confiabilidad, entendida como nivel de calidad del servicio que se ofrece. Pero esta propiedad, que hace referencia a la disponibilidad, estaría al mismo nivel que la seguridad. En nuestro caso mantenemos la Disponibilidad como un aspecto de la seguridad.
Confidencialidad En general el término 'confidencial' hace referencia a "Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas." (http://buscon.rae.es) En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos. El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información. En general, cualquier empresa pública o privada y de cualquier ámbito de actuación requiere que cierta información no sea accedida por diferentes motivos. Uno de los ejemplos mas típicos es el del ejército de un país. Además, es sabido que los logros mas importantes en materia de seguridad siempre van ligados a temas estratégicos militares. Por otra parte, determinadas empresas a menudo desarrollan diseños que deben proteger de sus competidores. La sostenibilidad de la empresa así como su posicionamiento en el mercado pueden depender de forma directa de la implementación de estos diseños y, por ese motivo, deben protegerlos mediante mecanismos de control de acceso que aseguren la confidencialidad de esas informaciones. Un ejemplo típico de mecanismo que garantice la confidencialidad es la Criptografía, cuyo objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes. Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y es la clave de encriptación. Esta clave es necesaria para que el usuario adecuado pueda descifrar la información recibida y en función del tipo de mecanismo de encriptación utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada mediante herramientas diseñadas para ello. Si se produce esta situación, la confidencialidad de la operación realizada (sea bancaria, administrativa o de cualquier tipo) queda comprometida.
Autor: Dejan Kosutic
Integridad
En general, el término 'integridad' hace referencia a una cualidad de 'íntegro' e indica "Que no carece de ninguna de sus partes." y relativo a personas "Recta, proba, intachable.". En términos de seguridad de la información, la integridad hace referencia a la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado. El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la información. La integridad hace referencia a: • la integridad de los datos (el volumen de la información) • la integridad del origen (la fuente de los datos, llamada autenticación) Es importante hacer hincapié en la integridad del origen, ya que puede afectar a su exactitud, credibilidad y confianza que las personas ponen en la información. A menudo ocurre que al hablar de integridad de la información no se da en estos dos aspectos. Por ejemplo, cuando un periódico difunde una información cuya fuente no es correcta, podemos decir que se mantiene la integridad de la información ya que se difunde por medio impreso, pero sin embargo, al ser la fuente de esa información errónea no se está manteniendo la integridad del origen, ya que la fuente no es correcta.
Disponibilidad
En general, el término 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que está lista para usarse o utilizarse." En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados. El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informáticos. En términos de seguridad informática “un sistema está disponible cuando su diseño e implementación permite deliberadamente negar el acceso a datos o servicios determinados”. Es decir, un sistema es disponible si permite no estar disponible. Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve. Como resumen de las bases de la seguridad informática que hemos comentado, podemos decir que la seguridad consiste en mantener el equilibrio adecuado entre estos tres factores. No tiene sentido conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario administrador pueda acceder a él, ya que se está negando la disponibilidad. Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a otro. En ambientes militares suele ser siempre prioritaria la confidencialidad de la información frente a la disponibilidad. Aunque alguien pueda acceder a ella o incluso pueda eliminarla no podrá conocer su contenido y reponer dicha información será tan sencillo como recuperar una copia de seguridad (si las cosas se están haciendo bien). En ambientes bancarios es prioritaria siempre la integridad de la información frente a la confidencialidad o disponibilidad. Se considera menos dañino que un usuario pueda leer el saldo de otro usuario a que pueda modificarlo.
Autor: Dejan Kosutic
27001 ISO ha convertido en el más popular estándar de seguridad de la información en todo el mundo y muchas empresas se han certificado - aquí se puede ver el número de certificados en el último par de años:
Fuente: La encuesta ISO del sistema de gestión certificaciones estándares
ENFOQUE DE LA NORMA ISO 27001 El enfoque de la norma ISO 27001 es la protección de la confidencialidad, integridad y disponibilidad de la información de una empresa. Esto se hace mediante la búsqueda de lo que podría suceder, “problemas potenciales de la información” (es decir, la evaluación de riesgos), y luego la definición de lo que hay que hacer para evitar este tipo de problemas ocurra (es decir, la mitigación de riesgos o el tratamiento del riesgo). Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: averiguar dónde están los riesgos, y luego tratar sistemáticamente. Las salvaguardias (o controles) que se van a implementar son por lo general en forma de medidas, procedimientos e implementación técnica (por ejemplo, software y equipo). Sin embargo, en la mayoría de los casos las compañías ya tienen todo el hardware y el software en su lugar, pero los están utilizando de una manera no segura - por lo tanto, la mayor parte de la implementación ISO 27001 será sobre la configuración de las reglas de organización (es decir, escribir documentos) que sean necesarios a fin de evitar las brechas de seguridad. Puesto que tal aplicación requerirá múltiples políticas, procedimientos, personas, activos, etc., para ser administrado, la ISO 27001 ha descrito cómo encajar todos estos elementos en el sistema de gestión de seguridad de la información (SGSI). Por lo tanto, la gestión de seguridad de la información no es sólo alrededor de la seguridad de TI (es decir, los cortafuegos, antivirus, etc.) - también se trata de procesos de gestión, protección legal, la gestión de los recursos humanos, la protección física, etc.
