tema2 gestion de la seguridad
Gobierno de la seguridad de la información [2.1] ¿Cómo estudiar este tema? [2.2] Introducción [2.3] Gobierno de la segur
Views 58 Downloads 70 File size 764KB
Recommend stories
- Author / Uploaded
- Jorge Enrique Cortez Bastidas
- Categories
- ITIL
- Seguridad y privacidad en línea
- Seguridad informática
- Seguridad de la información
- Planificación
Citation preview
Gobierno de la seguridad de la información [2.1] ¿Cómo estudiar este tema? [2.2] Introducción [2.3] Gobierno de la seguridad de la información [2.4] El estándar ISO 27001 [2.5] Buenas prácticas de seguridad en la gestión de servicios de TI [2.6] Modelos de madurez para la seguridad de la
TEMA
2
información
TEMA 2 – Esquema
2
ITIL
guías ejemplo
definido en
Gobierno de la seguridad
soportan
O-ISM3
ejemplo
modelos
definido en
certificable por
ISO 27001
ejemplo
estándares
Sistema de gestión de la seguridad de la información
implica
La seguridad de la información
Gestión de la seguridad
Esquema
Gestión de la seguridad
Ideas clave 2.1. ¿Cómo estudiar este tema? Para estudiar este tema lee el caso de estudio, además de las Ideas clave que encontrarás a continuación. El objetivo fundamental de este tema es el de conocer en qué consiste el gobierno corporativo de la seguridad de la información, así como los principales estándares. Este conocimiento es esencial para comprender los conceptos que son necesarios para gestionar adecuadamente la protección de la información. Más concretamente, los objetivos de este tema son los siguientes: Adquirir los conocimientos fundamentales acerca del gobierno de la seguridad de la información. Conocer el marco del estándar ISO 27001 y saber aplicar los conceptos de la norma en situaciones prácticas. Conocer modelos de buenas prácticas de gestión y de madurez en el área de la Seguridad de la Información y saber diferenciarlos entre sí y con relación a los estándares de certificación.
2.2. Introducción Este tema trata de introducirte en los términos y conceptos más relevantes en la gestión de la seguridad de la información, introduciendo conceptos enfocados a la estrategia de la seguridad y cómo esta debe estar alineada con los objetivos corporativos. Después de una lectura rápida del tema, es especialmente importante, por su relevancia como estándar, dedicar tiempo a entender y conocer en detalle el estándar ISO 27000 en lo relativo a su marco conceptual y terminología.
TEMA 2 – Ideas clave
3
Gestión de la seguridad
2.3. Gobierno de la seguridad de la información El gobierno es el «conjunto de responsabilidades y prácticas ejercidas por la Dirección con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se administren en forma apropiada y verificar que los recursos de la empresa se utilicen con responsabilidad» (ISACA). De forma más pormenorizada y focalizándolo en la seguridad de la información, el gobierno de la seguridad trata de: Dar una dirección estratégica y apoyar la consecución de objetivos: o Se debe alinear la seguridad de la información con la estrategia de negocio para apoyar los objetivos de la organización. o Así mismo, se optimizarán las inversiones en la seguridad en apoyo a los objetivos del negocio. Gestionar adecuadamente los riesgos: o Identificar y valorar los riesgos que se ciernen sobre la organización. o Se deben implantar medidas adecuadas para mitigar los riesgos y reducir el impacto potencial que tendrían en los recursos de información a un nivel aceptable. Verificar que los recursos se utilicen con responsabilidad: o Se buscará utilizar el conocimiento y la infraestructura disponible de la mejor forma posible. o Se deberá controlar y monitorizar la eficacia y la eficiencia de los controles ya implantados. Visión, misión y objetivos en el gobierno de la seguridad Al igual que el gobierno corporativo define una visión, una misión y unos objetivos que dotan a la organización de sus fundamentos estratégicos, el gobierno de la seguridad de la información debe definir una estrategia para cooperar en las metas definidas.
TEMA 2 – Ideas clave
4
Gestión de la seguridad
Visión
Misión
Objetivos Estrategia
Misión de seguridad
Objetivos de seguridad
Misión de la seguridad: Descripción de por qué la seguridad de la información es relevante en la organización. Describe una realidad prácticamente invariable en el tiempo y que puede lograrse de diversas formas, sirviendo de contexto para la toma de decisiones en la entidad. Visión de la seguridad: Describe lo que la entidad desea que llegue a ser la seguridad de la información, revisándose de forma periódica y sirviendo de guía para la definición de la estrategia de seguridad. Estrategia de seguridad: La estrategia de seguridad se revisa periódicamente debido a los permanentes cambios en el entorno y describe cómo alcanzar las metas definidas. Concretamente contiene: o De qué forma la seguridad da valor a la entidad, ligando sus iniciativas a las de negocio. o Cómo reducir los riesgos, teniendo en cuenta el cumplimiento normativo y la reducción de costes. o Cómo se protege la organización contra impactos de negocio, cómo esta responde a la evolución de las amenazas y de qué forma se pretende mejorar las medidas ya existentes: formación, tecnología, concienciación, etc.
