Publicada la norma ISO/IEC 27003, Guía de implantación de un SGSI

Tenemos otra norma nueva dentro de la serie 27000. Esta vez se trata de una de las importantes dado que ISO/IEC 27003,Information technology -- Security techniques -- Information security management system implementation guidance es la guía de implantación de un SGSI.

Esta norma viene bien tanto para aquellos que quieren lanzarse a montar un SGSI por su cuenta como a nosotros los consultores , dado que resuelve algunas de las cuestiones que hasta la fecha carecían de un criterio normalizado.

ISO / IEC 27003:2010 se centra en los aspectos críticos necesarios para el éxito del diseño e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO / IEC 27001:2005. Se describe el proceso de especificación de SGSI y el diseño desde el inicio hasta la elaboración de planes de ejecución. En él se describe el proceso de obtener la aprobación de la gestión para implementar un SGSI, se define un proyecto para implementar un SGSI (denominado en la norma ISO / IEC 27003:2010 como el proyecto de SGSI), y da pautas sobre cómo planificar el proyecto de SGSI, resultando en una SGSI proyecto final de ejecución del plan. La publicación se realizó a primeros de este mes y a continuación detallo la estructura del contenido que recoge la norma.

1. Scope

2. Normative references

3. Terms and definitions

4. Structure of this international standard

5. Obtaining management approval for initiating an ISMS project

6 Defining ISMS scope, boundaries and ISMS policy

7 Conducting information security requirements analysis

8 Conducting risk assessment and planning risk treatment

9 Design the ISMS

Annex A: An ISMS implementation checklist

Annex B: Roles and responsibilities for information security

Annex C: Information about internal auditing

Annex D: Information security policy structure

Annex E: Monitoring and measuring the ISMS

Sin duda, una norma que hay que comprar y tener como referencia técnica ahora que por fin tenemos un criterio internacional sobre algunos aspectos algo difusos del proceso de diseño e implantación de todo SGSI.

Publicada ISO 27011:2008

Conforme vayan siendo publicadas, iré comentando algunas otras normas que van a empezar a ir viendo la luz como extensión del marco ISO 27000 relativo a la seguridad de la información.

Los proyectos en proceso y publicados por el Subcomité 27 se pueden consultar en el siguiente enlace.

El pasado mes de diciembre vió la luz la norma ISO 27011:2008 que es un desarrollo del marco de controles ISO 27002 diseñado específicamente para el sector de las telecomunicaciones. El título de esta nueva norma es Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002.

ISO 27011:2008 como la norma ISO 27799:2008 desarrollada para el sector sanitario son extensiones de la norma ISO 27002:2005 contemplada como un catálogo básico de controles que puede ser utilizado para implantar un SGSI. Tal como establece la norma ISO 27001:2005, a la hora de seleccionar controles se pueden elegir aquellos que figuran como Anexo A y que se corresponden con ISO 27002 o bien aquellos controles que la organización entienda que pueden ser interesantes o de aplicación. Por tanto, vamos a ir viendo aparecer normas de seguridad que son extensiones a medida de los diferentes sectores que están intentando establecer un conjunto de medidas de seguridad acordes con sus necesidades específicas.

SGSI virtuales

La proliferación de subvenciones y la motivación que proporciona el coleccionar certificaciones a nivel de organizaciones está generando un pequeño "boom" dentro del mundillo de la seguridad de la información y en concreto, la certificación bajo la norma ISO 27001:2005.

Esto que en teoría es viento favorable y debería generar cada vez más concienciación y producir mejoras en la gestión puede entrar en un círculo vicioso nada deseable. Por parte de las consultoras siempre se comenta que lograr la certificación es el premio al buen trabajo y el esfuerzo realizado en materia de seguridad. Sin embargo, se empieza ya a detectar una tendencia algo más peligrosa que es cuando el esfuerzo se dirige exclusivamente a lograr la medalla tratando de pasar la auditoría de certificación de cualquier forma, aun cuando ello no suponga disponer de una verdadera "gestión de la seguridad de la información".

Quiero comentar qué cosas son imprescindibles para que una organización tenga un SGSI real, y no uno virtual y certificado.

• Primero: Es necesario tener claro cuales son nuestros objetivos de seguridad. Cada organización tiene un por qué en relación a sus necesidades de seguridad. Esta información se obtiene en la fase de análisis de riesgos, donde por cada proceso debemos pensar qué consecuencias puede tener la inseguridad. De esta forma hallamos qué es lo que tiene valor para la organización, atendiendo a requisitos de disponibilidad, integridad y confidencialidad. Obtener estos requisitos es también el por qué es necesario hacer el análisis de riesgos.



• Segundo: Definir los objetivos que el SGSI debe perseguir. Una vez que acaba la fase de análisis de riesgos, conocemos cuales son los peligros potenciales que podrían generar mucho daño a la organización y por tanto, tenemos identificados todos aquellos eventos que bajo ningún concepto queremos que sucedan. El SGSI debe ser valorado y revisado al menos anualmente, para verificar que todo el esfuerzo que se está realizando en la materia se está logrando rentabilizar. Este concepto significa para el caso del SGSI que las medidas de seguridad funcionan y que los incidentes no visitan nuestra organización. Para ayudarnos en estas cuestiones es para lo que deben establecerse los objetivos del SGSI y sus correspondientes indicadores. ¿Cuantos son necesarios? Personalmente creo que los suficientes para valorar si todas las directrices dadas en la "Política de seguridad" se están cumpliendo. Cuantos más sensores del estado de la seguridad mejor, siempre que su gestión y mantenimiento sea algo llevable. A más información, más criterio para tomar decisiones. Los indicadores son una parte muy importante en el proceso de feedback que todo SGSI realiza para ajustarte a los objetivos planteados.



• Tercero: Realizar el despliegue de medidas de seguridad para gestionar los riesgos y ejecutar el plan de tratamiento de riesgos que se haya planteado. Esta norma en esencia tiene como estrategia base de seguridad la prevención. El mérito de un buen SGSI es que evita daños. Por tanto, pervertir este funcionamiento elimina la esencia del beneficio que la gestión de la seguridad debe proporcionar a la organización. ¿Qué significa esto? Pues que no hay que hacer las cosas para superar la certificación sino para mitigar riesgos. Tengo la sensación de que muchos procedimientos se escriben para que queden bonitos el día de la auditoría pero en el fondo no está detrás la búsqueda de un buen mecanismo de eliminación de vulnerabilidades. El SGSI debe prevenir o detectar lo más tempranamente posible. De lo contrario, los daños se producen y aunque luego en la fase de revisión del sistema se pueden producir ajustes, el impacto ya se ha producido y la revisión sólo sirve para intentar no caer dos veces en la misma piedra.