Autor: Dejan Kosutic
¿POR QUÉ ES BUENA LA NORMA ISO 27001 PARA UNA EMPRESA? Hay 4 beneficios de negocio esenciales que una empresa puede lograr con la aplicación de esta norma de seguridad de la información: Cumplen los requisitos legales - hay más y más leyes, regulaciones y requisitos contractuales relacionados con la seguridad de la información, y la buena noticia es que la mayoría de ellos se pueden resolver mediante la aplicación de la norma ISO 27001 - esta norma le da la metodología perfecta para cumplir con todos ellos . Lograr una ventaja de comercialización - si su empresa se certificó y sus competidores no lo hacen, es posible que tenga una ventaja sobre ellos a los ojos de los clientes que son sensibles acerca de mantener su información segura. Menores costos - la filosofía principal de la norma ISO 27001 es prevenir incidentes de seguridad - y cada incidente, grande o pequeña, cuesta dinero. Por lo tanto, mediante la prevención de ellos, su empresa va a ahorrar un montón de dinero. Y lo mejor de todo - la inversión en la norma ISO 27001 es mucho más pequeña que el ahorro de costes que va a lograr. Una mejor organización - por lo general, las empresas de rápido crecimiento no tienen el tiempo para parar y definir sus procesos y procedimientos - como consecuencia, muy a menudo los empleados no saben lo que hay que hacer, cuándo y por quién. La implementación de la norma ISO 27001 ayuda a resolver este tipo de situaciones, ya que anima a las empresas que escriban sus procesos principales (incluso los que no están relacionados con la seguridad), lo que les permite reducir el tiempo perdido de sus empleados.
¿DÓNDE ENCAJA LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN UNA EMPRESA Esencialmente, seguridad de la información es parte de la gestión global de los riesgos en una empresa, con áreas que se superponen con la seguridad cibernética, la gestión de la continuidad del negocio y la gestión de TI:
Autor: Dejan Kosutic
ESTRUCTURA ISO 27001 •
ISO / IEC 27001 se divide en 11 secciones, más el Anexo A. 114 controles (salvaguardias) colocados en 14 secciones (secciones A.5 a A.18).
•
Secciones de 0 a 3 son de introducción (y no son obligatorios para la implementación),
•
las secciones 4 a 10 son obligatorios - lo que significa que todos sus requisitos se deben implementar en una organización si quiere ser compatible con el estándar.
•
Controles del Anexo A sólo debe implementarse si se declara como aplicable en la Declaración de aplicabilidad.
Autor: Dejan Kosutic
Sección 0: Introducción • Explica el propósito de la norma ISO 27001 y su compatibilidad con otras normas de gestión. Sección 1: Objeto y campo de aplicación – • Explica que esta norma es aplicable a cualquier tipo de organización. Sección 2: Referencias normativas – • Se refiere a la norma ISO / IEC 27000 como estándar en el que se dan los términos y definiciones. Sección 3: Términos y definiciones – • De nuevo, se refiere a la norma ISO / IEC 27000. Sección 4: Contexto de la organización – • Esta sección es parte de la fase del planear en el ciclo PHVA y define los requisitos para la comprensión de los problemas externos e internos, las partes interesadas y sus necesidades, y la definición del alcance del SGSI. Sección 5: Liderazgo – • Esta sección es parte de la fase del planear en el ciclo PHVA y define las responsabilidades de alta dirección, el establecimiento de las funciones y responsabilidades, y los contenidos de la política de seguridad de la información de nivel superior. • Se establecen las responsabilidades y compromisos de la Alta Dirección respecto al Sistema de Gestión de Seguridad de la Información y entre otros aspectos, la necesidad de que la Alta Dirección establezca una política de seguridad de la información adecuada al propósito de la organización, aseguren la asignación de los recursos para el SGSI y que las responsabilidades y roles pertinentes a la seguridad de la información se asignen y comuniquen. Sección 6: Planificación – • Esta sección es parte de la fase del planear en el ciclo PHVA y define los requisitos para la evaluación, el tratamiento del riesgo, Declaración de aplicabilidad, el plan de tratamiento de riesgos, y el establecimiento de los objetivos de seguridad de la información. Sección 7: Apoyo – • Esta sección es parte de la fase de planear en el ciclo PHVA y define los requisitos para la disponibilidad de los recursos, las competencias, la sensibilización, la comunicación y el control de documentos y registros. Sección 8: Operación – • Esta sección es parte de la fase Hacer en el ciclo PHVA y define la aplicación de la evaluación del riesgo y el tratamiento, así como los controles y otros procesos necesarios para alcanzar los objetivos de seguridad de la información. Sección 9: Evaluación del desempeño – • Esta sección es parte de la fase de verificar en el ciclo PHVA y define los requisitos para el seguimiento, medición, análisis, evaluación, auditoría interna y revisión por la dirección. Sección 10: Mejora – • Esta sección es parte de la fase de Actuar en el ciclo PHVA y define los requisitos para las no conformidades, correcciones, acciones correctivas y de mejora continua. Anexo A – • Este anexo se ofrece un catálogo de 114 controles (salvaguardias) colocados en 14 secciones (secciones A.5 a A.18).