TEMA 2 – Ideas clave
5
Gestión de la seguridad
Plan Director de Seguridad El Plan Director de Seguridad es una herramienta fundamental a la hora de implantar la estrategia de seguridad en una organización en un periodo de tiempo que abarca normalmente de 2 a 5 años como máximo. Es un elemento básico que permite a una organización: Definir y establecer las directrices de seguridad de la información que debe adoptar la organización en consonancia con los objetivos corporativos. Definir, planificar y formalizar las actividades en seguridad de la Información. De forma simplificada, un Plan Director de Seguridad tratar de determinar: El estado actual de la seguridad de la información en la organización y de la gestión de los riesgos. El resultado deseado que se pretende alcanzar dentro de un periodo de tiempo fijado en función de los objetivos de seguridad que deben ser coherentes, medibles y alcanzables. El plan de proyectos que describa como se van a alcanzar dichos objetivos.
Fases de un Plan Director de Seguridad
Definición de un modelo de seguridad
Análisis de la situación actual
Definición del plan de acción: Proyectos y priorización
Realización de un análisis GAP
Aprobación y desarrollo del PDS
Seguimiento del plan y objetivos
El modelo de seguridad deberá tener en cuenta: Los objetivos y la estrategia corporativa: Resultado deseado que se pretende alcanzar dentro de un periodo de tiempo fijado La gestión de los riesgos: Conocer los riesgos y cómo gestionarlos.
TEMA 2 – Ideas clave
6
Gestión de la seguridad
Las necesidades del negocio: Primero fijar los objetivos de seguridad y luego las medidas o controles de seguridad que se desarrollan como parte del modelo. Los estándares y buenas prácticas del sector. Las circunstancias tecnológicas y operativas. Para lograr cumplir los objetivos marcados, el plan de proyectos debe tener en cuenta el conocimiento interno de la empresa, los recursos, el presupuesto y la tecnología disponible.
2.4. El estándar ISO 27001 El estándar UNE-ISO/IEC 27001:2013 «Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos» es el primero de la serie de estándares ISO 27000. Es la norma principal de la familia, ya que establece los requisitos para la gestión del SGSI y su auditoría. Antecedentes del estándar ISO 27001: ISO/IEC BS7799 El
Estándar
Británico
ISO-IEC
BS7799-IT
es
un
código
aceptado
internacionalmente en la práctica de la seguridad de la información. El estándar aplica un método de cuatro fases para implementar una solución de sistemas de administración de seguridad de la información. La norma ISO 27001 puede considerarse como la última revisión de la norma BS 7799:2002 Parte 2, de la que ya había en el mundo previamente alrededor de 2.000 certificados. La familia ISO 27000 La siguiente figura resume las normas de seguridad de la familia 27000. Por ejemplo, la norma ISO 27002 detalla los requisitos de la norma 27001, proporcionando una guía de buenas prácticas que describe los objetivos de control y controles en cuanto a seguridad de la información con 14 dominios, 35 objetivos de control y 114 controles. No obstante, ISO 27002 no se considera una norma de certificación como 27001, sino una especificación de apoyo o buenas prácticas.
TEMA 2 – Ideas clave
7
Gestión de la seguridad
ISO 27001 a 27010 Normas de seguridad 27001
Requerimientos del SGSI
27002
Buenas prácticas en seguridad
27003
Guía de implementación del SGSI
27004
Métricas y mediciones del SGSI
27005
Gestión del riesgo en el SGSI
27006 a 17010
Numeración reservada a diferentes temas de la seguridad de la información
Por ejemplo, en la ISO 27002 se incluye el siguiente control: «Medios físicos en tránsito: Los medios que contienen información debieran ser protegidos contra accesos no-autorizados, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización.». Lógicamente, este control solo deberá diseñarse en caso de que se dé el citado tránsito. Introducción a la norma 27001 La norma ISO 27001 describe los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI). Proporciona un marco común para la elaboración de las normas de seguridad de cualquier tipo de organización, estableciendo un método de gestión eficaz de la seguridad. Esta norma es la base del proceso de auditoría y certificación de los sistemas de seguridad de información de las organizaciones. El establecimiento del SGSI se realiza seleccionando una serie de controles elegidos en función de su importancia en la gestión del sistema de seguridad. La siguiente tabla resume la estructura de la norma y sus principales contenidos.
TEMA 2 – Ideas clave
8
Gestión de la seguridad
Capítulo
Título
Contenidos
1
Alcance
Establece el alcance y ámbito de aplicación de la norma.
2
Referencias
Detalla otras normas relacionadas.
3 4
Términos y definiciones Contexto de la organización
Proporciona las definiciones de la terminología básica. Identifica los aspectos relevantes de la organización de cara a la seguridad de la información y se delimita el alcance. Establece los requisitos de compromiso de la dirección y de asignación de recursos. Descripción de los objetivos de seguridad y definición de la gestión de los riesgos. Dotación de recursos para el establecimiento y mejora del SGSI. Verificación de la operación del SGSI y del estado de los riesgos.
