Leo en ISO27000.es una excelente noticia para el gremio de la seguridad.
Según un artículo publicado en ComputerWeekly, uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos de sugerencias al proveedor respecto a estar certificado en esta norma.
Algo de sentido común, puesto que cada vez más los servicios están orientados hacia la gestión de activos cuya seguridad debe estar preservada. Toca primero al licitador previamente haber identificado sus activos y haber construido su propio SGSI, pero una vez hecho esto, sus proveedores deben garantizar la "cadena de seguridad".
Tal como indica en la web ISO27000.es, "El estándar, que ha substituido eficazmente al viejo BS 7799, ha convencido a muchas organizaciones que la certificación puede tener sentido para ellas. Según el grupo BSI, casi las dos terceras partes de las certificaciones eran nuevas organizaciones en vez de simples actualizaciones de BS 7799.
Según BSI, uno de los motivos para el fuerte aumento de en la actividad de certificaciones en ISO 27001 se debe a que cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el sector privado, estipulan ya que el proveedor apropiado debería tener la certificación en ISO 27001 de Seguridad de la Información.
URM, especialista en certificación ISO 27001 y en la gestión de riesgos, cree que el aumento del interés es porque el estándar se ha convertido en una obligación más que una opción accesoria para cualquier organización que opere en el sector público o en el sector de los grandes mercados privados.
Con el aumento en los niveles de gobierno, URM cree que la certificación ISO 27001 también está siendo vista como un ejercicio de 'impermeabilización de cara al futuro ' para muchas empresas. Si ellos no lo hacen ahora, saben que probablemente tendrán que hacerlo en el futuro. De hecho, algunas empresas que ya tienen la certificación ISO 27001 harán de lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga."
Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste.
El artículo original, puede leerse en Tender conditions drive ISO 27001 update - 07/Sep/2006 - ComputerWeekly.com
13/9/06
Control 8.1.2 de ISO 17799:2005. Selección de personal
Hoy he encontrado un curioso video que me sirve para ilustrar el objetivo que persigue el control 8.1.2 de la norma ISO 17799:2005.
El bloque ocho hace referencia a la gestión del personal y en concreto, el control 8.1.2. habla de los criterios de selección de personal. Por poneros en contexto os recomiendo leer el post de Sergio Hernando a este bloque en el siguiente enlace.
En las recomendaciones de implementación de este control, se indican la importancia de verificar la información aportada por los candidatos en los procesos de selección de personal. Los curriculum son información suministrada por el solicitante, persona interesada en llevarse el trabajo y que muchas veces puede exagerar o magnificar su curriculum. Por tanto, no es descabellado verificar que la información suministrada es cierta. Por un lado, es el momento para informar al solicitante sobre las indicaciones en materia de protección de datos que sean pertinentes.
En cualquier caso, creo que este ejemplo ilustra esos curiosos efectos "pinocho" que aparecen cuando uno busca como sea entrar en un proceso de selección.
Este caso es pura anécdota, pero ¿que ocurriría si el engorde del curriculum lo realiza un empleado que exagera sus conocimientos en administración de sistemas y lo ponemos directamente a manejar los entornos de producción?
El bloque ocho hace referencia a la gestión del personal y en concreto, el control 8.1.2. habla de los criterios de selección de personal. Por poneros en contexto os recomiendo leer el post de Sergio Hernando a este bloque en el siguiente enlace.
En las recomendaciones de implementación de este control, se indican la importancia de verificar la información aportada por los candidatos en los procesos de selección de personal. Los curriculum son información suministrada por el solicitante, persona interesada en llevarse el trabajo y que muchas veces puede exagerar o magnificar su curriculum. Por tanto, no es descabellado verificar que la información suministrada es cierta. Por un lado, es el momento para informar al solicitante sobre las indicaciones en materia de protección de datos que sean pertinentes.
En cualquier caso, creo que este ejemplo ilustra esos curiosos efectos "pinocho" que aparecen cuando uno busca como sea entrar en un proceso de selección.
Este caso es pura anécdota, pero ¿que ocurriría si el engorde del curriculum lo realiza un empleado que exagera sus conocimientos en administración de sistemas y lo ponemos directamente a manejar los entornos de producción?
7/9/06
Entrevista ISO 27001 a Jose Manuel Fernandez de Nexus Asesores
De nuevo quiero referenciar al blog ISO 9001, ISO 27001, GESTIÓN como fuente de buena información en materia ISO 27001. También destacar el activo papel que está adquiriendo el portal www.ISO27000.es
En este caso, quiero destacar la interesante entrevista realizada por el portal www.iso27000.es a Jose Manuel Fernandez, autor del blog.
El contenido de la entrevista es el siguiente:
Fundamentalmente recoge información sobre lo siguiente:
- Presentación de Nexus Consultores y Auditores y su relación con ISO 27001.
- Punto de partida del interés en Nexus en trabajar con ISO 27001.
- Empresas y sectores en los que se muestra un mayor interés por la ISO 27001.
- Tareas que debe realizar una empresa para la implantación de un SGSI.
- Servicios externos que suelen requerir las empresas para esta implantación.
- Esfuerzo y costes de la implantación de un SGSI.
- Diferencias entre los requisitos de ISO 27001 y la forma actual de gestión.
- Carencias en gestión de seguridad más destacables y habituales.
- Aspectos que entrañan mayor dificultad en la implantación de un SGSI.
- Aspectos a atender especialmente para la auditoría de certificación.