Autor: Dejan Kosutic
CÓMO SE ESTRUCTURAN LOS CONTROLES, Y EL PROPÓSITO DE CADA UNA DE LAS 14 SECCIONES DEL ANEXO A: • • • • • • •
•
• • • • •
•
A.5 Las políticas de seguridad de la información - controles sobre cómo las políticas están escritas y revisadas A.6 Organización de seguridad de la información - los controles sobre cómo se asignan las responsabilidades; También incluye los mandos de los dispositivos móviles y el teletrabajo. A.7 la seguridad de los recursos humanos - los controles previos al empleo, durante y después del empleo A.8 La gestión de activos - controles relacionados con el inventario de los activos y de uso aceptable, también para la clasificación de la información y manejo de medios. A.9 Control de acceso - controles para la política de control de acceso, gestión de acceso de usuario, sistema y control de acceso a las aplicaciones y responsabilidades de los usuarios A.10 Criptografía - controles relacionados con el cifrado y gestión de claves A.11 física y la seguridad del medio ambiente - los controles que definen las áreas de seguridad, controles de entrada, protección contra las amenazas, la seguridad de equipos, eliminación segura, clara y de escritorio de política claro de la pantalla, etc. A.12 Operacional de seguridad - un montón de controles relacionados con la gestión de la producción de TI: gestión del cambio, gestión de la capacidad, el malware, copia de seguridad, supervisión, instalación, vulnerabilidades, etc. A.13 Comunicaciones de seguridad - controles relacionados con la seguridad de la red, la segregación, los servicios de red, la transferencia de información, mensajería, etc. Sistema A.14 adquisición, desarrollo y mantenimiento - controles que definen los requisitos de seguridad y la seguridad en los procesos de desarrollo y de apoyo A.15 Relaciones con los proveedores - controles sobre qué incluir en los acuerdos, y cómo supervisar los proveedores A.16 información gestión de incidentes de seguridad - controles para informar sobre los eventos y debilidades, la definición de responsabilidades, procedimientos de respuesta, y la recogida de pruebas A.17 aspectos de información de seguridad de la gestión de la continuidad del negocio - los controles que requieren la planificación de la continuidad del negocio, los procedimientos, la verificación y revisión, y la redundancia de TI A.18 Cumplimiento - controles que exigen la identificación de las leyes y reglamentos aplicables, protección de la propiedad intelectual, la protección de datos personales, y las revisiones de seguridad de la información
La mejor manera de entender el Anexo A es pensar en un catálogo de 114 controles de seguridad de donde puede elegir los que son aplicables a su empresa.
RELACIÓN CON LA PARTE PRINCIPAL DE LA NORMA ISO 27001 Por lo tanto, no todos estos controles son obligatorios 114 - una empresa puede elegir por sí mismo que controla en su caso, y después deberá ponerlas en práctica (en la mayoría de los casos, al menos el 90% de los controles son aplicables); el resto se declara como no aplicables. Por ejemplo, el control de desarrollo contratado externamente A.14.2.7 se puede marcar como no aplicable si una empresa no externaliza el desarrollo de software. El principal criterio para la selección de los controles es a través de la gestión de riesgos, que se define en los puntos 6 y 8 de la parte principal de la norma ISO 27001. Además, la cláusula 5 de la parte principal de la norma ISO 27001 requiere que se determinará responsabilidades para la gestión de esos controles, y la cláusula 9 se requiere para medir si los controles han cumplido su propósito. Por último, la cláusula 10 requiere que usted para arreglar todo lo que está mal con esos controles, y para asegurarse de que lograr los objetivos de seguridad de la información con los controles.
RELACIÓN CON LA NORMA ISO 27002
Autor: Dejan Kosutic
La verdad es que el Anexo A de la norma ISO 27001 no da demasiados detalles acerca de cada control. Por lo general hay una frase para cada control, lo que le da una idea de lo que necesita para alcanzar, pero no cómo hacerlo. Este es el propósito de la norma ISO 27002 - tiene exactamente la misma estructura que la norma ISO 27001 Anexo A.