• Cuarto: Gestionar y monitorizar el funcionamiento de las medidas de seguridad. Una vez que el sistema está en marcha, la gestión de incidentes y de no conformidades son el nuevo pilar en el que se basa el SGSI. La mejora continua crea un proceso de retroalimentación que realiza los ajustes necesarios al funcionamiento establecido en base a detectar fallos que generan o bien acciones correctoras o bien acciones preventivas o bien sugerencias de mejora. El mantenimiento del SGSI se basará en solucionar las pegas del día a día y en la revisión del sistema que se realiza cada vuelta del ciclo donde se valoran también los resultados obtenidos en el seguimiento de indicadores y cumplimiento de objetivos.



• Quinto: Formación y concienciación en la materia. Como me apunta "Deincógnito" en los comentarios, la formación de las personas que vayan a gestionar el SGSI sobre esta disciplina de la seguridad de la información es esencial. Dificilmente se puede gestionar "algo" sobre lo que se desconoce su funcionamiento, conceptos y criterios. Además de esta formación de las personas que operan el SGSI, es necesario que los actores principales de la protección, los usuarios del sistema estén entrenados para que la protección sea una cosa de todos.

Dicho esto, voy a tratar de identificar los sintomas principales de un "SGSI virtual".

• Los objetivos de seguridad no son proporcionados por la Dirección: Nadie sabe mejor lo que se juega que quién es dueño del negocio. Por tanto, de cara a establecer los objetivos, deben surgir de dentro para solucionar los potenciales problemas que más daño podrían producir a la organización que se quiere certificar. Las consultoras en estos aspectos podemos asesorar pero no decidir. No es lo mismo plantear opciones en relación a objetivos en forma de propuestas que deben seleccionarse que darlos por escrito como si fueran ya decisiones definitivas.


• La metodología de análisis y gestión del riesgo no se entiende por parte de la Organización: Esta situación es un auténtico cáncer para un SGSI. Esta fase es el corazón del SGSI dado que es donde se realiza el diagnóstico de situación. Un mal diagnóstico implica un mal tratamiento y unos malos resultados. Por eso es importante que este proceso sea realizado por parte de profesionales adecuadamente formados y con criterio y conocimientos de "seguridad de la información". Es la barrera de entrada que existe para profesionales dedicados actualmente a otras certificaciones de sistemas de gestión y que algunos no parecen percibir. Ponerse a realizar un plan de tratamientos de riesgos sin haber leido al menos la norma ISO 27002 me parece muy osado y sobre todo, poco profesional pero allá cada organización en relación a las manos en las que quiera ponerse.
  Por otro lado, la dinámica utilizada por la Organización para ir realizando el diagnóstico de sus deficiencias y necesidades debe ser sencilla de gestionar por parte de la Organización y en la medida de lo posible, para estas tareas deben ser autónomos. Es cierto que en el inicio de todo proyecto de construcción de un SGSI muchas empresas se ven sobrepasadas dado que son muchos conceptos específicos sobre esta materia. Pero cuando el SGSI empieza a funcionar y da su primera vuelta, la Organización debe poder seguir con el ciclo de mejora continua y debe afrontar la primera revisión del análisis de riesgos con suficientes armas como para poder ajustar todos aquellos matices y aspectos que fallaran o pasaran ignorados en la primera fase. En este sentido, también detecto una peligrosa tendencia que ya he comentado alguna vez. Hay consultoras que no entienden la verdadera importancia del análisis y gestión del riesgo y se lanzan a inventar su propia metodología. No critico que esto se haga, pero si alguien se lanza, que lo haga bien. ¿Qué significa? Al menos la metodología debe cumplir con los puntos especificados por la norma 27001 y debe generar resultados razonables y repetibles. Para ello por suerte, ya disponemos de ISO 27005 que deja asentados ciertos conceptos base que toda metodología debe contemplar. Como organización, para plantearse si la metodología es buena o no el mejor diagnóstico es seleccionar un control y preguntarse por qué es necesario. Algo como esto qué hago qué sentido tiene. Si la metodología es robusta, debe identificar esa medida dónde debe aplicarse, en base a qué tengo que hacerla (gestiona un riesgo, satisface un requisito legal o es un objetivo de negocio), en qué situación se encuentra y a qué situación debo acabar llevándola, y por último, cómo valoro que está funcionando y ayuda al cumplimiento de los objetivos del SGSI.


• No existen tareas de seguridad: Esto de la certificación 27001 y disponer de la medalla de la seguridad es muy bonito pero el premio hay que sudarlo. Otro síntoma de un SGSI virtual es que no se definen las tareas que por seguridad deben ir realizándose a diario para evitar, detectar o remediar las incidencias que se van produciendo. Antes ya dije que la estrategia de la norma es siempre que sea posible la prevención o detección temprana. Para ello, es necesario que existan ciertas rutinas que proporcionen datos que sirvan para valorar nuestra situación, sensores o termómetros que nos avisen de cómo están funcionando nuestros sistemas de información y de cuándo pueden estar produciéndose situaciones potencialmente peligrosas. Esto obedece a la famosa frase de Lord Kelvin "si no puedes medirlo, no puedes mejorarlo" para la que Google ahora tiene un nuevo enunciado "Si puedes medirlo, puedes mejorarlo".La seguridad se debe basar fundamentalmente en la monitorización constante. Como toda área de control, es necesario vigilar que las cosas están en orden. Para ello, los mecanismos de seguridad deben servir para detectar, prevenir o predecir potenciales peligros de manera que podamos estar reaccionando al posible incidente antes de que este ocurra. Con esta filosofía de trabajo o bien somos capaces de hacer que la amenaza no nos afecte o bien disminuimos mucho su daño si la reacción arranca de forma muy temprana. No es necesario caer dos veces en la misma piedra para saber que si hay un obstáculo y no lo esquivamos, podemos caer. Por tanto, el SGSI se fundamenta en un despliegue de termómetros de seguridad distribuidos por toda la organización de manera que cuando se superan ciertos niveles salten alarmas que nos pongan manos a la obra a trabajar. Es todo lo contrario de lo que se venía haciendo hasta ahora en seguridad: apagar fuegos.