5
Liderazgo
6
Planificación
7
Soporte
8
Operación
9
Evaluación del desempeño
Realización de auditorías internas y revisiones del SGSI.
10
Mejora
Gestión de las no conformidades, las acciones correctivas y la mejora continua.
En los procesos de un sistema de gestión de seguridad de la información se utiliza con frecuencia el modelo PDCA (Planear-Hacer-Comprobar-Actuar).
Establecer el SGSI Partes interesadas
Partes interesadas
Re quisitos y e xpe ctativas de la se guridad de la información
Mantener y mejorar el SGSI
Implantar y ejecutar el SGSI
Se guridad de la información ge stionada
Seguimiento y revisión del SGSI
El proceso de planificación comienza con el diseño inicial del SGSI, incluyendo la evaluación de riesgos inicial y cómo se tratarán. Una vez se han diseñado los diferentes mecanismos de gestión (políticas, procedimientos, etc.) se ponen en marcha implantando y «ejecutando» el SGSI.
TEMA 2 – Ideas clave
9
Gestión de la seguridad
En la fase de seguimiento y revisión será cuando se evalúe la marcha del mismo. Dependiendo del nivel de madurez del SGSI en esta fase de verificación se incluirán auditorías (internas o externas). Finalmente, a la luz de la evaluación realizada, se propondrán las mejoras al SGSI que pasarán a una nueva fase de diseño. Requisitos generales La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica y se diseña e implanta de forma diferente en cada organización. Una organización debe definir el alcance y los límites del sistema de gestión de seguridad de la información de acuerdo con las características de la organización, su ubicación, activos y tecnología. Se deben establecer los objetivos de la política del sistema de gestión de seguridad de la información, identificando los posibles riesgos o amenazas que se podrían producir.
Ejemplo En una organización pequeña, puede que el alcance del SGSI sea toda la organización. No obstante, en organizaciones grandes no tiene por qué ser así. Por ejemplo, puede que el alcance en una empresa de venta por Internet abarque la parte de comercio electrónico pero no el aprovisionamiento (si este se realiza de manera tradicional, sin conexión a Internet). En cualquier caso, al determinar el alcance es preciso indicar las localizaciones físicas afectadas (oficinas, departamentos), las funciones que quedan
incluidas, y también los elementos tecnológicos cubiertos. Estos últimos se pueden definir por ejemplo mediante un diagrama de red.
Requisitos de documentación La documentación del sistema de gestión de seguridad de la información deberá incluir la política, alcance y objetivos del SGSI, así como los diferentes procedimientos y controles de seguridad del sistema. La documentación será más o menos amplia dependiendo de la organización y de las diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los requerimientos de seguridad variarán en función de estas circunstancias.
TEMA 2 – Ideas clave
10
Gestión de la seguridad
La dirección debe aprobar un documento de política de seguridad de la información, que deberá publicar y comunicar a todos los empleados y entidades externas relevantes. Se deben aprobar los documentos previamente a su distribución, revisando y actualizando los documentos según las necesidades requeridas, y siempre que se garantice que los documentos están periódicamente actualizados.
Jerarquía de la documentación
Política, alcance, evaluación de riesgos, declaración de aplicabilidad
Manual de seguridad
Procesos Quién, qué, cuándo, dónde
Detalla cómo se realizan las actividades
Procedimientos
Instrucciones
Proporciona la evidencia objetiva del cumplimiento de los requerimientos del SGSI
Registros
Compromiso de la dirección La Norma ISO 27001 especifica la obligación de suministrar evidencias del compromiso planteado, tanto en el desarrollo como en la implantación y mejora del sistema, en los siguientes aspectos: En el proceso de comunicación interna al personal de la organización de la gestión de la seguridad de la información en la empresa. En el establecimiento de la política y los objetivos del sistema de gestión de seguridad de la información de la empresa. En la revisión periódica del desempeño del sistema de gestión. En el aseguramiento de la disponibilidad de los recursos necesarios para la plena efectividad del sistema.
TEMA 2 – Ideas clave
11
Gestión de la seguridad
Responsabilidades Las
responsabilidades
y
sus
correspondientes
autoridades
deben
estar
perfectamente definidas en cualquier organización o empresa. La Norma ISO requiere que la alta dirección asegure que se cumplan estos requisitos y que las responsabilidades sean comunicadas dentro de la organización, valorando el tamaño, complejidad y cultura de la organización. Se puede nombrar un representante de la dirección que tendrá la responsabilidad de: Asegurar que los procesos del sistema de gestión de seguridad de la información se implanten y funcionen. Informar a la alta dirección sobre el desempeño del sistema y de cualquier oportunidad de mejora. Revisión por la dirección La dirección debe desarrollar una actividad de revisión que implique la verificación de la eficacia y efectividad del sistema de gestión de seguridad de la información para asegurar su plena validez. El proceso de revisión por la dirección no debería ser un planteamiento realizado solamente para satisfacer los requisitos de la norma o de los auditores, sino que debería ser una parte integral de los procesos de gestión de la organización.