- Ventajas para la propia empresa, una vez tiene ya implantado el SGSI.
- Resumen de la Jornada de Gestión de Seguridad ISO 27001 celebrada en Málaga.
Creo que es una forma cómoda de adquirir conocimientos mediante la escucha de la entrevista, que podéis descargar en el siguiente enlace.
El post original donde se detalla más esta entrevista podéis obtenerlo en ISO 9001, ISO 27001, GESTIÓN: Entrevista ISO 27001 a Jose Manuel Fernandez
En este caso, quiero destacar la interesante entrevista realizada por el portal www.iso27000.es a Jose Manuel Fernandez, autor del blog.
El contenido de la entrevista es el siguiente:
Fundamentalmente recoge información sobre lo siguiente:
- Presentación de Nexus Consultores y Auditores y su relación con ISO 27001.
- Punto de partida del interés en Nexus en trabajar con ISO 27001.
- Empresas y sectores en los que se muestra un mayor interés por la ISO 27001.
- Tareas que debe realizar una empresa para la implantación de un SGSI.
- Servicios externos que suelen requerir las empresas para esta implantación.
- Esfuerzo y costes de la implantación de un SGSI.
- Diferencias entre los requisitos de ISO 27001 y la forma actual de gestión.
- Carencias en gestión de seguridad más destacables y habituales.
- Aspectos que entrañan mayor dificultad en la implantación de un SGSI.
- Aspectos a atender especialmente para la auditoría de certificación.
- Ventajas para la propia empresa, una vez tiene ya implantado el SGSI.
- Resumen de la Jornada de Gestión de Seguridad ISO 27001 celebrada en Málaga.
Creo que es una forma cómoda de adquirir conocimientos mediante la escucha de la entrevista, que podéis descargar en el siguiente enlace.
El post original donde se detalla más esta entrevista podéis obtenerlo en ISO 9001, ISO 27001, GESTIÓN: Entrevista ISO 27001 a Jose Manuel Fernandez
6/9/06
Artículo sobre SGSI de Agustín Lerma
Leo hoy vía el blog de Jose Manuel Fernandez el interesante artículo de Agustin Lerma, Security Manager de Nextel que publica la revista Auditoría + Seguridad acerca de Sistemas de Gestión de Seguridad de la Información (SGSI) y que puede descargarse en el siguiente enlace.
Aprovecho para sugerir también que os suscribáis
en la revista Auditoría+Seguridad de la que yo he recibido gratuitamente ya el ejemplar en soporte papel.
Aprovecho para sugerir también que os suscribáis
en la revista Auditoría+Seguridad de la que yo he recibido gratuitamente ya el ejemplar en soporte papel.
5/7/06
El factor humano
Como suele decirse, una imagen vale más que mil palabras y hoy la gente de Hispasec publica una viñeta cómica que ilustra el tan comentado "Factor Humano".
3/7/06
Guía para la implementación de un SGSI
A través de la iniciativa FOROSEC quiero hoy comentar el enlace a la Guía de implantación de sistemas de gestión de la seguridad de la información.
FOROSEC es un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio que tiene como objetivo establecer una red experta en seguridad informática enfocada a mejorar la competitividad de las PYMES en los servicios de negocio electrónico.
Los organizadores del proyecto son cuatro centros especializados en TICs y seguridad informática:
* AIMME (Instituto Tecnológico Metalmecánico),
* ESI (European Software Institute),
* IAT (Instituto Andaluz de Tecnología) y
* ROBOTIKER.
Esta guía está redactada en un lenguaje sencillo y puede ser un material muy interesante para realizar una primera aproximación al mundo de los sistemas de gestión de la seguridad de la información (SGSI). En el documento vienen desmenuzadas las diferentes fases del proceso, los documentos mínimos a generar y cuales deben ser los principios y objetivos de abordar un proyecto de semejante transcendencia e importancia para la organización. El desarrollo de la metodología para la implementación acercará a las personas con interés en el tema a cada una de las actividades a desarrollar dentro del diseño y construcción del SGSI.
Por último destacar también el anexo 2 en donde se establecen unas pautas y consejos para la elaboración de procedimientos de seguridad.
El documento puede ser descargado en el enlace Guía de implantación de sistemas de gestión de la seguridad de la información
FOROSEC es un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio que tiene como objetivo establecer una red experta en seguridad informática enfocada a mejorar la competitividad de las PYMES en los servicios de negocio electrónico.
Los organizadores del proyecto son cuatro centros especializados en TICs y seguridad informática:
* AIMME (Instituto Tecnológico Metalmecánico),
* ESI (European Software Institute),
* IAT (Instituto Andaluz de Tecnología) y
* ROBOTIKER.
Esta guía está redactada en un lenguaje sencillo y puede ser un material muy interesante para realizar una primera aproximación al mundo de los sistemas de gestión de la seguridad de la información (SGSI). En el documento vienen desmenuzadas las diferentes fases del proceso, los documentos mínimos a generar y cuales deben ser los principios y objetivos de abordar un proyecto de semejante transcendencia e importancia para la organización. El desarrollo de la metodología para la implementación acercará a las personas con interés en el tema a cada una de las actividades a desarrollar dentro del diseño y construcción del SGSI.
Por último destacar también el anexo 2 en donde se establecen unas pautas y consejos para la elaboración de procedimientos de seguridad.