• Los indicadores de seguridad son irrelevantes: La medición debe servir para cuestionarnos continuamente en base a logs, datos y registros si las medidas de seguridad están funcionando bien. Hemos visto que es esencial establecer unos objetivos relevantes para la seguridad de la organización. Pues igual de crítico es establecer un buen conjunto de indicadores que sirvan para evidenciar que las cosas funcionan y podemos dormir tranquilos. Esta información, desde la perspectiva de la gestión, es la más crítica dado que es la base de la retroalimentación del sistema, los datos que se utilizan para hacer ajustes. Por tanto, debemos disponer de sensores de diferente naturaleza y con diferentes objetivos: medir la evolución de la ejecución del plan, valorar el rendimiento y funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve más ostil y es necesario modificar la valoración de las amenazas, etc. Cuando se audita, al revisar el análisis de riesgos, mirar qué objetivos tiene el SGSI y en qué indicadores se basa ya te puedes hacer una idea de si tienes delante un SGSI real o virtual. ¿Por qué? Muy sencillo, si la información utilizada por las actividades de gestión es mala, la propia gestión es mala. Si las decisiones no están enfocando los verdaderos problemas y no se está vigilando lo que es importante, el ciclo PDCA da vueltas pero no aporta valor a la Organización. Tener un SGSI dando vueltas de mejora continua produce beneficios pero si quien tiene el timón del barco no sabe dónde tiene que ir, dificilmente podrá lograr llegar a puerto. Serán las incidencias que se vayan registrando las que nos pongan de manifiesto estos hechos pero de nuevo se reacciona en base a fallos, y esa no es la idea principal.

Toda esta reflexión sólo tiene un motivo que es hacer ver que tener una organización certificada bajo ISO 27001 no va a servir de nada si no creemos en la necesidad de gestionar bien la seguridad de la información. Cuando uno se certifica en ISO 9001, se esfuerza por lograr la "calidad de sus servicios/productos". De no lograrlo es posible que la satisfacción del cliente no mejore y los resultados de la empresa no crezcan. Estas situaciones se controlan puesto que las cifras de resultados se vigilan continuamente de forma que cualquier fallo en la "calidad" puede ser identificado y se pueden realizar rápidamente ajustes.

Pues cuando uno se certifica en ISO 27001 se esfuerza por lograr la "seguridad de la información" de sus procesos productivos. De no lograrlo puede suceder que se presente una amenaza importante y que la organización no supere el incidente, y por tanto, la empresa no sobreviva. La seguridad sólo es vigilada por el SGSI de forma que no hay una segunda oportunidad para hacerlo bien. Si el incidente se presenta y falla por ejemplo el plan de continuidad de negocio, podremos tener unos magníficos procedimientos que no servían para nada y lucir nuestro maravilloso "sello 27001" pero la información de la empresa habrá desaparecido para siempre.
El hombre es un animal inteligente que no debe caer dos veces en la misma piedra. Debería ser suficiente con aprender de los demás pero no tener que sufrirlo en las propias carnes para reaccionar.

Cuando trabajaba en Madrid, hice varios cursos de Microsoft y seguridad en la Torre Windsor. Era un edificio gigante con 8 ascensores que se llenaban hasta arriba en las horas puntas. Me pregunto de las más de trescientas empresas cuantas superaron aquel incidente. Al menos he podido encontrar dos que si hicieron bien los deberes pero ¿2 de 200 es un buen ratio?.
Dada la edad de este blog, aquellos acontecimentos fueron ya comentados en su momento y las reflexiones sobre lo que ocurrió, lo que se perdió, los que hicieron bien las cosas y lo que debería hacerse ya han sido publicados.

Novedades sobre ISO 27033-IT network security

Ya está en modo borrador la nueva ISO 27033 que es la revisión de la ISO/IEC 18028-1:2006 destinada a la seguridad de redes de comunicaciones. Y por lo que se anuncia en ISO27001security.com parece que va muy avanzado el proceso de revisión. ISO 27033 pretende ser un complemento exhaustivo para todos los aspectos relacionados con la seguridad en redes que vienen definidos en ISO 27002. Por ahora ya se encuentran en proceso los siguientes documentos:

• ISO/IEC 27033-1: Guidelines for network security (FCD)


• ISO/IEC 27033-2: Guidelines for the design and implementation of network security (WD)


• ISO/IEC 27033-3: Reference networking scenarios -- Risks, design techniques and control issues (WD)


• ISO/IEC 27033-4: Securing communications between networks using security gateways -- Risks, design techniques and control issues (NP)


• ISO/IEC 27033-5: Securing Virtual Private Networks -- Risks, design techniques and control issues (NP)


• ISO/IEC 27033-6: IP convergence (NP)

Más información detallada de cada uno de estos documentos en ISO27001security.com

Estado de situación de la serie ISO 27000 a fecha 10 de diciembre 2008

A continuación voy a listar el conjunto de normas publicadas o en proceso de elaboración de la serie ISO 27000 a fecha 10 de diciembre de 2008. Estos resultados son fruto de una consulta a la Web de ISO.org en relación al área de trabajo del Subcomité 27 del JTC 1 - IT Security techniques.

El estado de las normas se codifica en base a unos acrónimos que ISO tiene identificados y que son:

• 1.PWI = Preliminary Work Item - initial feasibility and scoping activities


• 2.NP = New Proposal (or study period) - formal scoping phase


• 3.WD = Working Draft (1st WD, 2nd WD etc.) - development phase


• 4.CD = Committee Draft (1st CD, 2nd CD etc.)- quality control phase


• 5.FCD = Final Committee Draft - ready for final approval.


• 6.DIS = Draft International Standard - nearly there. Stage 40.


• 7.FDIS = Final Draft or Distribution International Standard - just about ready to publish. Stage 50.


• 8.IS = International Standard - published. Stage 60.


• 9. Under revisión. Stage 90.