2.5. Buenas prácticas de seguridad en la gestión de servicios de TI La gestión de los servicios de Tecnología de la Información (TI) ha evolucionado desde una organización ad hoc centrada en la visión técnica de los recursos de TI a una visión
integradora que considera los aspectos
tecnológicos que intervienen en un servicio de TI.
TEMA 2 – Ideas clave
12
humanos,
sociales y
Gestión de la seguridad
Servicio de TI Servicio a uno o más clientes, por un proveedor de servicios de TI. Un servicio de TI se basa en el uso de tecnologías de la información y apoya el cliente en sus procesos de negocio. Un servicio de TI se compone de una combinación de personas, procesos y tecnología, y deben definirse en un acuerdo de nivel de servicio.
La definición indica varios elementos fundamentales en la gestión de los servicios: En primer lugar, hace referencia al apoyo al cliente en sus tareas. Esta es la consideración central, y es especialmente importante dado que un fallo en un servicio de TI en muchas ocasiones implica que hay usuarios que no pueden hacer su trabajo. En segundo lugar, un servicio tiene tres componentes: personas, procesos y tecnología, y estos tres elementos deben tenerse en cuenta en la definición, diseño y evaluación de cada servicio. Por último, la definición hace referencia a los Acuerdos de Nivel de Servicio (Service Level Agreement, SLA), que pueden entenderse como los «contratos» entre los usuarios y proveedores del servicio, dando un carácter de predictibilidad a los servicios, y permitiendo una evaluación del servicio no ambigua, dado que los niveles de calidad son explícitos en los acuerdos. Más adelante veremos algunos detalles sobre la forma de estos acuerdos. Los acuerdos de nivel de servicio (service-level agreement, SLA) son acuerdos formales sobre la división de la responsabilidad de los medios de computación entre el Departamento de Sistemas de Información (DSI) y los usuarios finales. Estos acuerdos pueden considerarse contratos, y deben abarcar todos los recursos fundamentales de las tecnologías de la información: hardware, software, personal, datos, redes y procedimientos.
Comentario De hecho, los SLA no son específicos de las relaciones de los DSI, sino que se utilizan para todo tipo de relaciones de provisión de servicios. Se definen de manera general como «protocolo plasmado normalmente en un documento de carácter legal por el que una
compañía que presta un servicio a otra se compromete a prestar el mismo bajo unas determinadas condiciones y con unas prestaciones mínimas». Se utilizan también con profusión en contratos de outsourcing.
TEMA 2 – Ideas clave
13
Gestión de la seguridad
La fundamental ventaja de un SLA es que las responsabilidades quedan claramente definidas, y los procesos para el funcionamiento diario también están determinados de manera precisa.
Ejemplo Ejemplo de SLA: Garantía de disponibilidad de red Se define como tiempo en que el servidor tiene disponible la conectividad a Internet en el puerto de red asignado. La disponibilidad del servicio se calcula según la siguiente fórmula:
D = (T - Td) / T, donde • D es el tiempo de disponibilidad del servicio • T es el tiempo total mensual. • Td es el tiempo con pérdida total de conectividad. Este tiempo de pérdida, será igual al que trascurre desde la apertura de la incidencia, hasta el cierre de dicha incidencia. En caso de pérdida de disponibilidad real de este nivel de servicio, se aplicarán las penalizaciones de la siguiente tabla, de acuerdo a las condiciones de penalización generales del contrato. Penalizaciones: 99% > D >= 98%
Nivel A
98% > D >= 96%
Nivel B
96% > D >= 90%
Nivel C
D < 90%
Nivel D
Cálculo del tiempo de caída: El cálculo de esta magnitud se establecerá desde que se ha dado noticia al DSI del problema. El tiempo de la incidencia finaliza cuando el DSI comprueba que dicho servicio se ha restaurado completamente. No se considera tiempo de caída aquel debido a problemas derivados de un mal uso de la red, o una mala configuración de la red por parte del cliente.
Las buenas prácticas en los servicios de TI: ITIL La práctica de la gestión de los servicios de TI maduró progresivamente durante los años ochenta. El gobierno británico, guiado por la necesidad de una gestión más efectiva de esos servicios, comenzó a recopilar las formas en las que las organizaciones con más éxito gestionaban sus servicios. Esto llevó a la primera versión de la IT Infrastructure Library (ITIL) al final de los ochenta, que no era otra cosa que un conjunto de libros documentando los hallazgos de los estudios mencionados.