El documento puede ser descargado en el enlace Guía de implantación de sistemas de gestión de la seguridad de la información
22/6/06
Telefónica Empresas tiene ya su SGSI con la norma ISO 27001
Aunque la noticia no es de hoy, la tenía pendiente para comentar. En la Revista SIC de este mes aparece un folleto interno en donde se indica que Telefónica Empresas ha adaptado y certificado el "Sistema de gestión de seguridad de la información de aplicación en sus centros de datos gestionados (CDG) y servicios) contra la norma ISO 27001.
Aunque de estos sistemas lo más importante es ver en concreto el alcance de la certificación, me parece digno de destacar que efectivamente Telefónica predica con el ejemplo, dado que ha decidido certificar el centro de datos que da servicios a empresas. Como proveedor ha querido acreditar con este sello que dispone de un sistema de gestión orientado a proporcionar la máxima seguridad de la información a sus clientes.
Ello, no debemos confundirnos, no significa que nunca vaya a pasarles nada. Simplemente han apostado por un marco de gestión para abordar la seguridad y por tanto, el primer paso ha sido identificar los mayores riesgos potenciales para ahora y poco a poco ir reduciendolos, evitarlos o transferirlos a terceros.
Aunque no he encontrado una nota de prensa en el portal español, si aparece en el siguiente enlace.
¿Qué gana con esto Telefónica Empresas?
Yo creo que mucho por dos motivos:
- En primer lugar, se autoimpone una filosofía de gestión para la parte de servicios quizás más delicada, que es la de servicios de proceso de datos a terceros cuyo objetivo es ganarse la confianza de los clientes en base a pruebas y registros de las actividades de seguridad que desarrollan a diario.
- Por otro, puede permitir que cualquier empresa que albergue sus sistemas de información dentro de sus centros, se beneficien de este sistema de gestión, dado que si el outsourcer te garantiza seguridad, el esfuerzo para la empresa propietaria de los datos para implantar el SGSI se reduce a cubrir todos los procesos que no están subcontratados.
El pensar que algo es más seguro porque tenga el sello ISO 27001 es ya otro debate en el que por ahora prefiero no entrar. Para alguien como yo que lleva creyendo en que la "GESTIÓN" de la seguridad iba a llegar a donde está llegando, es muy importante ver como las empresas de mayor prestigio creen en que la seguridad se gestiona, al igual que la satisfacción del cliente.
Como la seguridad al 100% no existe, al menos empezar a andar por un camino que busca llegar a conseguirlo es mejor que pensar que como nada se puede hacer, mejor esperar a tener suerte y que nunca pase nada.
Los primeros, en caso de incidente, podrán saber que ha podido fallar, que elementos no se contemplaron y aprenderán de ello. Los segundos no podrán aprender nada del incidente porque nada hicieron para evitarlo. Como mucho pondrán solución a la amenaza ya materializada sin saber si es lo único que pudiera pasarles y se quedarán simplemente esperando a no tener tan mala suerte.
Aunque de estos sistemas lo más importante es ver en concreto el alcance de la certificación, me parece digno de destacar que efectivamente Telefónica predica con el ejemplo, dado que ha decidido certificar el centro de datos que da servicios a empresas. Como proveedor ha querido acreditar con este sello que dispone de un sistema de gestión orientado a proporcionar la máxima seguridad de la información a sus clientes.
Ello, no debemos confundirnos, no significa que nunca vaya a pasarles nada. Simplemente han apostado por un marco de gestión para abordar la seguridad y por tanto, el primer paso ha sido identificar los mayores riesgos potenciales para ahora y poco a poco ir reduciendolos, evitarlos o transferirlos a terceros.
Aunque no he encontrado una nota de prensa en el portal español, si aparece en el siguiente enlace.
¿Qué gana con esto Telefónica Empresas?
Yo creo que mucho por dos motivos:
- En primer lugar, se autoimpone una filosofía de gestión para la parte de servicios quizás más delicada, que es la de servicios de proceso de datos a terceros cuyo objetivo es ganarse la confianza de los clientes en base a pruebas y registros de las actividades de seguridad que desarrollan a diario.
- Por otro, puede permitir que cualquier empresa que albergue sus sistemas de información dentro de sus centros, se beneficien de este sistema de gestión, dado que si el outsourcer te garantiza seguridad, el esfuerzo para la empresa propietaria de los datos para implantar el SGSI se reduce a cubrir todos los procesos que no están subcontratados.
El pensar que algo es más seguro porque tenga el sello ISO 27001 es ya otro debate en el que por ahora prefiero no entrar. Para alguien como yo que lleva creyendo en que la "GESTIÓN" de la seguridad iba a llegar a donde está llegando, es muy importante ver como las empresas de mayor prestigio creen en que la seguridad se gestiona, al igual que la satisfacción del cliente.
Como la seguridad al 100% no existe, al menos empezar a andar por un camino que busca llegar a conseguirlo es mejor que pensar que como nada se puede hacer, mejor esperar a tener suerte y que nunca pase nada.
Los primeros, en caso de incidente, podrán saber que ha podido fallar, que elementos no se contemplaron y aprenderán de ello. Los segundos no podrán aprender nada del incidente porque nada hicieron para evitarlo. Como mucho pondrán solución a la amenaza ya materializada sin saber si es lo único que pudiera pasarles y se quedarán simplemente esperando a no tener tan mala suerte.
14/5/06
Otro blog de SGSI/Calidad
Me llega vía comentario en el blog la noticia de la aparición de otro blog dedicado a la seguridad de la información y los SGSI, pero además algo más extenso en su temática relacionada con la calidad.