ISO 27001 vs ISO 27002 La norma ISO 27002 es mucho más detallada, mucho más precisas , ¿cuál es el propósito de la norma ISO 27001, entonces? En primer lugar, no se puede obtener la certificación según la norma ISO 27002, ya que no es una norma de gestión. ¿Qué significa un estándar de gestión? Esto significa que dicha norma define cómo funciona un sistema, y en el caso de la norma ISO 27001, se define el sistema de gestión de seguridad de la información (SGSI) -, por lo tanto, la certificación según la norma ISO 27001 es posible. Este sistema de gestión de seguridad de la información significa que debe ser planificado, implementado, supervisado, revisado y mejorado. Esto significa que la gestión tiene sus responsabilidades distintas, que se deben establecer objetivos, medidos y revisados, que las auditorías internas deben llevarse a cabo y así sucesivamente. Todos esos elementos se definen en la norma ISO 27001, pero no en la norma ISO 27002. Los controles de la norma ISO 27002 corresponden a los mismos del Anexo A de la norma ISO 27001 - por ejemplo, en la norma ISO 27002 el control 6.1.3 corresponde a el nombre de contacto con las autoridades, en la norma ISO 27001 también se llama igual A.6.1.3 contacto con las autoridades. Sin embargo, la diferencia está en el nivel de detalle - en promedio, ISO 27002 explica un control en una página entera, mientras que la ISO 27001 dedica sólo una frase para cada control. La pregunta es: ¿por qué es la existencia de estas dos normas por separado, por qué no se les ha fusionado, para integrar los aspectos positivos de ambos estándares? La respuesta es la usabilidad - si se trataba de un único estándar, sería demasiado complejo y demasiado grande para su uso práctico. Todas las normas de la serie ISO 27000 está diseñado con un cierto enfoque - si usted quiere construir los cimientos de la seguridad de la información en su organización, y diseñar su marco, se debe utilizar la norma ISO 27001; si se desea implementar controles, se debe utilizar la norma ISO 27002, si se desea llevar a cabo la evaluación y tratamiento de riesgos, se debe utilizar la norma ISO 27005, etc. Para concluir, se puede decir que sin los detalles proporcionados en la norma ISO 27002, los controles definidos en el anexo A de la norma ISO 27001 no se podrían ejecutar; Sin embargo, sin el marco de gestión de la norma ISO 27001, ISO 27002 seguirá siendo simplemente un esfuerzo aislado de unos pocos entusiastas de la seguridad de la información, sin la aceptación por parte de la alta dirección y por lo tanto sin impacto real en la organización.
LA IMPORTANCIA DE LA DECLARACIÓN DE APLICABILIDAD PARA LA NORMA ISO 27001 La importancia de la Declaración de aplicabilidad (a veces conocida como (DdA) generalmente es subestimada, como el Manual de calidad en la norma ISO 9001, ya que se trata del documento principal que define cómo usted implementará una gran parte de su sistema de seguridad de la información. De hecho, la Declaración de aplicabilidad es el nexo principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información. El objetivo de este documento es definir cuáles de los 114 controles (medidas de seguridad) sugeridos en el Anexo A de la norma ISO 27001 son los que usted implementará y, para los controles que correspondan, cómo se realizará su implementación.
POR QUÉ ES NECESARIA? Autor: Dejan Kosutic
Ahora bien, ¿por qué es necesario este documento cuando usted ya ha realizado el Informe sobe la evaluación de riesgos, que también es obligatorio y que también define los controles necesarios? Estos son los motivos: • Ante todo, durante el tratamiento de riesgos usted identificó los controles que debían implementarse porque primero identificó los riesgos que eran necesario disminuir. Sin embargo, en la DdA usted también identificó los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc. • Segundo, el Informe sobre la evaluación de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (a veces, aún más); por eso, un documento de estas características no resulta realmente útil en el uso operativo diario. En cambio, la Declaración de aplicabilidad es bastante breve ya que tiene 114 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada. • Tercero, y más importante, la DdA se debe documentar si cada control aplicable ya está implementado o no. Una estrategia efectiva, y que la mayoría de los auditores buscará, también es describir cómo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (política, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza. • De hecho, si solicita la certificación ISO 27001, el auditor de certificación tomará su Declaración de aplicabilidad y recorrerá su empresa verificando si ha implementado los controles de la forma en que lo ha detallado en su DdA. Es el principal documento que utilizan para realizar la auditoría presencial. • Muy pocas empresas se dan cuenta de que redactando una buena Declaración de aplicabilidad pueden disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripción del procedimiento para ese control resultaría demasiado breve, lo puede incluir en la DdA. De esta forma, estaría evitando redactar otro documento.
POR QUÉ ES ÚTIL Basados en la experiencia, se puede afirmar que la mayoría de las empresas que implementan el sistema de gestión de seguridad de la información de acuerdo con la norma ISO 27001 dedican mucho más tiempo en redactar este documento que lo que habían previsto. El motivo es que deben pensar cómo implementarán sus controles: ¿Comprarán nuevos equipos? ¿Modificarán el procedimiento? ¿Contratarán un nuevo empleado? Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende que requiera mucho tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma sistemática. Por lo tanto, no se debería tomar este documento simplemente como uno de esos “documentos innecesarios” que no tienen una utilidad real. Piense que es la principal declaración en la que usted define lo que desea hacer con su seguridad de la información. Si está redactado correctamente, la DdA es un resumen perfecto acerca de por qué se debe hacer, cómo se debe hacer y de lo que se debe hacer en seguridad de la información.