TEMA 2 – Ideas clave
14
Gestión de la seguridad
El Information Technology Service Management Forum (itSMF) es el único grupo de usuarios internacionalmente reconocido e independiente dedicado a la gestión de servicios TI, que surgió como un foro para que los usuarios de ITIL pudiesen intercambiar experiencias y aprender colectivamente. Es propiedad de sus miembros y son ellos quienes lo operan. El itSMF tiene gran influencia y contribuye a la industria de las mejores prácticas y a los estándares a nivel mundial. La primera filial del itSMF se fundó en el Reino Unido en 1991. El itSMF holandés (itSMF Holanda) fue la siguiente, establecida en noviembre de 1993. Ahora existen filiales itSMF en países como Sudáfrica, Bélgica, Alemania, Austria, Suiza, Canadá, Estados Unidos, Francia y Australia, que cooperan con itSMF Internacional. OGC (The Office of Government Commerce) es la Oficina independiente del Tesoro en el Reino Unido. El objetivo de la OGC es definir estándares y proporcionar las mejores prácticas para el mercado del RU. La OGC es la dueña de ITIL® y el desarrollo de ITIL® v3 ha sido auspiciado por la OGC. La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el proveedor acreditado en los siguientes años. Él definirá el estándar de los exámenes, la provisión de los exámenes, y entrenadores capacitados, materiales de capacitación y proveedores de capacitación de ITIL® v3. El principio fundamental de ITIL es el de recoger todas las prácticas que «funcionan». Esta aproximación se resume en unas características clave que pueden resumirse en las siguientes: ITIL no es propietario. Las prácticas de ITIL no son específicas de ningún tipo de tecnología o de sector. Además, ITIL es propiedad del gobierno británico, no estando por lo tanto en manos de ningún proveedor concreto. ITIL no es prescriptivo. ITIL recoge prácticas maduras, probadas de aplicabilidad general. Por su carácter genérico, no establece ningún tipo de obligatoriedad o uso concreto de tecnologías o técnicas. ITIL consiste en las mejores prácticas. ITIL recoge las mejores prácticas a nivel global, por lo tanto, es el resultado de la experiencia acumulada.
TEMA 2 – Ideas clave
15
Gestión de la seguridad
ITIL consiste en buenas prácticas. No todas las prácticas en ITIL pueden considerarse como las «mejores». Esto es una consecuencia del carácter evolutivo de la práctica. Lo que hoy es «lo mejor» mañana pasará simplemente a ser bueno o común, dado que se habrán descubierto formas mejores de hacer lo mismo, o bien el entorno habrá cambiado. ITIL abarca prácticas de soporte y de entrega del servicio. La siguiente figura las esquematiza.
Gestión de servicios TI
Soporte de servicios
Entrega del servicio
• Service Desk • Gestión de incidentes
• Gestión de los niveles de servicio.
• Gestión de problemas
• Gestión financiera.
• Gestión de configuración
• Gestión de la disponibilidad.
• Gestión del cambio
• Gestión de la capacidad
• Gestión de entregas
Las prácticas que ITIL recoge tienen unas características comunes cuando se observa su tipo y cómo las aplican las mejores organizaciones de servicio. Esas características pueden resumirse en los siguientes puntos: Son predictivos en lugar de reactivos. Es decir, se basan en estudiar los patrones de uso de los clientes o usuarios. Son consistentes y medibles. Las mejores prácticas son estables y proporcionan predictibilidad a los servicios de TI. Son adaptables. Por último, las prácticas deben permitir su optimización y mejora continua. Tomemos como ejemplo la práctica de la «Gestión de la capacidad». Podemos definirla cómo la práctica encargada de «asegurar que la infraestructura de TI se proporciona cuando se necesita, en el volumen necesario y con el precio adecuado, garantizando su uso eficiente».
TEMA 2 – Ideas clave
16
Gestión de la seguridad
Siguiendo el esquema anterior, como toda práctica ITIL, debe ser: Predictiva. Esto se refleja, por ejemplo, en considerar que un factor crítico de éxito en esta práctica es «proporcionar previsiones de demanda de TI precisas». Consistente. Esto se refleja, por ejemplo, en la necesidad de implementar: «políticas, procesos y procedimientos de gestión de la capacidad». Medible. Esto se refleja en los indicadores recomendados para la evaluación del servicio. Para esta práctica, entre los KPI (key performance indicators) tenemos por ejemplo: o Dólares en capacidad de TI no utilizada. o Número de incidentes/violaciones de SLA debidos a la capacidad. Adaptable.
Entre
las
actividades
encontramos:
«Implementar
cambios
relacionados con la capacidad». Es importante entender que las recomendaciones y directrices relativas a cada práctica tienen en cuenta las cuatro características que acabamos de comentar. El proceso de gestión de la seguridad en ITIL El proceso de gestión de la seguridad en ITIL se basa en la norma ISO 27001 que ya hemos visto. Para diseñar los procesos, las entradas son los requisitos que se formulan por parte de los clientes. Estos requisitos se traducen en servicios de seguridad y de calidad de seguridad que debe ser proporcionada en la sección de seguridad de los acuerdos de nivel de servicio. El proceso de gestión de la seguridad en ITIL es complejo y abarca un buen número de diferentes actividades. La siguiente tabla resume algunas de ellas.
Subproceso Diseño de controles de seguridad
Pruebas de seguridad
Objetivo Diseñar las medidas técnicas y organizativas necesarias para asegurar la disponibilidad, integridad y confidencialidad de los recursos y servicios de información. Asegurar que los mecanismos de seguridad están sujetos a pruebas regulares.
Gestión de incidentes de
Detectar y combatir los ataques y las intrusiones, y minimizar el
seguridad
daño de las brechas de seguridad. Revisar si las medidas y procedimientos de seguridad son
Revisión de la seguridad
coherentes con las percepciones de riesgo del negocio, y si esas medidas y procedimientos se revisan y evalúan regularmente.