Yo que llego a los SGSI desde la seguridad de la información he tenido la oportunidad de descubrir en estos dos últimos años el mundo de la calidad y la mejora continua que al final mediante los SGSI van a ser los responsables de la popularización de la seguridad en empresas. Y es que hacer las cosas bien motiva pero acreditar que las cosas se hacen bien estimula a la dirección, por el carácter de publicidad positiva que proporciona. En el mundo del outsourcing como es el de las tecnologías de la información, pronto podrán apretarse más las clavijas a las empresas proveedoras de servicios en relación a la seguridad que proporcionan. En cualquier caso, quiero dar la bienvenida al blog ISO 9000-ISO 27001-Gestión dado que seguro que proporciona interesantes post con un mayor conocimiento del mundo de la calidad que el que en este blog pueda publicarse. Añado una sección nueva en los enlaces donde dejo de forma permanente el link para que nadie lo pierda.
Yo que llego a los SGSI desde la seguridad de la información he tenido la oportunidad de descubrir en estos dos últimos años el mundo de la calidad y la mejora continua que al final mediante los SGSI van a ser los responsables de la popularización de la seguridad en empresas. Y es que hacer las cosas bien motiva pero acreditar que las cosas se hacen bien estimula a la dirección, por el carácter de publicidad positiva que proporciona. En el mundo del outsourcing como es el de las tecnologías de la información, pronto podrán apretarse más las clavijas a las empresas proveedoras de servicios en relación a la seguridad que proporcionan. En cualquier caso, quiero dar la bienvenida al blog ISO 9000-ISO 27001-Gestión dado que seguro que proporciona interesantes post con un mayor conocimiento del mundo de la calidad que el que en este blog pueda publicarse. Añado una sección nueva en los enlaces donde dejo de forma permanente el link para que nadie lo pierda.
10/5/06
Guía para el desarrollo de métricas de seguridad de la información
En gestión es un criterio básico que "Lo que no se puede medir, no se puede controlar. Sin control por tanto no puede haber gestión y sin gestión no hay dirección".
El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security
Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información.
Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad.
Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003.
El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security
Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información.
Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad.
Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003.
9/5/06
Resumen general del marco normativo en materia de seguridad de la información
De una reciente reunión del subcomité responsable del desarrollo del marco normativo en seguridad de la información me parece interesante extraer de un documento del Ministerio de Administraciones Públicas, un extracto de la reestructuración de los estandares aparecidos y en borrador en relación a la seguridad de la información y la construcción de sus sistemas de gestión.
En primer lugar, en la definición del futuro de las normas relativas a la gestión de la seguridad de la información son de aplicación los siguientes principios:
-La gestión de la seguridad de la información debe ser coherente con los principios generales de gobernanza de las tecnologías de la información en las organizaciones.
- La gestión de la seguridad de la información debe ser coherente con los principios de seguridad de la OCDE.
- La gestión de la seguridad de la información debe ser coherente con otros sistemas de gestión, tales como los contemplados en ISO 9001 e ISO 14001.
- La gestión de la seguridad de la información debe ser coherente con los previsto en las Guías ISO siguientes: ISO Guide 72 e ISO Guide 73.
En segundo lugar, se considera que la familia de normas de gestión de la seguridad de la información debiera cubrir áreas tales como las siguientes:
- Marco de las normas de gestión de la seguridad de la información.
- Sistemas de gestión de la seguridad de la información.
- Análisis y gestión de riesgos.
- Controles y salvaguardas.
- Métricas.
- Auditoría.
- Directrices de implantación de los sistemas de gestión de la seguridad de la información.
- Difusión y concienciación.
Así también, cabe considerar aspectos tales como los siguientes:
- Productos y servicios.
- Política y procedimientos.
- Personal.
- Seguridad física.
- Esquemas de reporte.
En consecuencia, se considera que las siguientes normas son necesarias para completar la familia de normas de gestión de la seguridad de la información:
- Marco de las normas de gestión de la seguridad de la información. Debe haber un marco que proporcione una visión global de la familia de normas de gestión de la seguridad de la información y que explique las áreas de normalización, cubiertas o no por normas existentes a la fecha, las relaciones y dependencias de estas normas entre sí y con otras familias de normas; en particular, las relaciones con la familia de normas relativas a evaluación y certificación de la seguridad de las tecnologías de la información (ISO/IEC 15408) y aspectos complementarios como la elaboración de perfiles de protección (ISO/IEC 15446).
- Normas relativas a los sistemas de gestión de la seguridad de la información. Este pudiera ser un documento compuesto de varias partes que trate de cuestiones relativas a la especificación de los sistemas de gestión y a su evaluación.
- Norma relativa al análisis y gestión de riesgos. El análisis y gestión de riesgos es una actividad fundamental en la gestión de la seguridad de la información para identificar los requisitos de seguridad, establecer las políticas y objetivos de seguridad, para seleccionar los controles y salvaguardas proporcionados a los riesgos identificados y para gestionar riesgos emergentes derivados del cambio continuo en la tecnología, los actores, los requisitos, el marco legal, las amenazas, etc. Este papel del análisis y gestión de riesgos ya ha sido identificados por las normas ISO/IEC TR 13335, ISO/IEC IS 17799 e ISO/IEC 15408. También es reconocido por las Directrices de seguridad de la OCDE.
