Estรกndares para la calidad
del hardware y software en la seguridad Informรกtica
SEGURIDAD INFORMATICA Los estándares de seguridad son una herramienta que apoya la gestión de la seguridad informática, ya que los ambientes cada vez más complejos requieren de modelos que administren las tecnologías de manera integral, sin embargo, existen distintos modelos aplicables en la administración de la seguridad. Los 3 elementos que lo conforma son: Información : Es el objeto de mayor valor para una organización. El objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico. Usuarios Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información
Equipos que la soportan : Software, hardware y organización. y ad d i r g Inte ísticas d lida acter tica a i c en es car formá d f on las tr ad In C ? ue d son gurid q s bia bilida e la se a S i ¿ d pon antes s i D ort imp
¿Dónde interviene la gestión de seguridad de la información en una empresa? Básicamente, la seguridad de la información es parte de la gestión global del riesgo en una empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión de la continuidad del negocio y con la tecnología de la información
Sistema de gestión de la seguridad de la información sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001, aunque no es la única normativa que utiliza este término o concepto. Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar efcientemente la accesibilidad de la información, buscando asegurar la confdencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Estandares ISO 27000 ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad e la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por: •ISMS(Information Security Management System). •Valoración de Riesgo. •Controles. A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.
ISO 27000: En fase de desarrollo. Contendrá términos y defniciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente defnido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste. ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifcan por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certifcadas en esta última.
Estandares ISO 17799 Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad. La norma 17799 también ofrece una estructura para identifcar e implementar soluciones para los siguientes riesgos: Política de seguridad: escribir y comunicar la política de seguridad de la compañía Organización de seguridad: defnir los roles y las responsabilidades. Monitorear a los socios y a las empresas tercerizadas Clasifcación y control de activos: llevar un inventario de los bienes de la compañía y defnir cuán críticos son así como sus riesgos asociados Seguridad del personal: contratación, capacitación y aumento de concientización relacionadas a la seguridad
Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de seguridad Comunicación / Administración de operaciones: procedimientos en caso de accidente, plan de recuperación, defnición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc. Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edifcios, etc.) Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento Plan de continuidad empresarial: defnición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía
ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones La norma ISO/IEC 15408 defne un criterio estándar a usar como base para la evaluación de las propiedades y características de seguridad de determinado producto o sistema IT. Ello permite la equiparación entre los resultados de diferentes e independientes evaluaciones, al proporcionar un marco común con el que determinar los niveles de seguridad y confanza que implementa un determinado producto en base al conjunto de requisitos de seguridad y garantía que satisface respecto a esta norma obteniendo de esa forma una certifcación ofcial de nivel de seguridad que satisface. Por tanto, la norma ISO/IEC 15408 proporciona una guía muy útil a diferentes perfles relacionados con las tecnologías de la seguridad Por un lado, desarrolladores de productos o sistemas de tecnologías de la información, que pueden ajustar sus diseños. Por otro lado, consumidores que pueden conocer el nivel de confanza y seguridad que los productos de tecnologías de la información y sistemas le ofrecen. En último lugar, los evaluadores de seguridad, que juzgan y certifcan en que medida se ajusta una especifcación de un producto o sistema IT a los requisitos de seguridad deseados.
Desarrolladores
Consumidores
Evaluadores
¿Cómo se organiza ISO 15408? Los Criterios Comunes (por no llamarla ISO 15408) establecen unos criterios de evaluación basados en un análisis riguroso del producto o sistema IT a evaluar y los requisitos que este satisface. Para ello, establece una clasifcación jerárquica de los requisitos de seguridad. Se determinan diferentes tipos de agrupaciones de los requisitos siendo sus principales tipos los que vemos a continuación: Clase: Conjunto de familias comparten un mismo objetivo de seguridad. Familia: un grupo de componentes que comparten objetivos de seguridad pero con diferente énfasis o rigor. Componente: un pequeño grupo de requisitos muy específcos y detallados. Es el menor elemento seleccionable para incluir en los documentos de perfles de protección (PP) y especifcación de objetivos de seguridad (ST).
