Me llega vía comentario en el blog la noticia de la aparición de otro blog dedicado a la seguridad de la información y los SGSI, pero además algo más extenso en su temática relacionada con la calidad.
Yo que llego a los SGSI desde la seguridad de la información he tenido la oportunidad de descubrir en estos dos últimos años el mundo de la calidad y la mejora continua que al final mediante los SGSI van a ser los responsables de la popularización de la seguridad en empresas. Y es que hacer las cosas bien motiva pero acreditar que las cosas se hacen bien estimula a la dirección, por el carácter de publicidad positiva que proporciona. En el mundo del outsourcing como es el de las tecnologías de la información, pronto podrán apretarse más las clavijas a las empresas proveedoras de servicios en relación a la seguridad que proporcionan. En cualquier caso, quiero dar la bienvenida al blog ISO 9000-ISO 27001-Gestión dado que seguro que proporciona interesantes post con un mayor conocimiento del mundo de la calidad que el que en este blog pueda publicarse. Añado una sección nueva en los enlaces donde dejo de forma permanente el link para que nadie lo pierda.
10/5/06
Guía para el desarrollo de métricas de seguridad de la información
En gestión es un criterio básico que "Lo que no se puede medir, no se puede controlar. Sin control por tanto no puede haber gestión y sin gestión no hay dirección".
El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security
Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información.
Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad.
Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003.
El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security
Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información.
Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad.
Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003.
9/5/06
Resumen general del marco normativo en materia de seguridad de la información
De una reciente reunión del subcomité responsable del desarrollo del marco normativo en seguridad de la información me parece interesante extraer de un documento del Ministerio de Administraciones Públicas, un extracto de la reestructuración de los estandares aparecidos y en borrador en relación a la seguridad de la información y la construcción de sus sistemas de gestión.
En primer lugar, en la definición del futuro de las normas relativas a la gestión de la seguridad de la información son de aplicación los siguientes principios:
-La gestión de la seguridad de la información debe ser coherente con los principios generales de gobernanza de las tecnologías de la información en las organizaciones.
- La gestión de la seguridad de la información debe ser coherente con los principios de seguridad de la OCDE.
- La gestión de la seguridad de la información debe ser coherente con otros sistemas de gestión, tales como los contemplados en ISO 9001 e ISO 14001.
- La gestión de la seguridad de la información debe ser coherente con los previsto en las Guías ISO siguientes: ISO Guide 72 e ISO Guide 73.
En segundo lugar, se considera que la familia de normas de gestión de la seguridad de la información debiera cubrir áreas tales como las siguientes:
- Marco de las normas de gestión de la seguridad de la información.
- Sistemas de gestión de la seguridad de la información.
- Análisis y gestión de riesgos.
- Controles y salvaguardas.
- Métricas.
- Auditoría.
- Directrices de implantación de los sistemas de gestión de la seguridad de la información.
- Difusión y concienciación.
Así también, cabe considerar aspectos tales como los siguientes:
- Productos y servicios.
- Política y procedimientos.
- Personal.
- Seguridad física.
- Esquemas de reporte.
En consecuencia, se considera que las siguientes normas son necesarias para completar la familia de normas de gestión de la seguridad de la información:
- Marco de las normas de gestión de la seguridad de la información. Debe haber un marco que proporcione una visión global de la familia de normas de gestión de la seguridad de la información y que explique las áreas de normalización, cubiertas o no por normas existentes a la fecha, las relaciones y dependencias de estas normas entre sí y con otras familias de normas; en particular, las relaciones con la familia de normas relativas a evaluación y certificación de la seguridad de las tecnologías de la información (ISO/IEC 15408) y aspectos complementarios como la elaboración de perfiles de protección (ISO/IEC 15446).
- Normas relativas a los sistemas de gestión de la seguridad de la información. Este pudiera ser un documento compuesto de varias partes que trate de cuestiones relativas a la especificación de los sistemas de gestión y a su evaluación.
- Norma relativa al análisis y gestión de riesgos. El análisis y gestión de riesgos es una actividad fundamental en la gestión de la seguridad de la información para identificar los requisitos de seguridad, establecer las políticas y objetivos de seguridad, para seleccionar los controles y salvaguardas proporcionados a los riesgos identificados y para gestionar riesgos emergentes derivados del cambio continuo en la tecnología, los actores, los requisitos, el marco legal, las amenazas, etc. Este papel del análisis y gestión de riesgos ya ha sido identificados por las normas ISO/IEC TR 13335, ISO/IEC IS 17799 e ISO/IEC 15408. También es reconocido por las Directrices de seguridad de la OCDE.