- Norma de métricas. Las métricas cuantitativas son relevantes para la gestión de la seguridad de la información, el análisis y gestión de riesgos y la eficacia, eficiencia y calidad de los controles implantados.
- Norma relativa a controles y salvaguardas. Esta norma se puede alcanzar a través de la convergencia entre ISO/IEC IS 17799 e ISO/IEC 13335. La carencia de armonización entre los dos documentos introduce confusión e incertidumbre en relación con cuál es el papel específico de cada una de estas dos normas y cuál es su relación en el sentido de que puedan ser opciones alternativas.
- Normas relativas a la auditoria de la gestión de la seguridad de la información. Se pueden considerar diversas fuentes como IEEE 1028, ISO 9126, ISO/IEC 12207, Guide to Software Quality Audit of EEA y otras posibles.
- Directrices relativas a la difusión y concienciación de la seguridad de la información.
En primer lugar, en la definición del futuro de las normas relativas a la gestión de la seguridad de la información son de aplicación los siguientes principios:
-La gestión de la seguridad de la información debe ser coherente con los principios generales de gobernanza de las tecnologías de la información en las organizaciones.
- La gestión de la seguridad de la información debe ser coherente con los principios de seguridad de la OCDE.
- La gestión de la seguridad de la información debe ser coherente con otros sistemas de gestión, tales como los contemplados en ISO 9001 e ISO 14001.
- La gestión de la seguridad de la información debe ser coherente con los previsto en las Guías ISO siguientes: ISO Guide 72 e ISO Guide 73.
En segundo lugar, se considera que la familia de normas de gestión de la seguridad de la información debiera cubrir áreas tales como las siguientes:
- Marco de las normas de gestión de la seguridad de la información.
- Sistemas de gestión de la seguridad de la información.
- Análisis y gestión de riesgos.
- Controles y salvaguardas.
- Métricas.
- Auditoría.
- Directrices de implantación de los sistemas de gestión de la seguridad de la información.
- Difusión y concienciación.
Así también, cabe considerar aspectos tales como los siguientes:
- Productos y servicios.
- Política y procedimientos.
- Personal.
- Seguridad física.
- Esquemas de reporte.
En consecuencia, se considera que las siguientes normas son necesarias para completar la familia de normas de gestión de la seguridad de la información:
- Marco de las normas de gestión de la seguridad de la información. Debe haber un marco que proporcione una visión global de la familia de normas de gestión de la seguridad de la información y que explique las áreas de normalización, cubiertas o no por normas existentes a la fecha, las relaciones y dependencias de estas normas entre sí y con otras familias de normas; en particular, las relaciones con la familia de normas relativas a evaluación y certificación de la seguridad de las tecnologías de la información (ISO/IEC 15408) y aspectos complementarios como la elaboración de perfiles de protección (ISO/IEC 15446).
- Normas relativas a los sistemas de gestión de la seguridad de la información. Este pudiera ser un documento compuesto de varias partes que trate de cuestiones relativas a la especificación de los sistemas de gestión y a su evaluación.
- Norma relativa al análisis y gestión de riesgos. El análisis y gestión de riesgos es una actividad fundamental en la gestión de la seguridad de la información para identificar los requisitos de seguridad, establecer las políticas y objetivos de seguridad, para seleccionar los controles y salvaguardas proporcionados a los riesgos identificados y para gestionar riesgos emergentes derivados del cambio continuo en la tecnología, los actores, los requisitos, el marco legal, las amenazas, etc. Este papel del análisis y gestión de riesgos ya ha sido identificados por las normas ISO/IEC TR 13335, ISO/IEC IS 17799 e ISO/IEC 15408. También es reconocido por las Directrices de seguridad de la OCDE.
- Norma de métricas. Las métricas cuantitativas son relevantes para la gestión de la seguridad de la información, el análisis y gestión de riesgos y la eficacia, eficiencia y calidad de los controles implantados.
- Norma relativa a controles y salvaguardas. Esta norma se puede alcanzar a través de la convergencia entre ISO/IEC IS 17799 e ISO/IEC 13335. La carencia de armonización entre los dos documentos introduce confusión e incertidumbre en relación con cuál es el papel específico de cada una de estas dos normas y cuál es su relación en el sentido de que puedan ser opciones alternativas.
- Normas relativas a la auditoria de la gestión de la seguridad de la información. Se pueden considerar diversas fuentes como IEEE 1028, ISO 9126, ISO/IEC 12207, Guide to Software Quality Audit of EEA y otras posibles.
- Directrices relativas a la difusión y concienciación de la seguridad de la información.
20/4/06
Seis consejos básicos para recuperarse frente a contingencias
Vía ComputerWorld, aparece un artículo titulado Top six steps toward disaster recovery. En relación a la futura aparición de una norma para la elaboración de planes de contingencia y de continuidad de negocio, aparecen en esta Web seis sencillos consejos que no quería dejar de comentar en este blog:
1.- Probar las copias de seguridad: parece evidente o de sentido común, pero como se suele decir "el sentido común no es el más común de los sentidos". Se supone que una copia de seguridad está para salvarnos cuando ya el daño se ha producido y por tanto, no es el mejor momento para comprobar que las copias se estaban realizando bien. Por tanto, dado que esta medida se hace por un motivo, que menos que tener absoluta certeza de que el paracaidas funcionará cuando estemos en el aire, ¿no?