Clases
Familia
Componentes
¿Cómo se estructura ISO 15408? Parte 1. Introducción y modelo general. Defne los principios y conceptos generales de la evaluación de la seguridad en tecnologías de la información y presenta el modelo general de evaluación. También establece cómo se pueden realizar especifcaciones formales de sistemas o productos IT atendiendo a los aspectos de seguridad de la información y su tratamiento. - Protection Profile (PP): una conjunto de requisitos funcionales y de garantías independientes de implementación dirigidos a identifcar un conjunto determinado de objetivos de seguridad en un determinado dominio. Especifca de forma general que se desea y necesita respecto a la seguridad de un determinado dominio de seguridad. Ejemplos podrían ser PP sobre frewalls, PP sobre control de acceso, etc. - Security Target (ST): un conjunto de requisitos funcionales y de garantías usado como especifcaciones de seguridad de un producto o sistema concreto. Especifca que requisitos de seguridad proporciona o satisface un producto o sistema, ya basados en su implementación. Ejemplos podrían ser ST para Oracle v.7, ST para CheckPoint Firewall-1 etc. Parte 2. Requisitos Funcionales de Seguridad Este tipo de requisitos defnen un comportamiento deseado en materia de seguridad de un determinado producto o sistema IT y se agrupa en clases. Contiene las siguientes clases:
FAU- Auditoria FCO- Comunicaciones FCS- Soporte criptográfco FDP- Protección de datos de usuario FIA- Identifcación y autenticación de usuario FMT- Gestión de la seguridad FPR- Privacidad FPT- Protección de las funciones de seguridad del objetivo a evaluar FRU- Utilización de recursos FTA- Acceso al objetivo de evaluación FTP- Canales seguros Parte 3. Requisitos de Garantías de Seguridad Este tipo de requisitos establecen los niveles de confanza que ofrecen funciones de seguridad del producto o sistema. Trata de evaluar que garantías proporciona el producto o sistema en base a los requisitos que se satisfacen a lo largo del ciclo de vida del producto o sistema. Contiene las siguientes clases:
Niveles de Seguridad ISO 15408 EAL 1. Functionally tested Proporciona un nivel básico de seguridad realizado a través del análisis de las funciones de seguridad usando especifcaciones informales de aspectos funcionales, de interfaz y las guías y documentación del producto o sistema IT para entender el comportamiento de seguridad. EAL 2. Structurally tested Exige, además de los requisitos del nivel anterior, haber realizado una descripción informal del diseño detallado, haber realizado pruebas en el desarrollo en base a las especifcaciones funcionales , un análisis de la fuerza de las funciones de seguridad implementadas y evidencias de que el desarrollo ha verifcado la respuesta del sistema IT a las vulnerabilidades mas comunes. EAL 3. Methodically tested and checked Este nivel establece unos requisitos que obligan en la fase de diseño a un desarrollo metódico determinando. Este nivel añade a los requisitos del nivel anterior, el uso de controles de seguridad en los procesos de desarrollo que garantizan que el producto no ha sido manipulado durante su desarrollo. Por tanto, se realiza un análisis de las funciones de seguridad, en base a las especifcaciones funcional de alto nivel, la documentación, guías del producto y los test obtenidos en la fase de prueba. EAL 4. Methodically designed, tested and reviewed Requiere, además de los requisitos del nivel anterior, un análisis de vulnerabilidad independiente que demuestre resistencia a intrusos con bajo potencial de ataque y una especifcación de bajo nivel del diseño de la implementación EAL 5. Semiformally designed and tested Representa un cambio signifcativo respecto al nivel anterior puesto que requiere de descripciones semiformales del diseño y la arquitectura además de completa documentación de la implementación. mejora los mecanismos de control para garantizar y demostrar que el producto no es manipulado con respecto a las especifcaciones durante el desarrollo. EAL 6. Semiformally verified design and tested Añade respecto a los requisitos del nivel anterior, un detallado análisis de las funciones de seguridad, una representación estructurada de su implementación y semiformal demostración de la correspondencia entre las especifcaciones de alto y bajo nivel con la implementación. Además debe demostrarse con un análisis de vulnerabilidades independiente, que en el desarrollo se ha probado la robustez de las funciones de seguridad. EAL 7. Formally verified design and tested Es el nivel de certifcación más alto. Debe probarse formalmente las fases de desarrollo y prueba. Además se exige una evaluación independiente de la confrmación de los resultados obtenidos, de las pruebas para detectar vulnerabilidades durante la fase de desarrollo así como sobre la robustez de las
ISO 27001 ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. los e d te itos n e e is di en requ dad d p de los nui n i tía mple conti n ara y cu y de g s a a l erno ativa ión r t c s r . a t l e o n iz a an mu les i corp erci g e r sy D tro ón o m o s o a con gesti dad c s de l dos y proce de ctivi esgo valua crea la a los ri te e que ción n ue ame mpo rotec q i t p e c fca orre al ti e la i r Ve én c dos ión d est tiona ntac ges cume ción. do r m a o inf
De m con ues de trole tra la la a gestió s inte garan ctiv n c rno tía in ida orp s y d c ora cum depe om tiv n erc a y ple lo dien De ial. de s re te d dir mues c o nti quis e los e seg ctiva tra el nu ida itos u c d o r e i dd ay mp da s e con uda a d de u org rom tin eva la in aniz iso d ua me luar form ación e la cú nte y su aci c el r per ón y on la pula en v dim isar al tie mp ien o to y la me jor a.
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido; es recomendable la ayuda de consultores externos. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datosy sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).
¿Cómo es realmente ISO 27001?
Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.
Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.
Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcionan términos y defniciones.