Como podréis comprobar en la siguiente relación de normas, hay bastantes ya en el Stage 40 y 50 lo que indica que pronto pueden ver la luz. La situación actual del marco internacional de normas ISO 27000 es:

• ISO/IEC FCD 27000.
  Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary. Stage:40.99


• ISO/IEC 27001:2005.
  Information technology -- Security techniques -- Information security management systems -- Requirements. Stage:60.60


• ISO/IEC 27002:2005
  Information technology -- Security techniques -- Code of practice for information security management. Stage:90.92


• ISO/IEC FCD 27003
  Information technology -- Information security management system implementation guidance. Stage:40.20


• ISO/IEC FCD 27004.2
  Information technology -- Security techniques -- Information security management -- Measurement. Stage:40.20


• ISO/IEC 27005:2008
  Information technology -- Security techniques -- Information security risk management. Stage:60.60


• ISO/IEC 27006:2007
  Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Stage:60.60


• ISO/IEC WD 27007
  Guidelines for Information security management systems auditing. Stage:20.60


• ISO/IEC FDIS 27011
  Information technology -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. Stage:50.60


• ISO/IEC NP 27012
  Information technology - Security techniques -- ISM guidelines for e-government services. Stage:10.99


• ISO/IEC NP 27032
  Guidelines for cybersecurity. Stage:10.99


• ISO/IEC NP 27033
  Information technology -- IT Network security.Stage:10.99


• ISO/IEC CD 27033-1
  Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security. Stage:30.60


• ISO/IEC WD 27033-2
  Information technology -- Security techniques -- IT network security -- Part 2: Guidelines for the design and implementation of network security. Stage:20.60


• ISO/IEC WD 27033-3
  Information technology -- Security techniques -- IT network security -- Part 3: Reference networking scenarios -- Risks, design techniques and control issues. Stage:20.60


• ISO/IEC NP 27033-4
  Information technology -- Security techniques -- IT network security -- Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues. Stage:10.99


• ISO/IEC NP 27033-5
  Information technology -- Security techniques -- IT network security -- Part 5: Securing Remote Access - Risks, design techniques and control issues. Stage:10.99


• ISO/IEC NP 27033-6
  Information technology -- Security techniques -- IT network security -- Part 6: Securing communications across networks using Virtual Private Networks (VPNs) -- Risks, design techniques and control issues. Stage:10.99


• ISO/IEC NP 27033-7
  Information technology -- Security techniques -- IT network security -- Part 7: Guidelines for securing (specific networking technology topic heading(s) to be inserted3) -- Risks, design techniques and control issues. Stage:10.99


• ISO/IEC NP 27034
  Guidelines for application security. Stage:10.99


• ISO/IEC NP 27037
  Information technology - Security techniques -- on Information security management: Sector to sector interworking and communications for industry and government . Stage:10.99

El detalle de los diferentes escalones dentro de cada nivel o stage lo podéis consultar en Stages ISO.

La seguridad de la informacion en el sector sanitario: ISO 27799:2008

Ya he comentado alguna vez que la serie 27000 va a servir como marco normativo para todo lo relacionado con la seguridad de la información.

Pues bien, hemos de recibir una nueva norma de este marco, "ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002". He dado con ella gracias a ISO 27002.es
Tal como aparece en la Web de ISO, su resumen es:

ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard.

ISO 27799:2008 specifies a set of detailed controls for managing health information security and provides health information security best practice guidelines. By implementing this International Standard, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information.

ISO 27799:2008 applies to health information in all its aspects; whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), whatever means are used to store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand, via fax, over computer networks or by post), as the information must always be appropriately protected.

Su estructura es:

• Alcance


• Referencias (Normativas)


• Terminología


• Simbología


• Seguridad de la información sanitaria


• Objetivos; Seguridad en el gobierno de la información; Infomación sanitara a proteger; Amenazas y vulnerabilidades


• Plan de acción práctico para implantar ISO 17799/27002


• Taxonomía; Acuerdo de la dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing


• Implicaciones sanitarias de ISO 17799/27002


• Política de seguridad de la información; Organización; gestión de activos; RRHH; Fisicos; Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal


• Annex A: Amenazas


• Annex B: Tareas y documentación de un SGSI


• Annex C: Beneficios potenciales y atributos de herramientas


• Annex D: Estándares relacionados

La norma tiene stage 60.60 (Publicada) con fecha de 12 de Junio de 2008. Podéis adquirirla en ISO 27799:2008 - Health informatics -- Information security management in health using ISO/IEC 27002

Estos movimientos serán también continuos en años próximos dado que es intención de ISO extender la norma ISO 27002 con contenidos específicos en aquellos sectores que plantean una problemática especial.

Nuevo grupo Linked-In sobre SGSI

He creido interesante, dado lo novedoso e incipiente de este mundillo de la construcción y operación de los SGSI's, el crear un grupo Linked-in que permita unir a profesionales o responsables en el manejo de este tipo nuevo de sistemas de gestión.

Creo que dado su inmaduro estado todavía, es necesario compartir aproximaciones y experiencias para que en general, todos los responsables de seguridad de las organizaciones que implanten un SGSI obtengan su máximo rendimiento aprovechando las infraestructuras que proporciona la Web 2.0 y sus correspondientes "Valores 2.0".

Se trata de compartir experiencias para no fracasar, de plantear cuestiones para entre todos, lograr de verdad la mejora continua. Sería deseable no caer en el juego de los "sellos certificados" que no significan nada, porque en calidad nos jugamos la "satisfacción del cliente" pero en ISO 27001 nos jugamos "la seguridad y continuidad de nuestros sistemas".

Quien quiera tener un sello decorativo que diga que alguien certifica que parece que gestiona bien la seguridad allá el, pero quien quiera tener un sistema que sirva para minimizar el impacto de los incidentes estará haciendo bien su trabajo.

Animo por tanto a los usuarios de Linked-in a unirse al grupo "ISO 27001-SGSI Spanish Group".

Microseguridad y macroseguridad, dos frentes de una misma batalla

Paloma Llaneza dispone de una sección titulada "Aqui un amigo" y he tenido el honor de poder postear algo en ella. Para quien a estas alturas no la conozca, aqui tenéis una pequeña reseña de su intenso curriculum en materia de seguridad:

• Abogado en ejercicio, colegiada en Madrid (41.821) y socio de LLaneza y Asociados, Abogados.


• Es Auditora de Sistemas de Información (CISA) certifcada por ISACA.


• Es Coordinadora del GT 1 del Subcomité 27 de AENOR (Comité espejo del internacional de ISO JTC 1/SC 27/WG 1 de gestión de la seguridad TI), donde se estudian y aprueban las normas NE en esta materia. Es también Coordinadora del WG6 del SC37, sobre legislación en materia de biometría. Incorporada desde su consitución al WG25 sobre ITIL.


• Es desde 2004 co-editora de la norma internacional ISO de Métricas de Seguridad de Gestión de Sistemas de la Información (ISO/IEC 27004).

El resto se puede consultar aquí.

