18/1/08

Guía para la elaboración del marco normativo de Seguridad ISO 27002.

Durante mi trabajo suelen siempre repetirse siempre las mismas preguntas entorno al desarrollo de normas, procedimientos y demás documentos relacionados con la construcción e implantación de sistemas de gestión de seguridad de la información certificables con la norma ISO 27001. Este tipo de proyectos requieren de un esfuerzo por parte de la Organización por formalizar y definir las actividades relacionadas con la gestión de la seguridad para dar cumplimiento a los diferentes controles de la norma ISO 27002. Para ello, se hace imprescindible establecer un marco normativo en materia de seguridad de la información, que defina y establezca los criterios y medidas que se desean garantizar y cumplir.

Debido a la ausencia de criterios formales para establecer este tipo de jerarquía de documentación, he considerado interesante contribuir con la elaboración de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Está basado en un criterio de máximos donde se describe lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mínimos pero si requisitos de la documentación y registros en su apartado 4.3 . Para muchos esta recomendación puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organización y de su "cultura" interna. Lo más importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen. En cualquier caso, el presente documento es solamente una propuesta técnica aunque para ello he utilizado varios libros que compré en su momento como bibliografía básica al respecto y que son:

  • Made policies are easy de Charles Cresson Wood.

  • Writing Information Security Policies de Scott Barman.

  • Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management de Thomas R. Peltier


El documento está colgado en la Web de Firma, Proyectos y Formación S.L. porque ha sido liberado bajo licencia Creative Common.

8 comentarios:

Anónimo dijo...

Alcance de la auditoria informatica (¿POSIBLES INTRUSIONES?)

Hola Javier

Una pregunta sobre el “alcance de la auditoria informatica” (interna o externa) ¿La auditoria del sistema del cliente (o de la empresa para la que se trabaja) implica acceder a los sistemas de los vecinos?
Me refiero pues a una auditoría interna, a una auditoria realizada por los informaticos de una empresa, y que al tener wifi han accedido a redes de otras empresas “vecinas” o “colindantes”.
Mi duda es si esta clase de incidencias podría considerarse dentro de lo que sería el alcance de una auditoria de seguridad de un sistema. ¿Es un exceso? ¿Cuales son los límites de mi red? ¿Cabe la posibilidad de lanzar ataques a otros sitemas por seguridad?
Saludos

Javier Cao Avellaneda dijo...

Toda auditoría debe tener definido un alcance concreto de los servicios a prestar. Por regla general, un auditor no debe hacer valoraciones de elementos fuera del alcance. En concreto al caso que apuntas si entiendo yo bien, el hecho de que se pueda entrar en redes wifis vecinas es irrelevante para evaluar el nivel de seguridad de la Wifi de la Organización. Los límites de la red son los que establecen los elementos de interconexión que son propiedad o están gestionados por la empresa. Otro problema sería que los equipos PC clientes de tu organización estén conectandose a Internet a través de redes abiertas de los vecinos. Eso SI sería relevante pero en ningún caso autorizaría a evaluar el nivel de seguridad de esas redes ajenas. Simplemente no se pueden utilizar y habrá que reforzar los mecanismos de seguridad respecto a la protección del tráfico cuando el usuario se conecte en redes Wifis no confiables (como los puntos Wifi abiertos en aeropuertos o ciudades).

yael dijo...

Les recomiendo una nota muy interesante sobre cambio de paradigma escrito por Abel Lucano, experto en Seguridad

De la consultora de seguridad Globalgate que nos introduce al conocimiento del mundo de seguridad y los sucesos que provocan un

Fuerte cambio de paradigma hoy en día: http://www.01market.com.ar/01news/may08_nota1.html

Diego dijo...

Exelente blog. Intenté bajar el archivo per me da error.. ya no está disponible ? Gracias

Pablo Cáceres dijo...

Hola Javier: Muy buena info la tuya, una consulta desde Argentina, conoces herramientas de software que existen en el mercado para que me ayuden a cubrir los controles necesarios para la ISO 27002:17799, ya que un futuro me interesa certificar mi empresa en ISO 27001. Gracias por la respuesta. Saludos.........

mgraziosi dijo...

Pablo Cáceres: yo estoy usando en Argentina RealISMS sin problemas.

Javier, sobre las políticas de uso:
Quisiera saber como estructurar las políticas de uso.
¿El usuario tiene que aceptar una única política de uso o una por cada recurso que usa?
La pregunta es si la política de uso debe tratar de tocar todos los temas vinculados al perfil del usuario de acuerdo a los recursos que utiliza, o si tiene que firmar una política por cada recurso que utiliza.
En el caso de firmar una política de uso de acuerdo a su perfil, me queda saber como hacer por cada vez que amplie o cambie su rol dentro de la organización.
En el caso de que tenga que firmar una política por cada recurso, me resulta complicado gestionar todas esas políticas firmadas...

Saludos.

Guadalupe Gonzalez dijo...

buen dia, todo esto me parece sumamente interesante, y tomandome atrevimientos me encantaria obtener y me seria muy util, un documento o manual donde se detalle todo lo que las empresas deben de hacer y cumplir para la implementacion y certificacion de la ISO 27000, ya uqe estoy haciendo un trabajo en la universidad sobre esta norma y es lo que me esta haciendo falta y no encuentro, por su respuesta gracias

Guadalupe Gonzalez dijo...

buen dia, todo esto me parece sumamente interesante, y tomandome atrevimientos me encantaria obtener y me seria muy util, un documento o manual donde se detalle todo lo que las empresas deben de hacer y cumplir para la implementacion y certificacion de la ISO 27000, ya uqe estoy haciendo un trabajo en la universidad sobre esta norma y es lo que me esta haciendo falta y no encuentro, por su respuesta gracias