- Norma de métricas. Las métricas cuantitativas son relevantes para la gestión de la seguridad de la información, el análisis y gestión de riesgos y la eficacia, eficiencia y calidad de los controles implantados.
- Norma relativa a controles y salvaguardas. Esta norma se puede alcanzar a través de la convergencia entre ISO/IEC IS 17799 e ISO/IEC 13335. La carencia de armonización entre los dos documentos introduce confusión e incertidumbre en relación con cuál es el papel específico de cada una de estas dos normas y cuál es su relación en el sentido de que puedan ser opciones alternativas.
- Normas relativas a la auditoria de la gestión de la seguridad de la información. Se pueden considerar diversas fuentes como IEEE 1028, ISO 9126, ISO/IEC 12207, Guide to Software Quality Audit of EEA y otras posibles.
- Directrices relativas a la difusión y concienciación de la seguridad de la información.
En primer lugar, en la definición del futuro de las normas relativas a la gestión de la seguridad de la información son de aplicación los siguientes principios:
-La gestión de la seguridad de la información debe ser coherente con los principios generales de gobernanza de las tecnologías de la información en las organizaciones.
- La gestión de la seguridad de la información debe ser coherente con los principios de seguridad de la OCDE.
- La gestión de la seguridad de la información debe ser coherente con otros sistemas de gestión, tales como los contemplados en ISO 9001 e ISO 14001.
- La gestión de la seguridad de la información debe ser coherente con los previsto en las Guías ISO siguientes: ISO Guide 72 e ISO Guide 73.
En segundo lugar, se considera que la familia de normas de gestión de la seguridad de la información debiera cubrir áreas tales como las siguientes:
- Marco de las normas de gestión de la seguridad de la información.
- Sistemas de gestión de la seguridad de la información.
- Análisis y gestión de riesgos.
- Controles y salvaguardas.
- Métricas.
- Auditoría.
- Directrices de implantación de los sistemas de gestión de la seguridad de la información.
- Difusión y concienciación.
Así también, cabe considerar aspectos tales como los siguientes:
- Productos y servicios.
- Política y procedimientos.
- Personal.
- Seguridad física.
- Esquemas de reporte.
En consecuencia, se considera que las siguientes normas son necesarias para completar la familia de normas de gestión de la seguridad de la información:
- Marco de las normas de gestión de la seguridad de la información. Debe haber un marco que proporcione una visión global de la familia de normas de gestión de la seguridad de la información y que explique las áreas de normalización, cubiertas o no por normas existentes a la fecha, las relaciones y dependencias de estas normas entre sí y con otras familias de normas; en particular, las relaciones con la familia de normas relativas a evaluación y certificación de la seguridad de las tecnologías de la información (ISO/IEC 15408) y aspectos complementarios como la elaboración de perfiles de protección (ISO/IEC 15446).
- Normas relativas a los sistemas de gestión de la seguridad de la información. Este pudiera ser un documento compuesto de varias partes que trate de cuestiones relativas a la especificación de los sistemas de gestión y a su evaluación.
- Norma relativa al análisis y gestión de riesgos. El análisis y gestión de riesgos es una actividad fundamental en la gestión de la seguridad de la información para identificar los requisitos de seguridad, establecer las políticas y objetivos de seguridad, para seleccionar los controles y salvaguardas proporcionados a los riesgos identificados y para gestionar riesgos emergentes derivados del cambio continuo en la tecnología, los actores, los requisitos, el marco legal, las amenazas, etc. Este papel del análisis y gestión de riesgos ya ha sido identificados por las normas ISO/IEC TR 13335, ISO/IEC IS 17799 e ISO/IEC 15408. También es reconocido por las Directrices de seguridad de la OCDE.
- Norma de métricas. Las métricas cuantitativas son relevantes para la gestión de la seguridad de la información, el análisis y gestión de riesgos y la eficacia, eficiencia y calidad de los controles implantados.
- Norma relativa a controles y salvaguardas. Esta norma se puede alcanzar a través de la convergencia entre ISO/IEC IS 17799 e ISO/IEC 13335. La carencia de armonización entre los dos documentos introduce confusión e incertidumbre en relación con cuál es el papel específico de cada una de estas dos normas y cuál es su relación en el sentido de que puedan ser opciones alternativas.
- Normas relativas a la auditoria de la gestión de la seguridad de la información. Se pueden considerar diversas fuentes como IEEE 1028, ISO 9126, ISO/IEC 12207, Guide to Software Quality Audit of EEA y otras posibles.
- Directrices relativas a la difusión y concienciación de la seguridad de la información.
Suscribirse a:
Entradas (Atom)