El texto que aparece en su sección es una reflexión en torno a las diferentes perspectivas con las que analizamos la seguridad y que de alguna manera, siendo complementarias, pertenecen a mundos diferentes si nos centramos en los elementos que barajan o gestionan.

Hace unos días pude leer en Taosecurity una reflexión entorno a las similitudes que se pueden hacer entre el mundo de la economía y el de la seguridad de la información.
Esta disciplina divide sus áreas de estudio entre la microeconomía y la macroeconomía. El autor del blog comenta cómo este enfoque es también válido para nuestro mundillo de la protección de activos.

• La microseguridad de la información trata los problemas del día a día, la protección en cada uno de los frentes tangibles que toda organización siempre tiene abiertos: usuarios, comunicaciones, servidores, dispositivos móviles, etc. Por tanto la microeconomía se centra en la tecnología que utilizamos para solucionar problemas, los controles que implantamos para hacer la seguridad gobernable en cada una de las situaciones o entornos donde encontramos problemas. Son aspectos tácticos y operativos de seguridad, elementos tangibles y sólidos que todo el mundo entiende ya necesarios para afrontar el día a día.



• La macroseguridad de la información trata los problemas globales, la coordinación y gestión de todas las actividades necesarias para alcanzar los objetivos, la planificación y diseño de estrategias para lograr tener los riesgos bajo control. Estaríamos al nivel del diseño de políticas de seguridad, del establecimiento de relaciones contractuales que garanticen el cumplimiento. La macroseguridad ha adquirido relativa importancia en estos últimos años cuando la microseguridad abre tantos frentes que la Organización debe tomar decisiones para poder establecer una estrategia basada en la proporcionalidad de las medidas y sobre todo, la gestión del riesgo para el negocio. Por tanto, la macroseguridad es la responsable de hacer que las decisiones y restricciones se encajen dentro de la organización y sobre todo, sirvan para garantizar el cumplimiento de los objetivos de negocio y el buen funcionamiento de los procesos productivos.

Desde mis comienzos profesionales siempre me he dedicado, por así decirlo, a la macroseguridad. He convivido en áreas y departamentos destinados a la microseguridad y las discusiones eran muy frecuentes siempre cuando cuestionabamos la efectividad real de las medidas. Siempre he creido que sin macroseguridad la microseguridad tiene un efecto limitado y corto en el tiempo porque las amenazas cambian y lo que hoy te protege, mañana es un elemento más de la infraestructura que hay que gestionar.

La carencia o falta de criterio a la hora de tomar decisiones sobre qué proteger primero es lo que ha producido que la macroseguridad se defina como disciplina, apareciendo la norma ISO/IEC 27001:2005 para establecer que los procesos de dirección de la macroseguridad deben estar fundados en la gestión del riesgo y la mejora continua. El ciclo de Demming logra coordinar la microseguridad y la macroseguridad. Establece los controles tangibles que hay que aplicar pero también los indicadores o métricas que deben registrarse para valorar si están o no funcionando.

El artículo completo que referencia a su vez Taosecurity se puede leer en Information Security and Business Integration

Más información sobre ISO 27005:2008

Buscando sobre algo de información en torno a la nueva norma he podido hallar una presentación bastante interesante sobre el contenido de la misma y sus objetivos. Va a ser interesante puesto que fija los cimientos de quizás la actividad más crítica para garantizar la seguridad de la información (que no para lo que supone su gestión).
El documento está en francés y descargable en la siguiente dirección.

Pensar en aplicar la "mala" filosofía ISO 9001 sobre la ISO 27001 tiene su peligro. Si bien la mala gestión de la calidad tiene consecuencias en la balanza de resultados y buscar la mejora continua tiene una motivación económica clara, pensar en gestionar la seguridad sólo por poder poner un sello más es un riesgo mayor.

Lo que se puede conseguir con tener una certificación ISO 27001 que realmente no implique un buen funcionamiento de las medidas de seguridad es disponer de una "sensación de seguridad" que no se aproxime a la "seguridad real" de la que se disfruta.
Es por eso tan importante que en la construcción de SGSI participen profesionales del mundo de la seguridad de la información o la seguridad informática. Son los técnicos capaces de valorar si las medidas que se están recomendando son adecuadas, podrán ofrecer alternativas en los planes de manera que se de tanta importancia al proceso de gestión de la seguridad como a la propia "seguridad de la información". No es importante que haya un buen plan de seguridad sino que éste funcione y logre sus objetivos.
Utilizo la siguiente imagen para explicar las relaciones entre ISO 27001 e ISO 27002 y también para contar las diferencias entre gestionar la seguridad y la propia seguridad.

En la norma ISO 27002, se establecen procesos y procedimientos de seguridad donde se incorporan una serie de medidas sobre los activos. Estas actividades deben generar los registros de seguridad. El correcto funcionamiento del SGSI se basa en que hay ciertos responsables que velan porque los procesos de seguridad estén operativos y dejando registros que permitan posteriormente su evaluación. Fruto de esa gestión dejan los registros propios del SGSI.

Por tanto, si quien gestiona el SGSI va evaluando lo que mantiene y opera la seguridad de los activos va generando, se tiene la certeza de que las medidas están operativas y sus resultados son los esperados. De esa manera tenemos "seguridad de la información" sobre nuestros activos. La labor de gestión del SGSI es velar por el funcionamiento correcto de los procesos de seguridad definidos para proteger a los activos.

Reflexiones similares se plantean en los post de los siguientes blogs:
- Blog S21Sec.
- Mejora continua de un SGSI según ISO 27001.

Esperemos que el efecto pernicioso que tiene ya la ISO 9001, donde se busca la certificación por el sello y no por los beneficios que produce, no se extienda hacia la ISO 27001, donde obtendríamos un reconocimiento a la gestión de la seguridad de la información aunque ésta no se manifieste. Esperemos también que las entidades de certificación no contribuyan a ello, otorgando el reconocimiento a quien no lo merece.

Publicada la ISO 27005:2008 sobre gestión del riesgo.

Hoy quiero dar dos buenas noticias en relación a la disciplina del análisis y gestión de riesgos de la seguridad de la información.