Autor: Dejan Kosutic
Diagrama para la Cláusula 6.1.3: Tratamiento de los riesgos de seguridad de la información. ISO/IEC 27001:2013
DOCUMENTACIÓN OBLIGATORIA ¿Qué documentos y registros son necesarios? La siguiente lista detalla la cantidad mínima de documentos y registros requeridos por la Revisión 2013 de la norma ISO/IEC 27001: Documentos*
Capítulo de ISO 27001:2013
Alcance del SGSI
4.3
Políticas y objetivos de seguridad de la información
5.2, 6.2
Metodología de evaluación y tratamiento de riesgos
6.1.2
Declaración de aplicabilidad
6.1.3 d)
Plan de tratamiento del riesgo
6.1.3 e), 6.2
Informe de evaluación de riesgos
8.2
Definición de funciones y responsabilidades de seguridad
A.7.1.2, A.13.2.4
Inventario de activos
A.8.1.1
Uso aceptable de los activos
A.8.1.3
Política de control de acceso
A.9.1.1
Procedimientos operativos para gestión de TI
A.12.1.1
Principios de ingeniería para sistema seguro
A.14.2.5
Autor: Dejan Kosutic
Política de seguridad para proveedores
A.15.1.1
Procedimiento para gestión de incidentes
A.16.1.5
Procedimientos de la continuidad del negocio
A.17.1.2
Requisitos legales, normativos y contractuales
A.18.1.1
Registros*
Capítulo de ISO 27001:2013
Registros de capacitación, habilidades, experiencia y calificaciones
7.2
Resultados de supervisión y medición
9.1
Programa de auditoría interna
9.2
Resultados de las auditorías internas
9.2
Resultados de la revisión por parte de la dirección
9.3
Resultados de acciones correctivas
10.1
Registros sobre actividades de los usuarios, excepciones y eventos de seguridad.
A.12.4.1, A.12.4.3
*Se pueden excluir los controles del Anexo A si una organización determina que no existen riesgos ni otros requisitos que podrían demandar la implementación de un control. Esta no es, de ninguna forma, una lista definitiva de documentos y registros que se pueden utilizar durante la implementación de ISO 27001; la norma permite que se agregue cualquier otro documento que pueda mejorar el nivel de seguridad de la información. DOCUMENTOS NO OBLIGATORIOS DE USO FRECUENTE Los siguientes son otros documentos que se utilizan habitualmente: Documentos
Capítulo de ISO 27001:2013
Procedimiento para control de documentos
7.5
Controles para gestión de registros
7.5
Procedimiento para auditoría interna
9.2
Procedimiento para medidas correctivas
10.1
Política Trae tu propio dispositivo (BYOD)
A.6.2.1
Política sobre dispositivos móviles y tele-trabajo
A.6.2.1
Política de clasificación de la información
A.8.2.1, A.8.2.2, A.8.2.3
Política de claves
A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3
Política de eliminación y destrucción
A.8.3.2, A.11.2.7
Procedimiento para trabajo en áreas seguras
A.11.1.5
Política de pantalla y escritorio limpio
A.11.2.9
Política de gestión de cambio
A.12.1.2, A.14.2.4
Autor: Dejan Kosutic
Política de creación de copias de seguridad
A.12.3.1
Política de transferencia de la información
A.13.2.1, A.13.2.2, A.13.2.3
Análisis del impacto en el negocio
A.17.1.1
Plan de prueba y verificación
A.17.1.3
Plan de mantenimiento y revisión
A.17.1.3
Estrategia de la continuidad del negocio
A.17.2.1
CÓMO ESTRUCTURAR LOS DOCUMENTOS Y REGISTROS MÁS COMUNES Alcance del SGSI Este documento es, habitualmente, bastante corto y se redacta al inicio de la implementación de ISO 27001. En general, se trata de un documento independiente, aunque puede ser unificado con una política de seguridad de la información. Políticas y objetivos de seguridad de la información La política de seguridad de la información generalmente es un documento breve y de alto nivel que detalla el principal objetivo del SGSI. Los objetivos para el SGSI, en general, se presentan como un documento independiente, pero también pueden ser unificados en la política de seguridad de la información. Contrariamente a la revisión 2005 de ISO 27001, ya no se necesitan ambas políticas (Política del SGSI y Política de seguridad de la información); solo hace falta una política de seguridad de la información. Metodología e informes de evaluación y tratamiento de riesgos La metodología de evaluación y tratamiento del riesgo es, habitualmente, un documento de 4 a 5 páginas y debe ser redactado antes que se realice la evaluación y el tratamiento de riesgos. El informe de evaluación y tratamiento de riesgos debe ser redactado una vez que se realizó la evaluación y el tratamiento de riesgos, y allí se resumen todos los resultados. Declaración de aplicabilidad La Declaración de aplicabilidad (o DdA) se redacta en base a los resultados del tratamiento del riesgo; es un documento clave dentro del SGSI porque describe no sólo qué controles del Anexo A son aplicables, sino también cómo se implementarán y su estado actual. También debería considerar a la Declaración de aplicabilidad como un documento que describe el perfil de seguridad de su empresa. Plan de tratamiento del riesgo Este es, básicamente, un plan de acción sobre cómo implementar los diversos controles definidos por la DdA. Este documento se desarrolla en función de la Declaración de aplicabilidad y se utiliza y actualiza activamente a lo largo de toda la implementación del SGSI. A veces se puede fusionar con el Plan del proyecto. Funciones y responsabilidades de seguridad El mejor método es describir estas funciones y responsabilidades en todas las políticas y procedimientos de la forma más precisa posible. Evite expresiones como "debería hacerlo"; en cambio, utilice algo como "el Jefe de seguridad realizará xyz todos los lunes a las zxy horas". Algunas empresas prefieren detallar las funciones y responsabilidades de seguridad en sus descripciones del trabajo; sin embargo, esto puede generar mucho papelerío.