2.-Gaste un poco de dinero en su software de backup: aunque el precio no lo es todo, hay software de gestión de copias que permiten una recuperación mucho más rápida o directa que otros. Entre elegir una copia en DVD con nero que genere 15 DVD o comprar un disco duro espejo puede haber una diferencia económica importante, pero cuando el tiempo apremia, estas horas/minutos pueden ser críticos y sobre todo rentables. Pensemos si nuestro modelo de negocio puede perder una cantidad económica importante si en una hora x, minuto y no somos capaces de enviar una información almacenada en nuestros servidores de ficheros.
3.- Semanalmente saque los soportes de copia fuera del sitio donde se encuentran los sistemas informáticos que se pretenden proteger: si tenemos copias las contingencias frente a las que podemos recuperarnos pueden ser varias. Si las copias no salen fuera, estaremos reduciendo las posibilidades de daño frente a incidentes como virus o avería que impidan el acceso a la información en los sistemas. Si además, las copias salen fuera de las instalaciones, estaremos garantizando la recuperación frente a amenazas del tipo incendio, inundación o evacuación de instalaciones.
4.- Bloquear el acceso físico a los sistemas informáticos: es cosa de matemáticas, a mas gente dando vueltas en las instalaciones donde se encuentran los sistemas informáticos, más probabilidades de que alguien haga algo que produzca daños. Por tanto, evitar y controlar todo lo posible el acceso físico a las salas donde se encuentran los sistemas de información.
5.- Establecer un plan por si la oficina se quema: siempre choca cuando se habla de planes de contingencia o negocio que a los entrevistandos se les pregunte por "-¿Que pasaría si su edificio se derrumba o queda destruido por un incencio?". Normalmente te miran con cara de "este consultor esta ido" y las respuestas siempre son "Eso aqui es casi imposible" o "eso no nos puede pasar" como si el incendio del Windsor o las inundaciones del Katrina no pudieran sucedernos por estas latitudes. En cualquier caso, mejor no tener que pensar en qué daños se han sufrido cuando ya los hechos se han producido.
6.- ¡Escribir el plan de continuidad de negocio!: esta es quizás la que a priori todo el mundo ve como la medida más inutil o farragosa, pero el tema está en que lo que no se encuentra escrito al final nunca se sabe como se va a desarrollar. El depender del criterio que se enfrenta al problema no es siempre garantía del éxito. Un plan de continuidad de negocio está para dos cosas muy sencillas y básicas:
a.- Responder en frio a cuestiones que se producen en situaciones muy calientes.
b.- Atender la recuperación de servicios en función de los requisitos de negocio, por tanto se recuperará primero lo que es más rentable que sea recuperado. Y eso, señores, no lo sabe el informático de turno sino la dirección.
1.- Probar las copias de seguridad: parece evidente o de sentido común, pero como se suele decir "el sentido común no es el más común de los sentidos". Se supone que una copia de seguridad está para salvarnos cuando ya el daño se ha producido y por tanto, no es el mejor momento para comprobar que las copias se estaban realizando bien. Por tanto, dado que esta medida se hace por un motivo, que menos que tener absoluta certeza de que el paracaidas funcionará cuando estemos en el aire, ¿no?
2.-Gaste un poco de dinero en su software de backup: aunque el precio no lo es todo, hay software de gestión de copias que permiten una recuperación mucho más rápida o directa que otros. Entre elegir una copia en DVD con nero que genere 15 DVD o comprar un disco duro espejo puede haber una diferencia económica importante, pero cuando el tiempo apremia, estas horas/minutos pueden ser críticos y sobre todo rentables. Pensemos si nuestro modelo de negocio puede perder una cantidad económica importante si en una hora x, minuto y no somos capaces de enviar una información almacenada en nuestros servidores de ficheros.
3.- Semanalmente saque los soportes de copia fuera del sitio donde se encuentran los sistemas informáticos que se pretenden proteger: si tenemos copias las contingencias frente a las que podemos recuperarnos pueden ser varias. Si las copias no salen fuera, estaremos reduciendo las posibilidades de daño frente a incidentes como virus o avería que impidan el acceso a la información en los sistemas. Si además, las copias salen fuera de las instalaciones, estaremos garantizando la recuperación frente a amenazas del tipo incendio, inundación o evacuación de instalaciones.
4.- Bloquear el acceso físico a los sistemas informáticos: es cosa de matemáticas, a mas gente dando vueltas en las instalaciones donde se encuentran los sistemas informáticos, más probabilidades de que alguien haga algo que produzca daños. Por tanto, evitar y controlar todo lo posible el acceso físico a las salas donde se encuentran los sistemas de información.
5.- Establecer un plan por si la oficina se quema: siempre choca cuando se habla de planes de contingencia o negocio que a los entrevistandos se les pregunte por "-¿Que pasaría si su edificio se derrumba o queda destruido por un incencio?". Normalmente te miran con cara de "este consultor esta ido" y las respuestas siempre son "Eso aqui es casi imposible" o "eso no nos puede pasar" como si el incendio del Windsor o las inundaciones del Katrina no pudieran sucedernos por estas latitudes. En cualquier caso, mejor no tener que pensar en qué daños se han sufrido cuando ya los hechos se han producido.
6.- ¡Escribir el plan de continuidad de negocio!: esta es quizás la que a priori todo el mundo ve como la medida más inutil o farragosa, pero el tema está en que lo que no se encuentra escrito al final nunca se sabe como se va a desarrollar. El depender del criterio que se enfrenta al problema no es siempre garantía del éxito. Un plan de continuidad de negocio está para dos cosas muy sencillas y básicas:
a.- Responder en frio a cuestiones que se producen en situaciones muy calientes.
b.- Atender la recuperación de servicios en función de los requisitos de negocio, por tanto se recuperará primero lo que es más rentable que sea recuperado. Y eso, señores, no lo sabe el informático de turno sino la dirección.