Sección 3 – Términos y defniciones – de nuevo, hace referencia a la norma ISO/IEC 27000. Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planifcación del ciclo PDCA y defne los requerimientos para comprender cuestiones externas e internas, también defne las partes interesadas, sus requisitos y el alcance del SGSI Sección 5 – Liderazgo – esta sección es parte de la fase de Planifcación del ciclo PDCA y defne las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el contenido de la política de alto nivel sobre seguridad de la información. Sección 6 – Planifcación – esta sección es parte de la fase de Planifcación del ciclo PDCA y defne los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la información Sección 7 – Apoyo – esta sección es parte de la fase de Planifcación del ciclo PDCA y defne los requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación y control de documentos y registros. Sección 8 – Funcionamiento – esta sección es parte de la fase de Planifcación del ciclo PDCA y defne la implementación de la evaluación y el tratamiento de riesgos, como también los controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información. Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión del ciclo PDCA y defne los requerimientos para monitoreo, medición, análisis, evaluación, auditoría interna y revisión por parte de la dirección. Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y defne los requerimientos para el tratamiento de no conformidades, correcciones, medidas correctivas y mejora continua.
¿Cómo implementar ISO 27001?
Obtener Obtener el el apoyo apoyo de de la la dirección dirección
Utilizar Utilizar una una metodología metodología para para gestión de proyectos gestión de proyectos
Defnir Defnir el el alcance alcance del del SGSI SGSI
Realizar Realizar la la evaluación evaluación yy el el tratamiento tratamiento de de riesgos riesgos
Defnir Defnir la la metodología metodología de evaluación de evaluación de de riesgos riesgos
Defnir Defnir la la metodología metodología de evaluación de evaluación de de riesgos riesgos
Redactar Redactar la la Declaración Declaración de aplicabilidad de aplicabilidad
Redactar Redactar el el Plan Plan de de tratamiento de riesgos tratamiento de riesgos
Defnir Defnir la la forma forma de de medir medir la la efectividad efectividad de de sus controles y de su sus controles y de su SGSI SGSI
Realizar Realizar todas todas las las operaciones diarias operaciones diarias establecidas establecidas en en la la documentación de documentación de su su SGSI SGSI
Implementar Implementar programas programas de de capacitación capacitación yy concienciación concienciación
Implementar Implementar todos todos los los controles y controles y procedimientos procedimientos necesarios necesarios
Monitorear Monitorear yy medir medir su su SGSI SGSI
Realizar Realizar la la auditoría auditoría interna interna
Realizar Realizar la la revisión revisión por por parte de la dirección parte de la dirección
EL ultimo paso más importante
Implementar medidas correctivas Para Poder alcanzar
Cumplir Cumplir con con los los requerimientos requerimientos legales legales cada cada vez vez hay hay más más yy más más leyes, leyes, normativas normativas yy requerimientos requerimientos contractuales contractuales relacionados relacionados con con la la seguridad seguridad de de la la información. información. La La buena buena noticia noticia es es que que la la mayoría mayoría de de ellos ellos se se pueden pueden resolver resolver implementando implementando ISO ISO 27001 27001 ya ya que que esta esta norma norma le le proporciona proporciona una una metodología metodología perfecta perfecta para para cumplir cumplir con con todos todos ellos. ellos. Obtener Obtener una una ventaja ventaja comercial comercial sisi su su empresa empresa obtiene obtiene la la certifcación certifcación yy sus sus competidores competidores no, no, es es posible posible que que usted usted obtenga obtenga una una ventaja ventaja sobre sobre ellos ellos ante ante los los ojos ojos de de los los clientes clientes aa los los que que les les interesa mantener en forma segura su información. interesa mantener en forma segura su información. Menores Menores costos costos la la flosofía flosofía principal principal de de ISO ISO 27001 27001 es es evitar evitar que que se se produzcan incidentes de seguridad, y cada incidente, ya sea grande produzcan incidentes de seguridad, y cada incidente, ya sea grande oo pequeño, pequeño, cuesta cuesta dinero; dinero; por por lo lo tanto, tanto, evitándolos evitándolos su su empresa empresa va va aa ahorrar ahorrar mucho mucho dinero. dinero. YY lo lo mejor mejor de de todo todo es es que que la la inversión inversión en en ISO 27001 es mucho menor que el ahorro que obtendrá. ISO 27001 es mucho menor que el ahorro que obtendrá. Una Una mejor mejor organización organización en en general, general, las las empresas empresas de de rápido rápido crecimiento no tienen tiempo para hacer una pausa y defnir crecimiento no tienen tiempo para hacer una pausa y defnir sus sus procesos procesos yy procedimientos; procedimientos; como como consecuencia, consecuencia, muchas muchas veces veces los los empleados empleados no no saben saben qué qué hay hay que que hacer, hacer, cuándo cuándo yy quién quién debe debe hacerlo. La implementación de ISO 27001 ayuda a resolver este hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo tipo de de situaciones situaciones ya ya que que alienta alienta aa las las empresas empresas aa escribir escribir sus sus principales principales procesos procesos (incluso (incluso los los que que no no están están relacionados relacionados con con la la seguridad), lo que les permite reducir el tiempo perdido de sus seguridad), lo que les permite reducir el tiempo perdido de sus empleados empleados