Autor: Dejan Kosutic
Las funciones y responsabilidades de seguridad para terceros se definen a través de contratos. Inventario de activos Si no contaba con un inventario de este tipo antes del proyecto ISO 27001, la mejor forma de hacerlo es directamente a partir del resultado de la evaluación de riesgos ya que allí, de todos modos, se tienen que identificar todos los activos y sus propietarios; entonces, simplemente puede copiar el resultado desde ese instrumento. Uso aceptable de los activos Habitualmente, este documento se confecciona bajo la forma de una política y puede cubrir un amplio rango de temas porque la norma no define muy bien este control. Probablemente, la mejor forma de encararlo es la siguiente: (1) déjelo para el final de la implementación de su SGSI y (2) todas las áreas y controles que no haya cubierto con otros documentos y que involucran a todos los empleados, inclúyalos en esta política. Política de control de acceso En este documento usted puede cubrir sólo la parte comercial de la aprobación de acceso a determinada información y sistemas, o también puede incluir el aspecto técnico del control de acceso. Además, puede optar por definir reglas para acceso lógico únicamente o también para acceso físico. Debería redactar este documento solamente después de finalizado su proceso de evaluación y tratamiento de riesgos. Procedimientos operativos para gestión de TI Puede crear este procedimiento como un único documento o como una serie de políticas y procedimientos; si se trata de una empresa pequeña, debería tener menor cantidad de documentos. Normalmente, aquí puede abarcar todas las áreas de las secciones A.12 y A.13: gestión de cambios, servicios de terceros, copias de seguridad, seguridad de red, códigos maliciosos, eliminación y destrucción, transferencia de información, supervisión del sistema, etc. Este documento se debería redactar solamente una vez que finalice su proceso de evaluación y tratamiento de riesgos. Principios de ingeniería para sistema seguro Este es un nuevo control en ISO 27001:2013 y requiere que se documenten los principios de ingeniería de seguridad bajo la forma de un procedimiento o norma y que se defina cómo incorporar técnicas de seguridad en todas las capas de arquitectura: negocio, datos, aplicaciones y tecnología. Estos principios pueden incluir validación de datos de entrada, depuración, técnicas para autenticación, controles de sesión segura, etc. Política de seguridad para proveedores Este también es un control nuevo en ISO 27001:2013, y una política de este tipo puede abarcar un amplio rango de controles: cómo se realiza la selección de potenciales contratistas, cómo se ejecuta la evaluación de riesgos de un proveedor, qué cláusulas incluir en el contrato, cómo supervisar el cumplimiento de cláusulas contractuales de seguridad, cómo modificar el contrato, cómo cerrar el acceso una vez cancelado el contrato, etc. Procedimiento para gestión de incidentes Este es un procedimiento importante que define cómo se informan, clasifican y manejan las debilidades, eventos e incidentes de seguridad. Este procedimiento también define cómo aprender de los incidentes de seguridad de la información para que se puedan evitar en el futuro. Un procedimiento de esta clase también puede invocar al plan de continuidad del negocio si un incidente ha ocasionado una interrupción prolongada. Procedimientos de la continuidad del negocio
Autor: Dejan Kosutic
Generalmente se trata de planes de continuidad del negocio, planes de respuesta ante incidentes, planes de recuperación para el sector comercial de la organización y planes de recuperación ante desastres (planes de recuperación para infraestructura de TI). Estos procedimientos se describen con mayor detalle en la norma ISO 22301, la principal norma internacional para continuidad del negocio. Requisitos legales, normativos y contractuales Este listado debe confeccionarse en la etapa más temprana posible del proyecto porque muchos documentos tendrán que ser desarrollados de acuerdo a estos datos. Este listado debe incluir no sólo las responsabilidades para el cumplimiento de determinados requerimientos, sino también los plazos. Registros de capacitación, habilidades, experiencia y calificaciones Es el departamento de recursos humanos el que generalmente se encarga de llevar estos registros. Si usted no tiene un sector de este tipo, cualquier persona que habitualmente se encargue de los registros de los empleados debería ser quien realice este trabajo. Básicamente, sería suficiente una carpeta en la que se encuentren todos los documentos. Resultados de supervisión y medición La forma más sencilla de describir cómo se miden los controles es a través de políticas y procedimientos que definan a cada control. En general, esta descripción puede ser realizada al final de cada documento, y cada descripción tiene que definir los tipos de ICD (indicadores clave de desempeño) que es necesario medir para cada control o grupo de controles. Una vez que se estableció este método de control, usted debe realizar la medición en función de dicho método. Es importante reportar los