La primera de ellas la anuncia Joseba Enjuto en su blog, donde nos comunica que desde el día 4 de Julio se dispone de la nueva norma ISO 27005:2008,"Information security risk management". Esta norma
ISO/IEC 27005:2008 proporciona directrices para la gestión de riesgos de seguridad de la información. Esto apoya los conceptos generales especificados en ISO/IEC 27001 y ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y la gestión del riesgo, fase principal del diseño de todo buen sistema de gestión de la seguridad de la información (SGSI). El conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001 e ISO/IEC 27002 es importante para lograr el entendimiento completo de la ISO/IEC 27005:2008. ISO/IEC 27005:2008 es aplicable a todos los tipos de organizaciones (p.ej. sociedades mercantiles, administraciones públicas, organizaciones no lucrativas) que tengan la intención de manejar los riesgos que podrían comprometer la seguridad de la información de la organización.
Esta norma actualiza a la antigua ISO 13335, partes 3 y 4.


La segunda tiene como origen la publicación de ordenes ministeriales en relación a algunos de los conceptos que aparecen en la legislación vinculada a la Administración Electrónica. La seguridad de la información es un pilar básico de este tipo de infraestructuras y así lo ordenan las diferentes ordenes ministeriales y decretos que se están promulgando.
La legislación suele pecar de ambigua a la hora de hablar de seguridad. En general se venía diciendo que los procesos telemáticos deben garantizar la disponibilidad, integridad y confidencialidad de la información, sin establecer mínimos (A excepción de la legislación en materia de protección de datos de carácter personal que lo regula vía reglamentaria). Como mucho aparece que las medidas de seguridad serán proporcionales a los "riesgos y el estado de la tecnología".

Pues bien, he hallado una nueva redacción a estos requisitos en la Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la disposición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos y en la ORDEN PRE/3949/2006, de 26 de diciembre,por la que se establece la configuración, características, requisitos y procedimientos de acceso al Sistema de Verificación de Datos de Identidad donde para determinar la seguridad de la información necesaria aparece el siguiente texto:

Adopción de las medidas de seguridad, organizativas o técnicas, de los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única.

1. Con carácter general se aplicarán a los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única las medidas de seguridad, conservación y normalización que se detallan en los Criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades aprobados por el Consejo Superior de Informática y para el impulso de la Administración Electrónica y accesibles en su sitio web.

Dichas medidas de seguridad, conservación y normalización vendrán determinadas por el resultado del análisis y gestión de riesgos que se realice, recomendándose a estos efectos la utilización de la metodología Magerit.

2. Lo dispuesto en esta Orden Ministerial se aplicará en todo caso de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y demás normativa aplicable en esta materia.

Lo significativo que merece ser destacado es la exigencia de la realización de un análisis y gestión de riesgos previo a determinar las medidas de seguridad necesarias y además, establecido mediante una Orden Ministerial.

Me inicié en esto de la seguridad de la información ya hace casi 10 años justo en un proyecto piloto de valoración de la metodología MAGERIT (En aquella época, versión 1.0) y aunque siempre he considerado, pese a detractores, que el análisis y gestión de los riesgos es el criterio de diseño del conjunto de medidas, el reconocimiento que realiza esta nueva redacción de los requisitos de seguridad va a forzar a las instituciones a pasar forzosamente por el proceso. Se discute mucho sobre la rigurosidad de esta disciplina, basada en estimaciones y valoraciones subjetivas pero lo importante al final es que obliga a determinar qué elementos son importantes, cual es su valor y qué podría pasarles respecto a potenciales incidentes de seguridad. Este mínimo ejercicio de reflexión es necesario para que la seguridad no se base en la percepción del riesgo. Debe ocurrir que la sensación de seguridad sea igual que la seguridad real de la que se dispone.

En cuanto a la metodología MAGERIT 2.0, no creo que se diferencie en su esencia de lo contenido en esta norma ISO 27005:2008 porque básicamente todo análisis y gestión de riesgos pasa por las siguientes fases:
Fase de análisis de riesgos:

• Determinación de activos


• Determinación de amenazas


• Estimación de impactos


• Estimación de vulnerabilidad de las amenazas sobre los activos


• Cálculo del nivel de riesgo.

Fase de gestión de riesgos:

• Determinación de los criterios de aceptación del riesgo


• Determinación de las medidas de seguridad necesarias


• Estimación del nivel de riesgo residual

La documentación de MAGERIT 2.0 puede obtenerse en el Consejo Superior de Informática en la siguiente ficha descriptiva y en la propia página del Centro Nacional de Inteligencia en la url
http://www.ccn.cni.es/series.html hay un documento titulado CCN-STIC-410 Análisis de Riesgos Sistemas de la Administración v1.0.pdf con un ejemplo de su aplicación.

Situación actual de la serie 27000

La semana pasada tuvo lugar en Kyoto una reunión del Subcomité 27 de ISO para seguir avanzando en la elaboración de estandares de la serie 27000. En concreto el listado actual de normas que se encuentran en desarrollo y finalizadas son:

• ISO/IEC 27000 - proporcionará una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.


• ISO/IEC 27001:2005 - Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI).Publicada en 2005.


• ISO/IEC 27002:2005 - Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005).Publicada en 2005 y renombrada en 2007.


• ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.


• ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.


• ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve a lo largo del año.


• ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.


• ISO/IEC 27007 será una guía para auditar SGSI.


• ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.


• ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.


• ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051)


• ISO/IEC 27031 estará centrada en la continuidad de negocio
• 
  
• ISO/IEC 27032 será una guía para la cyberseguridad.


• ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.


• ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.


• ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.

Gary Hinson resume en un formato Mind Maps informaciones y comentarios sobre la última reunión del SC27 de ISO en Kyoto, donde ha participado como representante de Nueva Zelanda.

El modelo humano de gestión del riesgo

Leo en el blog de Schneier este mes un interesante artículo sobre cómo el ser humano gestiona de manera innata el riesgo. El primero de ellos, reflexiona sobre el riesgo que supone conocer el riesgo valga la redundancia.
El artículo entero puede leerse en Schneier on Security: Risk of Knowing Too Much About Risk y merece la pena destacar que las personas que más creen controlar o conocer los riesgos pueden cometer errores o tomar decisiones no adecuadas basadas en una confianza o conocimiento de la situación que puede no ser tal.
El miedo es una fuerza poderosa y con temor la toma de decisiones puede producir resultados nefastos.Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:

• La primera es intuitiva, emocional y basada en la experiencia. Tratamos de mitigar aquello que tememos o que no podemos controlar, basados tanto en la experiencia como en la intuición de lo que puede pasar. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un análisis objetivo del riesgo potencial.

• La segunda forma en mediante el análisis de riesgos: la utilización de probabilidad y estadística para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reacción intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisión final.