TEMA 2 – Ideas clave
17
Gestión de la seguridad
Respecto a los indicadores, la siguiente tabla describe indicadores típicos para este proceso.
KPI
Descripción
Número de medidas de prevención
Número de medidas de prevención implementadas en
implementadas
respuesta a amenazas a la seguridad implementadas. Tiempo transcurrido desde la identificación de una
Duración de la implementación
amenaza hasta la implementación de una contramedida adecuada.
Número de incidentes de seguridad importantes Número de caídas del nivel de servicio relacionadas con la seguridad Número de test de seguridad
Número de incidentes, clasificados por severidad.
Número de incidentes que han causado no disponibilidad del servicio limitada o interrupción. Número de test de seguridad (y de procesos de formación) llevados a cabo.
Número de problemas identificados
Número de problemas identificados en el transcurso de
durante los test
los test de seguridad
Es interesante detenerse a pensar cómo los KPI que se acaban de mencionar se relacionan con los modelos económicos de la seguridad. Las medidas de prevención son pre-incidente, así como los test, si bien el número de incidentes es postincidente. La orientación al servicio hace que uno de los KPI tenga que ver con el concepto de disponibilidad de manera directa.
2.6. Modelos de madurez para la seguridad de la información Un modelo de madurez sirve para situar y evaluar el grado de desarrollo de una gestión sistemática, predecible y optimizable. Estos modelos se han popularizado en el contexto del desarrollo de software, pero poco a poco han sido adaptados a otros dominios, incluyendo el de la seguridad de la información. En lo que sigue introducimos uno de esos modelos, el CMMI, quizá el más conocido y extendido en la actualidad. Es importante tener en cuenta que las ideas del CMMI se han aplicado recientemente a los servicios (Forrester, Buteau and Shrum, 2009).
TEMA 2 – Ideas clave
18
Gestión de la seguridad
Posteriormente describimos un modelo de madurez específico de la seguridad de la información. El modelo de madurez CMMI El modelo CMMI, acrónimo del inglés Capability Madurity Model Integration, es una evolución de un modelo anterior denominado CMM inicialmente desarrollado por el Instituto de Ingeniería del Software (SEI) de la Universidad Carnegie Mellon. El SEI llevó a cabo el encargo de desarrollar un modelo de calidad que sirviera como base para establecer un sistema de capacitación de las compañías que suministraban software al gobierno de los Estados Unidos. Dicho modelo fue definido como: «Un enfoque para la mejora de procesos que proporciona a una organización los elementos esenciales para llevar a cabo sus procesos de manera efectiva. Puede utilizarse para guiar la mejora de procesos en un proyecto, en un departamento, o en una organización completa. CMMI ayuda a integrar funciones de la organización tradicionalmente separadas, a establecer prioridades y objetivos en la mejora de procesos, proporciona guías para los procesos de calidad y sirve como punto de referencia para la evaluación de los procesos actuales».
Nótese que CMMI no es un proceso de desarrollo de software, sino más bien una guía que describe las características que hacen efectivo a un proceso. Las ideas que aporta pueden ser, por tanto, utilizadas como un conjunto de buenas prácticas, como un marco para la organización y priorización de actividades, o como una forma de alinear los objetivos de la organización con los objetivos del proceso en estudio. CMMI se interesa por la mejora de los procedimientos y métodos (procesos) que las personas de una organización llevan a cabo con ayuda de tecnología y otras herramientas, ya que, si los procesos no están correctamente definidos, son maduros y ampliamente conocidos, ni las más cualificadas personas serán capaces de rendir a su mejor nivel aun disponiendo de las mejores herramientas.
TEMA 2 – Ideas clave
19
Gestión de la seguridad
El modelo O-ISM3 El Open Group desarrollado un modelo de madurez denominado Open Group Security Management Maturity Model (O-ISM3), que permite el diseño de sistemas de gestión de la seguridad alineados con la misión de la organización empresarial y el cumplimiento de las necesidades. Puedes encontrar más información sobre el Open Group y el modelo O-ISM3 en las siguientes direcciones web: http://www.opengroup.org/ https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicati onid=12238 La nueva norma permite a las organizaciones priorizar y optimizar las inversiones en seguridad de la información, así como permitir la mejora continua de los sistemas que utilizan métricas bien definidas. El modelo se basa en la consideración de tres elementos fundamentales en la seguridad de la información que ya se han tratado en la asignatura: Gestión de riesgos Controles de seguridad. Gestión de la seguridad, mediante un sistema de políticas y herramientas que las implementan. Por otro lado, el estándar se basa en las siguientes definiciones: Proceso. Los procesos tienen capacidades que se realizan mediante prácticas de gestión. Capacidad. Las métricas de un proceso revelan las capacidades del mismo. Madurez (grado de). Ciertos conjuntos de procesos seleccionados según ciertas capacidades permiten clasificar a la organización en un nivel de madurez.
TEMA 2 – Ideas clave
20
Gestión de la seguridad
La siguiente tabla resume la relación entre procesos, capacidades y niveles de capacidad o madurez.