resultados de esta medición en forma regular a las personas que están a cargo su evaluación. Programa de auditoría interna El programa de auditoría interna no es más que un plan anual para realizar las auditorías; para las empresas más pequeñas, puede tratarse solamente de una auditoría, mientras que para las organizaciones más grandes puede ser una serie de, por ejemplo, 20 auditorías internas. Este programa debe definir quién realizará las auditorías, los métodos que se utilizarán, los criterios que se aplicarán, etc. Resultados de las auditorías internas Un auditor interno debe generar un informe de auditoría, que incluye los resultados de la auditoría (observaciones y medidas correctivas). Este informe debe ser confeccionado dentro de un par de días luego de realizada la auditoría interna. En algunos casos, el auditor interno tendrá que verificar si todas las medidas correctivas se aplicaron según lo esperado. Resultados de la revisión por parte de la dirección Estos registros se presentan, normalmente, bajo la forma de actas de reunión y deben incluir todo el material tratado durante la reunión de la dirección, como también todas las decisiones que se tomaron. Estas actas pueden ser en papel o en formato digital. Resultados de acciones correctivas Generalmente, estos son incluidos en los formularios para medidas correctivas (FMC). Sin embargo, es mucho mejor agregar estos registros en alguna aplicación que ya esté en uso en la organización; por ejemplo,
Autor: Dejan Kosutic
la Mesa de ayuda, porque las medidas correctivas no son más que listas de actividades a realizar con responsabilidades, tareas y plazos bien definidos. Registros sobre actividades de los usuarios, excepciones y eventos de seguridad Habitualmente se llevan de dos formas: (1) en formato digital, generados en forma automática o semiautomática como registros de diversas TI y de otros sistemas, y (2) en papel, donde cada registro se hace manualmente. Procedimiento para control de documentos En general, este es un procedimiento independiente, de 2 o 3 páginas de extensión. Si usted ya implementó alguna otra norma como ISO 9001, ISO 14001, ISO 22301 o similar, puede utilizar el mismo procedimiento para todos estos sistemas de gestión. A veces es mejor redactar este procedimiento como el primer documento de un proyecto. Controles para gestión de registros La forma más sencilla es redactar el control de registros en cada política o procedimiento (u otro documento) que requiera la generación de un registro. Estos controles, normalmente son incluidos hacia el final de cada documento y se confeccionan bajo el formato de una tabla que detalla dónde se archiva el registro, quién tiene acceso, cómo se protege, por cuánto tiempo se archiva, etc. Procedimiento para auditoría interna Habitualmente este es un procedimiento independiente que puede tener entre 2 y 3 páginas y que tiene que ser redactado antes que comience la auditoría interna. En cuanto al procedimiento para control de documentos, un procedimiento para auditoría interna puede ser utilizado para cualquier sistema de gestión. Procedimiento para medidas correctivas Este procedimiento no debería exceder las 2 o 3 páginas y puede ser confeccionado al final del proyecto de implementación, aunque es mejor hacerlo antes para que los empleados puedan familiarizarse con él. LA LÓGICA BÁSICA DE LA NORMA ISO 27001: ¿CÓMO FUNCIONA LA SEGURIDAD DE LA INFORMACIÓN? Autor: Dejan Kosutic Al hablar con alguien nuevo de la norma ISO 27001 , muy a menudo me encuentro con el mismo problema: esta persona cree que la norma describirá en detalle todo lo que tiene que hacer - por ejemplo, la frecuencia con la que se necesita para realizar la copia de seguridad, a qué distancia de su sitio de recuperación de desastres debe ser, o lo que es peor, que tipo de tecnología que deben utilizar para la protección de red o cómo tienen que configurar el router. Aquí está la mala noticia: la ISO 27001 no prescribe estas cosas; funciona de una manera completamente diferente. Este es el por qué… …
¿Por qué es la ISO 27001 no prescriptiva? Imaginemos que la norma prescribe que es necesario realizar una copia de seguridad cada 24 horas - esto es la medida correcta para usted? Podría ser, pero créanme, muchas empresas hoy en día se encuentran este insuficientes - la velocidad de cambio de sus datos es tan rápido que lo que necesitan hacer copia de seguridad sino es en tiempo real, por lo menos cada hora. Por otro lado, todavía hay algunas empresas que
Autor: Dejan Kosutic
encontraría la copia de seguridad una vez al día con demasiada frecuencia - su tasa de cambio es aún muy lento, por lo que realizar copia de seguridad tan a menudo pueden ser excesivos. El punto es - si esta norma es para adaptarse a cualquier tipo de una empresa, entonces este enfoque prescriptivo no es posible. Por lo tanto, es simplemente imposible no sólo para definir la frecuencia de copia de seguridad, sino también la tecnología a utilizar, cómo configurar cada dispositivo, etc. Por cierto, esta percepción de que la ISO 27001 prescribirá todo es el mayor generador de mitos sobre la norma ISO 27001.