11/4/06
Futuro ISO 27006, "Guías para la gestión de la continuidad de negocio"
ISO ha anunciado un nuevo proyecto que se etiquetará ISO 27006 “Guidelines for information and communications technology disaster recovery services”, basado en SS507. La publicación se espera para noviembre del 2007.
El cuerpo del borrador de norma propuesto tiene el siguiente contenido:
"0. Introduction
The ICT DR Services Model or Framework - showing the foundation layer to define supporting infrastructure from which services are derived, such as policies, processes, programme, performance measurement, people and products.
1. Scope
Describes the purpose of this standard, assumptions made when using this standard and what is excluded. Introduces subsequent clauses and explains their interpretation
2. Definitions
Defines terms used within the standard to establish a common understanding by the readers.
3. General Guidelines
Basic guidelines for the ICT DR services provision:
3.1 Environmental stability
3.2 Asset management
3.3 Proximity of services
3.4 Subscription (contention) ratio for shared services
3.5 Third party vendor management
3.6 Outsourcing arrangements
3.7 Privacy and confidentiality
3.8 Activation of subscribed services
4. Disaster Recovery Facilities
Specific guidelines for the ICT DR services provision to provide a secure physical operating environment to facilitate recovery:
4.1 Physical access control
4.2 Physical facilities and security
4.3 Environmental controls
4.4 Telecommunications
4.5 Power supply
4.6 Cable management
4.7 Fire protection
4.8 Location of recovery site
4.9 Emergency operations centre
4.10 Restricted facilities
4.11 Physical facilities and equipment lifecycle
4.12 Non recovery amenities
4.13 Testing
4.14 Training and education
5. Recovery Services Capability
Specific guidelines for the ICT DR services provision to develop service delivery capability supporting recovery. Besides qualified staffing, other minimum capabilities include capacity to support simultaneous invocation of disasters:
5.1 Expertise
5.2 Logical access controls
5.3 Equipment and operation readiness
5.4 Simultaneous recovery support
5.5 Levels of service
5.6 Types of service
5.7 Client testing
5.8 Changes in capability
5.9 Emergency response plan
5.10 Self-assessment
5.11 Disaster recovery training and education
6. Guidelines for Selection of Recovery Sites
Provides guidelines on the factors to consider when selecting recovery sites, such as:
6.1 Infrastructure
6.2 Skilled manpower and support
6.3 Critical mass of vendors and suppliers
6.4 Local service providers’ track records
6.5 Proactive local support
7. Additional Guidelines for the Professional ICT DR Service Provider
Additional guidelines for professional service providers in the provision of ICT DR services."
El cuerpo del borrador de norma propuesto tiene el siguiente contenido:
"0. Introduction
The ICT DR Services Model or Framework - showing the foundation layer to define supporting infrastructure from which services are derived, such as policies, processes, programme, performance measurement, people and products.
1. Scope
Describes the purpose of this standard, assumptions made when using this standard and what is excluded. Introduces subsequent clauses and explains their interpretation
2. Definitions
Defines terms used within the standard to establish a common understanding by the readers.
3. General Guidelines
Basic guidelines for the ICT DR services provision:
3.1 Environmental stability
3.2 Asset management
3.3 Proximity of services
3.4 Subscription (contention) ratio for shared services
3.5 Third party vendor management
3.6 Outsourcing arrangements
3.7 Privacy and confidentiality
3.8 Activation of subscribed services
4. Disaster Recovery Facilities
Specific guidelines for the ICT DR services provision to provide a secure physical operating environment to facilitate recovery:
4.1 Physical access control
4.2 Physical facilities and security
4.3 Environmental controls
4.4 Telecommunications
4.5 Power supply
4.6 Cable management
4.7 Fire protection
4.8 Location of recovery site
4.9 Emergency operations centre
4.10 Restricted facilities
4.11 Physical facilities and equipment lifecycle
4.12 Non recovery amenities
4.13 Testing
4.14 Training and education
5. Recovery Services Capability
Specific guidelines for the ICT DR services provision to develop service delivery capability supporting recovery. Besides qualified staffing, other minimum capabilities include capacity to support simultaneous invocation of disasters:
5.1 Expertise
5.2 Logical access controls
5.3 Equipment and operation readiness
5.4 Simultaneous recovery support
5.5 Levels of service
5.6 Types of service
5.7 Client testing
5.8 Changes in capability
5.9 Emergency response plan
5.10 Self-assessment
5.11 Disaster recovery training and education
6. Guidelines for Selection of Recovery Sites
Provides guidelines on the factors to consider when selecting recovery sites, such as:
6.1 Infrastructure
6.2 Skilled manpower and support
6.3 Critical mass of vendors and suppliers
6.4 Local service providers’ track records
6.5 Proactive local support
7. Additional Guidelines for the Professional ICT DR Service Provider
Additional guidelines for professional service providers in the provision of ICT DR services."
10/4/06
Publicada la norma BS 7799-3:2006
Bajo el British Standar Institute ha sido publicada la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management".
Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información son procesos clave si desea garantizar la seguridad de los procesos de negocio.
Esta actividad de la gestión del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad.