Capability Level
Initial
Managed
Defined
Management Practices Enabled
Audit. Certify
Test
Monitor
Documentation
Metric Type
Optimized
Planning
Benefits Realization
Assessment
Optimization
*
*
*
*
*
*
Activity
*
*
*
*
*
*
Scope
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
Unavailability
*
Controlled
1
Effectiveness Load Quality Efficiency
TEMA 2 – Ideas clave
*
21
Gestión de la seguridad
Lo + recomendado Lecciones magistrales La gestión de contingencias. Los detalles del éxito En esta lección magistral veremos cómo gestionar una contingencia que podría poner en peligro un negocio, sobre todo desde el punto de vista de la seguridad.
La clase magistral está disponible en el aula virtual. ISO 27001 e ISO 22301. Creando sinergias En esta ocasión vamos a hablar de dos sistemas de gestión, ISO 22301 e ISO 27001, y de cómo implantarlos de forma simultánea.
La clase magistral está disponible en el aula virtual.
TEMA 2 – Lo + recomendado
22
Gestión de la seguridad
¿Por qué un SGSI? Hablando con el negocio En esta sesión vamos a ver cómo hablar con el negocio, algo fundamental para sacar adelante un sistema de gestión de seguridad de la información (SGSI).
La clase magistral está disponible en el aula virtual.
No dejes de leer… Norma UNE/ISO 27001 La norma ISO 27001 establece los requisitos para la certificación de los SGSI. Como tal, es muy importante conocer sus contenidos y definiciones.
TEMA 2 – Lo + recomendado
23
Gestión de la seguridad
No dejes de ver… Vídeos introductorios a ISO 27001 Esta serie de vídeos introduce los conceptos de ISO 27001 contados por expertos en el área. Es una serie de vídeos
cortos
especialmente mientras
se
introductorios recomendados
está
estudiando
la
norma.
El vídeo completo está disponible en el aula virtual o en la siguiente dirección web: https://www.youtube.com/watch?v=V7T4WVWvAA8
TEMA 2 – Lo + recomendado
24
Gestión de la seguridad
+ Información A fondo ITIL e ISO/IEC 27001 El artículo propone una correspondencia de ITIL con ISO 27001. Aunque la correspondencia es solo una propuesta no oficial, es interesante para entender mejor la complementariedad de las dos especificaciones. El artículo está disponible en el aula virtual o en la siguiente dirección web: http://www.indjst.org/index.php/indjst/article/viewFile/30359/26290
Webgrafía Web informativa de la familia de estándares ISO 27000 Esta web ofrece información general de la familia de estándares.
http://www.27000.org/index.htm
TEMA 2 – + Información
25
Gestión de la seguridad
Bibliografía Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de seguridad de la información según ISO 27001. Madrid: Fundación Confemetal. Tipton, H. F. and Micki K. (2004). Information Security Management Handbook. Florida: Auerbach Publications. VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach Publications. Brotby, Krag (2009). Information Security Governance: A Practical Development and Implementation Approach. John Wiley & Sons. Giordano, Anthony David (2014). Performing Information Governance: A Step-bystep Guide to Making Information Governance Work. IBM Press.
TEMA 2 – + Información
26
Gestión de la seguridad
Actividades Trabajo: Aplicación práctica de la norma ISO 27001 Descripción Tras leer la última versión disponible de la norma ISO 27001 y con el apoyo de la ISO 27002, ambas disponibles en la Biblioteca Virtual de UNIR, responde a las siguientes preguntas en un máximo de 8 páginas: » La empresa en la que trabajas quiere certificarse según la norma ISO 27001. Para afrontar con garantías el proceso de certificación se ha decidido llevar a cabo una pre-auditoría. Dentro de la documentación solicitada para poder llevar a cabo la preauditoría se nos ha solicitado: o Documentar un objetivo de negocio que justifique la necesidad de realizar un SGSI dentro de la compañía. Así, se debe contextualizar la actividad de la compañía (mediante una introducción, explicando su misión y visión) y se debe justificar cómo el SGSI sustentaría dicho objetivo. Por ejemplo, se podría hablar de qué beneficios concretos se obtienen (más allá de incrementar el nivel de seguridad) o cómo se alinean los objetivos corporativos con esta nueva iniciativa. El objetivo debe estar suficientemente explicado para justificar la necesidad de realizar un SGSI. o Respondiendo a ese objetivo de negocio se debe establecer un posible alcance (procesos involucrados, ubicaciones incluidas, etc.) para el SGSI de forma justificada. » En el informe recibido tras pasar la pre-auditoría se identifican deficiencias en los siguientes controles: o Roles y responsabilidades en seguridad de la información: no se definen las capacidades necesarias para desempeñar los roles de la organización, concretamente el de responsable de seguridad. Por otro lado, tampoco se identifican los activos, ni por tanto se ha designado un responsable que se ocupe de su protección.