Lamentablemente para nosotros el análisis de riesgos no es la parte que gana. La intuición o el miedo pueden abrumar fácilmente a la parte analítica, especialmente cuando nuestro cerebro en situaciones de miedo recupera imágenes grabadas en la memoria sobre catástrofes, accidentes o experiencias desagradables que quedan más fácilmente almacenadas por la memoria emocional.

Para reflejar este hecho, se realizó un estudio sobre las causas con mayores probabilidades de muerte que representa la imagen superior. El tamaño de cada círculo representa el riesgo relativo de morir por la causa enumerada. Una de cada cinco muertes es por enfermedades del corazón. El infarto cerebral es un círculo alrededor de un tamaño cinco veces menor que la enfermedad de corazón. Los círculos más pequeños siguen documentando otras causas de muerte más raras y menos frecuentes. El círculo más pequeño en este mapa es la muerte de accidentes con fuegos artificiales, un destino sufrido por una de cada 350000 personas, representado por unos pocos píxeles en la pantalla. Nuestro cerebro empieza a ignorar los riesgo que son solo éso, dificiles de ver o comprender. Pero lo importante es que aunque nuestro cerebro los ignore, siguen estando ahí, con su probabilidad intacta y por tanto, deben ser también gestionados.

Aproximación práctica a la gestión del riesgo

De nuevo la gente de Infosecwriters.com han elaborado un excelente documento sobre la gestión del riesgo. Para aquellos que no tengan claro cómo documentar la metodología de análisis y gestión del riesgo y mientras la norma ISO 27005 (que está en fase de desarrollo con fecha prevista de publicación en Mayo de 2008) no aparezca en escena, este documento puede ser una buena referencia. El documento puede ser descargado en A Practical Approach to Managing Information System Risk

La norma ISO 27005 consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSIy recogerá partes de ISO/IEC TR 13335.

Disponemos también de un par de normas ya elaboradas en este tema:

• Risk Management, AZ/NZS 4360:2004


• Guidelines for Information Security Risk Management, BS 7799-3:2006

AZ/NZS 4360:2004
En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos (AS/NZS 4360:1999). A través de una norma reducida en extensión, con diagramas que gradualmente expanden sus niveles a medida que nos adentramos en las definiciones y apoyada por un generoso manual explicativo, no tardó en ser adoptada por varias empresas de diversas industrias. Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un “paquete” completo que incluye el manual de apoyo (HB 436:2004).

Guidelines for Information Security Risk Management, BS 7799-3:2006

En Mayo del año 2006, BSI presentó BS 7799-3:2006 (). La tercera parte de su norma BS 7799, que es el origen de la familia ISO/IEC 27000. En ella describe los aspectos mínimos que debe considerar un Proceso de Gestión de Riesgos de Información. Si bien, esto viene a aliviar un poco a los Implantadores más puristas, no es menos cierto que es una primera versión y como tal adolece de los males de los estrenos. Es necesario revisar la estructura, la distribución de los contenidos y la profundidad de los ejemplos. Es muy valorable la inclusión de ejemplos para graficar todos aquellos aspectos que podrían generar dudas.

Nuevo diseño del Blog

Este post es para anunciar cambios en la plantilla de diseño del blog y la inclusión de nuevas secciones con enlaces a otras Webs y blogs dedicados al mundillo de los sistemas de gestión de la seguridad de la información. Si alguno considera que dispone de una página que pudiera ser interesante apuntar en la sección de links que me lo haga llegar a través de los comentarios.

Publicada la segunda parte de la norma BS 25999.

Javier Ruiz Spohr ha comentado hoy en el grupo ISO2000security que ya ha sido publicada la norma BS 25999-2.
Para quien no ubique esta norma, es la segunda parte de la norma BS 25999 y ambas están relacionadas con la gestión de la continuidad de negocio.
He encontrado bastante información la Web http://www.bs25999.com/ donde se comentan las dos partes de esta norma que puede ser adquirida en la tienda del BSI.

Coincide también que ayer, en la II Jornada Internacional del ISMS, el Bussiness Continuity Institute (BCI) repartió en castellano el manual en buenas de prácticas en gestión de continuidad de negocio.

Un tema muy vivo del que seguro que pronto también surge la necesidad de una normalización y estandarización, sobre todo, si la Comisión Europea se está planteado cómo garantizar la continuidad de negocio de las denominadas "infraestructuras críticas".

ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems

Leo vía ISO 27000.es que a mediados de este año va a publicarse la norma ISO 27006, "Requirements for bodies providing audit and certification of information security management systems" que permitirá la acreditación de los organismos que están certificando sistemas de gestión de seguridad de la información.

Con esta norma, ENAC ya podrá acreditar en España a los diferentes certificadores y dar así un impulso más a este proceso obteniendo una certificación acreditada bajo el esquema de acreditación español. Esto supone la definición clara de los requisitos que deben satisfacer los organismos certificadores, que posteriormente son quienes otorgan el sello ISO 27001 a las instituciones y empresas que solicitan el proceso de certificación.

Por confirmar esta noticia, he recurrido a las dos Webs donde puede uno mantenerse al día entorno a las novedades en cuestión de normas de seguridad. En la Web de ISMS International User Group (Xisec.com) aparece como noticia y en la Web de la International Organization for Standardization
(ISO.org) aparece publicado con fecha del 30 de enero de 2007 el paso del estandar al estado 60.00, que es justo el paso anterior al estado 60.60 que es cuando se publica como norma internacional. Por tanto, se espera en no mucho tiempo que esta norma sea publicada.

Guía para el desarrollo de métricas de seguridad de la información

En gestión es un criterio básico que "Lo que no se puede medir, no se puede controlar. Sin control por tanto no puede haber gestión y sin gestión no hay dirección".

El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security


Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información.

Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad.

Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003.

Resumen general del marco normativo en materia de seguridad de la información

De una reciente reunión del subcomité responsable del desarrollo del marco normativo en seguridad de la información me parece interesante extraer de un documento del Ministerio de Administraciones Públicas, un extracto de la reestructuración de los estandares aparecidos y en borrador en relación a la seguridad de la información y la construcción de sus sistemas de gestión.

  

En primer lugar, en la definición del futuro de las normas relativas a la gestión de la seguridad de la información son de aplicación los siguientes principios:

-La gestión de la seguridad de la información debe ser coherente con los principios generales de gobernanza de las tecnologías de la información en las organizaciones.

- La gestión de la seguridad de la información debe ser coherente con los principios de seguridad de la OCDE.