La gestión de riesgos es la idea central de la norma ISO 27001 Por lo tanto, puede que se pregunte, "¿Por qué necesitaría un estándar que no me dice nada en concreto?" Debido a que la norma ISO 27001 proporciona un marco para que usted decida sobre la protección adecuada. De la misma manera, por ejemplo, no se puede copiar una campaña de marketing de otra empresa para su propio, este mismo principio es válido para la seguridad de la información - que necesita para adaptarlo a sus necesidades específicas. Y la forma en la norma ISO 27001 dice que usted pueda lograr este traje hecho a medida es llevar a cabo la evaluación y tratamiento de riesgos. Esto no es más que una descripción sistemática de las cosas malas que pueden suceder a usted (que evalúan los riesgos), y luego decidir qué medidas de seguridad para poner en práctica para evitar que esas cosas malas sucedan (tratamiento de los riesgos). La idea aquí es que usted debe aplicar sólo aquellas salvaguardas (controles) que se requieren debido a los riesgos, no los que alguien piensa que son de fantasía; pero, esta lógica también significa que se debe implementar todos los controles que son necesarios debido a los riesgos, y que no se puede excluir algunos simplemente porque no les gustan.
ISO 27001 EVALUACIÓN DEL RIESGO Y EL TRATAMIENTO - 6 PASOS BÁSICOS 1. metodología de evaluación del Riesgo Este es el primer paso en su viaje a través de la gestión de riesgos. Es necesario definir reglas sobre cómo se va a realizar la gestión del riesgo porque quiere toda su organización para hacerlo de la misma manera - el mayor problema con la evaluación del riesgo ocurre si las diferentes partes de la organización realizan de una manera diferente. Por lo tanto, es necesario definir si desea que la evaluación cualitativa o cuantitativa del riesgo, que escala que va a utilizar para la evaluación cualitativa, lo que será el nivel aceptable de riesgo, etc. 2. aplicación de evaluación del Riesgo Una vez que conozca las reglas, puede empezar a averiguar qué problemas potenciales podrían pasar a ti es necesario enumerar todos sus activos, a continuación, las amenazas y las vulnerabilidades relacionadas con esos activos, evaluar el impacto y la probabilidad para cada combinación de activos / amenazas / vulnerabilidades y finalmente calcular el nivel de riesgo. En mi experiencia, las empresas suelen ser conscientes de sólo el 30% de sus riesgos. Por lo tanto, es probable que encuentre este tipo de ejercicio muy revelador - cuando haya terminado usted comenzará a apreciar el esfuerzo que ha hecho. 3. la implementación del tratamiento del Riesgo Por supuesto, no todos los riesgos son creados iguales - usted tiene que centrarse en los más importantes, los llamados "riesgos inaceptables". Hay cuatro opciones que se pueden elegir para mitigar cada riesgo inaceptable: • Aplicar los controles de seguridad del anexo A para disminuir los riesgos • Transferir el riesgo a otra parte - por ejemplo, a una compañía de seguros con la compra de una póliza de seguro.
Autor: Dejan Kosutic
• • •
Evitar el riesgo al detener una actividad que es demasiado arriesgado, o por hacerlo de una manera completamente diferente. Aceptar el riesgo - si, por ejemplo, el costo para mitigar ese riesgo sería mayor que el daño en sí. Esto es donde tiene que ser creativo - cómo disminuir los riesgos con una inversión mínima. Sería el más fácil si su presupuesto es ilimitado, pero eso nunca va a suceder. Y debo decirle que, lamentablemente, su gestión es correcto - es posible lograr el mismo resultado con menos dinero sólo tiene que encontrar la manera.
4. Informe de Evaluación de Riesgos ISMS A diferencia de los pasos anteriores, éste es bastante aburrido - que necesita para documentar todo lo que has hecho hasta ahora. No sólo por los auditores, pero es posible que desee comprobar usted mismo estos resultados en un año o dos. 5. Declaración de aplicabilidad En este documento se demuestra realmente el perfil de seguridad de su empresa - en base a los resultados del tratamiento del riesgo que necesita para enumerar todos los controles que haya implementado, por la que ellos han puesto en práctica y cómo. Este documento también es muy importante debido a que el auditor de certificación lo usará como la directriz principal de la auditoría. . 6. Plan de tratamiento del riesgo Este es el paso donde hay que pasar de la teoría a la práctica. Vamos a ser francos - todo hasta ahora a todo este trabajo de gestión del riesgo era puramente teórico, pero ahora es el momento de mostrar algunos resultados concretos. Este es el propósito del plan de tratamiento del riesgo - para definir exactamente que va a poner en práctica cada control, en el que periodo de tiempo, con lo que el presupuesto, etc. yo preferiría llamar a este "Plan de Implementación 'documento o' plan de acción ', pero vamos a seguir a la terminología utilizada en la norma ISO 27001. Una vez que usted ha escrito este documento, es crucial para obtener su aprobación de la administración, ya que llevará tiempo y esfuerzo (y dinero) para poner en práctica todos los controles que usted ha planeado aquí considerable. Y sin su compromiso no se va a ninguna de ellas. Y eso es todo - usted ha comenzado su viaje de no saber cómo configurar su seguridad de la información de todo el camino de tener una imagen muy clara de lo que necesita para poner en práctica. El punto es - ISO 27001 obliga a hacer este viaje de una manera sistemática.
Autor: Dejan Kosutic