La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:
- Análisis del riesgo
- Gestión del riesgo
- Toma de decisiones
- Revisión del análisis y gestión del riesgo.
- Monitorización del perfil de riesgo
- Gestión del riesgo en el contexto de la gestión corporativa
- Cumplimiento con otros estandares y regulaciones basados en riesgo
BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo.
La información sobre este estandar puede consultarse en la BSI en la dirección BS 7799-3:2006
Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información son procesos clave si desea garantizar la seguridad de los procesos de negocio.
Esta actividad de la gestión del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad.
La nueva norma 7799-3:2006 proporciona esta guía y cubre aspectos como:
- Análisis del riesgo
- Gestión del riesgo
- Toma de decisiones
- Revisión del análisis y gestión del riesgo.
- Monitorización del perfil de riesgo
- Gestión del riesgo en el contexto de la gestión corporativa
- Cumplimiento con otros estandares y regulaciones basados en riesgo
BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de análisis y gestión del riesgo en la construcción de un sistema de gestión de la seguridad de la información (SGSI).
Estas tareas incluyen la identificación y evaluación del riesgo, implementar controles para reducirlos, monitorización y revisión de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo.
La información sobre este estandar puede consultarse en la BSI en la dirección BS 7799-3:2006
31/3/06
Resumen de la norma ISO 27001:2005
En varios foros entre los que están Kriptópolis y Shell Security aparece hoy la referencia a un documento elaborado por Alejandro Corletti titulado "Análisis de ISO-27001". Un interesante y necesario trabajo que puede ser considerado muy seriamente por el ámbito empresarial, pues es un estándar que se va a comenzar a imponer en un corto plazo de tiempo, siendo la continuidad natural del ISO-17799.
[...] "la sensación que deja el análisis de esta norma, es que se está gestando con toda rigurosidad este hecho, y que como cualquier otra certificación ISO, este estándar internacional ha sido desarrollado (por primera vez con relación a la seguridad, a juicio de este autor) con toda la fuerza y detalle que hacía falta para empezar a presionar al ámbito empresarial sobre su aplicación. Es decir, se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lógico, pues si se desea interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informática, sino se abren brechas de seguridad entre sí............este estándar apunta a poder exigir dichos niveles; y ya no puede caber duda que las empresas, para competir con sus productos (sean de la índole que fueren) en este mercado cibernético actual, tienen cada vez más necesidad de interrelacionar sus infraestructuras de información.....ISO-27001 en este sentido es una muy buena y sólida opción" [...]
El documento consta de 12 páginas y puede descargarse en "Análisis de ISO-27001", de Alejandro Corletti.
[...] "la sensación que deja el análisis de esta norma, es que se está gestando con toda rigurosidad este hecho, y que como cualquier otra certificación ISO, este estándar internacional ha sido desarrollado (por primera vez con relación a la seguridad, a juicio de este autor) con toda la fuerza y detalle que hacía falta para empezar a presionar al ámbito empresarial sobre su aplicación. Es decir, se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lógico, pues si se desea interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informática, sino se abren brechas de seguridad entre sí............este estándar apunta a poder exigir dichos niveles; y ya no puede caber duda que las empresas, para competir con sus productos (sean de la índole que fueren) en este mercado cibernético actual, tienen cada vez más necesidad de interrelacionar sus infraestructuras de información.....ISO-27001 en este sentido es una muy buena y sólida opción" [...]
El documento consta de 12 páginas y puede descargarse en "Análisis de ISO-27001", de Alejandro Corletti.
21/3/06
Nuevo buscador del blog
A través del servicio proporcionado por Atomz, he añadido un pequeño buscador interno al blog con el objeto de localizar aquellos post más interesantes o referencias a documentos relevantes.
Espero que así sea más comodo y facil su uso y gestión conforme vaya albergando más contenido.
Espero que así sea más comodo y facil su uso y gestión conforme vaya albergando más contenido.
24/1/06
Nuevo registro de certificaciones 27001.
Ha nacido un nuevo Web, ISO27001Certificates.com cuyo principal objetivo es publicar y difundir el nuevo esquema de certificación ISO 27001. En él, podremos encontrar los diferentes esquemas de certificación en cada uno de los paises, las empresas acreditadas a nivel internacional entorno a esta nueva norma, y lo más interesante, un registro de empresas que cuentan con el nuevo sello ISO 27001.
Este aspecto puede consultarse en concreto en CertificateSearch.
Como nota curiosa, los resultados de la busqueda para empresas de España presenta los siguientes resultados:
-Caja Madrid-Spain-IS 92805-BSI
-ERICSSON ESPAÑA S.A.-Spain-IS 53616-BSI
-Nextel S.A.-Spain-IS 80383-BSI
-Oficina De Armonizacion del Mercado Interior-Spain-IS 80260-BSI
-T-Systems ITC Services Espana S.A.U.-Spain-229846 IS-DQS GMBH
Este aspecto puede consultarse en concreto en CertificateSearch.
Como nota curiosa, los resultados de la busqueda para empresas de España presenta los siguientes resultados:
-Caja Madrid-Spain-IS 92805-BSI
-ERICSSON ESPAÑA S.A.-Spain-IS 53616-BSI
-Nextel S.A.-Spain-IS 80383-BSI
-Oficina De Armonizacion del Mercado Interior-Spain-IS 80260-BSI
-T-Systems ITC Services Espana S.A.U.-Spain-229846 IS-DQS GMBH
Suscribirse a:
Entradas (Atom)