TEMA 2 – Actividades
27
Gestión de la seguridad
o Concienciación,
educación
y
capacitación
en
seguridad
de
la
información: no existe un programa de capacitación para los grupos técnicos respecto a los procedimientos que deben seguir, ni se realizan cursos de concienciación globales. o Clasificación de la información: no se ha establecido un sistema de clasificación de la información. o Política de control de acceso: actualmente hay acceso global por parte de todos los usuarios a las principales aplicaciones de negocio de la entidad. Para cada uno de estos controles se debe proponer acciones de mejora que permitan cumplir con la norma. Si en alguno de ellos considera necesario hacer asunciones sobre otros controles, éstas deben estar debidamente justificadas. Criterios de evaluación Se valorará positivamente las referencias tanto a la ISO 27001 como a la ISO 27002 que se realicen en el trabajo. Para ello, se debe indicar claramente qué epígrafe concreto sustenta lo escrito por el alumno.
TEMA 2 – Actividades
28
Gestión de la seguridad
Test 1. Indica cual no es un objetivo del gobierno de la seguridad: A. Alinear los objetivos de seguridad con los objetivos estratégicos. B. Lograr siempre el mínimo coste en el proceso de seguridad. C. Gestionar de forma adecuada los riesgos de la seguridad de la información. D. Manejar de la mejor forma posible los recursos disponibles para alcanzar los objetivos fijados. 2. Indica qué fases de las siguientes nunca formarán parte de un Plan Director de Seguridad: A. Diagnóstico del estado de la seguridad de la información actualmente en una entidad. B. Cumplir todos y cada uno de los controles definidos en el estándar ISO/IEC 27001. C. Identificación de la diferencia de madurez en seguridad de la información de la entidad en la actualidad respecto al estado deseado. D. Adquirir la última tecnología de seguridad disponible en el mercado para así acometer con garantías el plan de proyectos. 3. Indica qué roles están involucrados en la seguridad de la información de una empresa: A. El encargado de la limpieza en las oficinas. B. El responsable de cumplimiento normativo de la entidad. C. El CEO de la empresa. D. Todos estos roles tienen implicación en la seguridad de la información de una empresa. 4. Indica cuáles de los siguientes aspectos están contemplados por la ISO 27001: A. El mantenimiento de los equipos informáticos en la empresa. B. El nombramiento de un comité específico y único para la continuidad del negocio. C. La implantación de un modelo organizativo corporativo que unifique las áreas de seguridad física y seguridad lógica en una sola. D. La ubicación adecuada de las copias de respaldo.
TEMA 2 – Test
29
Gestión de la seguridad
5. Indica cuáles de las afirmaciones siguientes son ciertas sobre el estándar 27001: A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de Gestión de la Seguridad de la Información. B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los Sistemas de Gestión de la Continuidad del Negocio. C. ISO 27001 considera como uno de los elementos fundamentales el compromiso de la dirección, requisito imprescindible para el establecimiento de un Sistema de Gestión de la Seguridad de la Información. D. Ninguna de las anteriores. 6. Indica cuáles de las siguientes afirmaciones son ciertas: A. La última versión de la ISO 27001 se basa en un modelo PDCA de mejora continua. B. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la Información debe estar motivada por decisiones tácticas referentes a la mejora de los costes asociados con la seguridad. C. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información debe comprender a toda la organización, para garantizar que no existe ninguna posibilidad de intrusión en ninguno de sus niveles. D. Ninguna de las anteriores. 7. Indica cuáles de las siguientes afirmaciones son ciertas: A. Según ISO 27001, los registros son evidencia objetiva sobre el cumplimiento de los requisitos del Sistema de Gestión de la Seguridad de la Información. B. Según ISO 27001, el apoyo explícito y formal de la dirección solo será necesario si la organización no cuenta con la suficiente madurez en seguridad de la información. C. La política de seguridad de la información es el documento que debe comunicarse a toda la empresa y a partir del cual se deriva el resto de los requisitos del sistema. D. Ninguna de las anteriores.
TEMA 2 – Test
30
Gestión de la seguridad
8. Indica cuáles de las siguientes afirmaciones son ciertas: A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de calidad de los servicios en diferentes dimensiones. B. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un SGSI si quiere ser compatible con ITIL. C. ITIL solo es compatible con la última versión de la ISO 27001, pero no lo fue con las anteriores. D. Ninguna de las anteriores. 9. Indica cuáles de las siguientes afirmaciones son ciertas: A. El modelo CMMI permite medir el nivel global de madurez de los procesos de una organización. B. El modelo CMMI permite medir el nivel de capacidad de un área de proceso en una organización. C. Según CMMI, en un nivel de madurez inicial el proceso está bien definido pero aún no está gestionado. D. Ninguna de las anteriores. 10. Indica cuál de las siguientes afirmaciones es cierta: A. Un SGCN tiene como fin solventar cualquier disrupción de los procesos y servicios por pequeña que esta sea. B. Las pruebas en un Plan de Continuidad de Negocio son recomendables, pero no realmente necesarias si se han definido e implantado las fases anteriores de forma correcta. C. ISO 22301 e ISO 27001 son complementarias y pueden ser implantadas en una organización creando sinergias entre ambas. Ninguna de las anteriores.
TEMA 2 – Test
31