- La gestión de la seguridad de la información debe ser coherente con otros sistemas de gestión, tales como los contemplados en ISO 9001 e ISO 14001.

- La gestión de la seguridad de la información debe ser coherente con los previsto en las Guías ISO siguientes: ISO Guide 72 e ISO Guide 73.

En segundo lugar, se considera que la familia de normas de gestión de la seguridad de la información debiera cubrir áreas tales como las siguientes:
- Marco de las normas de gestión de la seguridad de la información.

- Sistemas de gestión de la seguridad de la información.

- Análisis y gestión de riesgos.
- Controles y salvaguardas.

- Métricas.

- Auditoría.

- Directrices de implantación de los sistemas de gestión de la seguridad de la información.

- Difusión y concienciación.

Así también, cabe considerar aspectos tales como los siguientes:
- Productos y servicios.
- Política y procedimientos.
- Personal.
- Seguridad física.
- Esquemas de reporte.

En consecuencia, se considera que las siguientes normas son necesarias para completar la familia de normas de gestión de la seguridad de la información:

- Marco de las normas de gestión de la seguridad de la información. Debe haber un marco que proporcione una visión global de la familia de normas de gestión de la seguridad de la información y que explique las áreas de normalización, cubiertas o no por normas existentes a la fecha, las relaciones y dependencias de estas normas entre sí y con otras familias de normas; en particular, las relaciones con la familia de normas relativas a evaluación y certificación de la seguridad de las tecnologías de la información (ISO/IEC 15408) y aspectos complementarios como la elaboración de perfiles de protección (ISO/IEC 15446).
- Normas relativas a los sistemas de gestión de la seguridad de la información. Este pudiera ser un documento compuesto de varias partes que trate de cuestiones relativas a la especificación de los sistemas de gestión y a su evaluación.
- Norma relativa al análisis y gestión de riesgos. El análisis y gestión de riesgos es una actividad fundamental en la gestión de la seguridad de la información para identificar los requisitos de seguridad, establecer las políticas y objetivos de seguridad, para seleccionar los controles y salvaguardas proporcionados a los riesgos identificados y para gestionar riesgos emergentes derivados del cambio continuo en la tecnología, los actores, los requisitos, el marco legal, las amenazas, etc. Este papel del análisis y gestión de riesgos ya ha sido identificados por las normas ISO/IEC TR 13335, ISO/IEC IS 17799 e ISO/IEC 15408. También es reconocido por las Directrices de seguridad de la OCDE.
- Norma de métricas. Las métricas cuantitativas son relevantes para la gestión de la seguridad de la información, el análisis y gestión de riesgos y la eficacia, eficiencia y calidad de los controles implantados.
- Norma relativa a controles y salvaguardas. Esta norma se puede alcanzar a través de la convergencia entre ISO/IEC IS 17799 e ISO/IEC 13335. La carencia de armonización entre los dos documentos introduce confusión e incertidumbre en relación con cuál es el papel específico de cada una de estas dos normas y cuál es su relación en el sentido de que puedan ser opciones alternativas.
- Normas relativas a la auditoria de la gestión de la seguridad de la información. Se pueden considerar diversas fuentes como IEEE 1028, ISO 9126, ISO/IEC 12207, Guide to Software Quality Audit of EEA y otras posibles.
- Directrices relativas a la difusión y concienciación de la seguridad de la información.

Futuro ISO 27006, "Guías para la gestión de la continuidad de negocio"

ISO ha anunciado un nuevo proyecto que se etiquetará ISO 27006 “Guidelines for information and communications technology disaster recovery services”, basado en SS507. La publicación se espera para noviembre del 2007.

El cuerpo del borrador de norma propuesto tiene el siguiente contenido:


"0. Introduction
The ICT DR Services Model or Framework - showing the foundation layer to define supporting infrastructure from which services are derived, such as policies, processes, programme, performance measurement, people and products.

1. Scope
Describes the purpose of this standard, assumptions made when using this standard and what is excluded. Introduces subsequent clauses and explains their interpretation

2. Definitions
Defines terms used within the standard to establish a common understanding by the readers.

3. General Guidelines
Basic guidelines for the ICT DR services provision:
3.1 Environmental stability
3.2 Asset management
3.3 Proximity of services
3.4 Subscription (contention) ratio for shared services
3.5 Third party vendor management
3.6 Outsourcing arrangements
3.7 Privacy and confidentiality
3.8 Activation of subscribed services

4. Disaster Recovery Facilities
Specific guidelines for the ICT DR services provision to provide a secure physical operating environment to facilitate recovery:
4.1 Physical access control
4.2 Physical facilities and security
4.3 Environmental controls
4.4 Telecommunications
4.5 Power supply
4.6 Cable management
4.7 Fire protection
4.8 Location of recovery site
4.9 Emergency operations centre
4.10 Restricted facilities
4.11 Physical facilities and equipment lifecycle
4.12 Non recovery amenities
4.13 Testing
4.14 Training and education

5. Recovery Services Capability
Specific guidelines for the ICT DR services provision to develop service delivery capability supporting recovery. Besides qualified staffing, other minimum capabilities include capacity to support simultaneous invocation of disasters:
5.1 Expertise
5.2 Logical access controls
5.3 Equipment and operation readiness
5.4 Simultaneous recovery support
5.5 Levels of service
5.6 Types of service
5.7 Client testing
5.8 Changes in capability
5.9 Emergency response plan
5.10 Self-assessment
5.11 Disaster recovery training and education

6. Guidelines for Selection of Recovery Sites
Provides guidelines on the factors to consider when selecting recovery sites, such as:
6.1 Infrastructure
6.2 Skilled manpower and support
6.3 Critical mass of vendors and suppliers
6.4 Local service providers’ track records
6.5 Proactive local support

7. Additional Guidelines for the Professional ICT DR Service Provider
Additional guidelines for professional service providers in the provision of ICT DR services."

Publicada la norma BS 7799-3:2006

Bajo el British Standar Institute ha sido publicada la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management".

Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información son procesos clave si desea garantizar la seguridad de los procesos de negocio.

Esta actividad de la gestión del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad.
La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:
- Análisis del riesgo
- Gestión del riesgo
- Toma de decisiones
- Revisión del análisis y gestión del riesgo.
- Monitorización del perfil de riesgo
- Gestión del riesgo en el contexto de la gestión corporativa
- Cumplimiento con otros estandares y regulaciones basados en riesgo

BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo.

La información sobre este estandar puede consultarse en la BSI en la dirección BS 7799-3:2006