Novedades sobre ISO 27033-IT network security

Ya está en modo borrador la nueva ISO 27033 que es la revisión de la ISO/IEC 18028-1:2006 destinada a la seguridad de redes de comunicaciones. Y por lo que se anuncia en ISO27001security.com parece que va muy avanzado el proceso de revisión. ISO 27033 pretende ser un complemento exhaustivo para todos los aspectos relacionados con la seguridad en redes que vienen definidos en ISO 27002. Por ahora ya se encuentran en proceso los siguientes documentos:

• ISO/IEC 27033-1: Guidelines for network security (FCD)


• ISO/IEC 27033-2: Guidelines for the design and implementation of network security (WD)


• ISO/IEC 27033-3: Reference networking scenarios -- Risks, design techniques and control issues (WD)


• ISO/IEC 27033-4: Securing communications between networks using security gateways -- Risks, design techniques and control issues (NP)


• ISO/IEC 27033-5: Securing Virtual Private Networks -- Risks, design techniques and control issues (NP)


• ISO/IEC 27033-6: IP convergence (NP)

Más información detallada de cada uno de estos documentos en ISO27001security.com

Estado de situación de la serie ISO 27000 a fecha 10 de diciembre 2008

A continuación voy a listar el conjunto de normas publicadas o en proceso de elaboración de la serie ISO 27000 a fecha 10 de diciembre de 2008. Estos resultados son fruto de una consulta a la Web de ISO.org en relación al área de trabajo del Subcomité 27 del JTC 1 - IT Security techniques.

El estado de las normas se codifica en base a unos acrónimos que ISO tiene identificados y que son:

• 1.PWI = Preliminary Work Item - initial feasibility and scoping activities


• 2.NP = New Proposal (or study period) - formal scoping phase


• 3.WD = Working Draft (1st WD, 2nd WD etc.) - development phase


• 4.CD = Committee Draft (1st CD, 2nd CD etc.)- quality control phase


• 5.FCD = Final Committee Draft - ready for final approval.


• 6.DIS = Draft International Standard - nearly there. Stage 40.


• 7.FDIS = Final Draft or Distribution International Standard - just about ready to publish. Stage 50.


• 8.IS = International Standard - published. Stage 60.


• 9. Under revisión. Stage 90.

Como podréis comprobar en la siguiente relación de normas, hay bastantes ya en el Stage 40 y 50 lo que indica que pronto pueden ver la luz. La situación actual del marco internacional de normas ISO 27000 es:

• ISO/IEC FCD 27000.
  Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary. Stage:40.99


• ISO/IEC 27001:2005.
  Information technology -- Security techniques -- Information security management systems -- Requirements. Stage:60.60


• ISO/IEC 27002:2005
  Information technology -- Security techniques -- Code of practice for information security management. Stage:90.92


• ISO/IEC FCD 27003
  Information technology -- Information security management system implementation guidance. Stage:40.20


• ISO/IEC FCD 27004.2
  Information technology -- Security techniques -- Information security management -- Measurement. Stage:40.20


• ISO/IEC 27005:2008
  Information technology -- Security techniques -- Information security risk management. Stage:60.60


• ISO/IEC 27006:2007
  Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Stage:60.60


• ISO/IEC WD 27007
  Guidelines for Information security management systems auditing. Stage:20.60


• ISO/IEC FDIS 27011
  Information technology -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. Stage:50.60


• ISO/IEC NP 27012
  Information technology - Security techniques -- ISM guidelines for e-government services. Stage:10.99


• ISO/IEC NP 27032
  Guidelines for cybersecurity. Stage:10.99


• ISO/IEC NP 27033
  Information technology -- IT Network security.Stage:10.99


• ISO/IEC CD 27033-1
  Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security. Stage:30.60


• ISO/IEC WD 27033-2
  Information technology -- Security techniques -- IT network security -- Part 2: Guidelines for the design and implementation of network security. Stage:20.60


• ISO/IEC WD 27033-3
  Information technology -- Security techniques -- IT network security -- Part 3: Reference networking scenarios -- Risks, design techniques and control issues. Stage:20.60


• ISO/IEC NP 27033-4
  Information technology -- Security techniques -- IT network security -- Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues. Stage:10.99


• ISO/IEC NP 27033-5
  Information technology -- Security techniques -- IT network security -- Part 5: Securing Remote Access - Risks, design techniques and control issues. Stage:10.99


• ISO/IEC NP 27033-6
  Information technology -- Security techniques -- IT network security -- Part 6: Securing communications across networks using Virtual Private Networks (VPNs) -- Risks, design techniques and control issues. Stage:10.99


• ISO/IEC NP 27033-7
  Information technology -- Security techniques -- IT network security -- Part 7: Guidelines for securing (specific networking technology topic heading(s) to be inserted3) -- Risks, design techniques and control issues. Stage:10.99


• ISO/IEC NP 27034
  Guidelines for application security. Stage:10.99


• ISO/IEC NP 27037
  Information technology - Security techniques -- on Information security management: Sector to sector interworking and communications for industry and government . Stage:10.99

El detalle de los diferentes escalones dentro de cada nivel o stage lo podéis consultar en Stages ISO.

Little Bighorn y las ingenierías informáticas

Quería hacer un post especial en relación al 19 de noviembre, pero como adelanto, sirva esta excelente reflexión.Little Bighorn y las ingenierías informáticas (Fernando Llopis Pascual)



Para aquellos que aún no estén enterados dejo aquí una batería de enlaces necesarios para entender todo este embrollo desde diferentes puntos de vista y por supuesto para cualquier duda pasaros por la web iniciadora www.huelgainformatica.es.

• Manifiesto (lectura obligada para saber por qué se convoca)


• Boloniaiifordummies.blogspot.com resume bastante bien todos los conceptos de fichas, competencias.


• enriquebarreiro.blogspot.com/


• RITSI (diptíco informátivo completo)


• www.fiv.upv.es (lectura del comunicado del decano)


• blogs.ua.es/domingo/

En resumen, creo que al menos si eres un ingeniero/ingeniero técnico en Informática o estás relacionado con el tema merece la pena que inviertas un poco de tu tiempo en informarte y que así puedas tomar una decisión clara respecto a si ves o no necesario movilizarte y por qué.

La seguridad de la informacion en el sector sanitario: ISO 27799:2008

Ya he comentado alguna vez que la serie 27000 va a servir como marco normativo para todo lo relacionado con la seguridad de la información.

Pues bien, hemos de recibir una nueva norma de este marco, "ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002". He dado con ella gracias a ISO 27002.es
Tal como aparece en la Web de ISO, su resumen es:

ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard.

ISO 27799:2008 specifies a set of detailed controls for managing health information security and provides health information security best practice guidelines. By implementing this International Standard, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information.

ISO 27799:2008 applies to health information in all its aspects; whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), whatever means are used to store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand, via fax, over computer networks or by post), as the information must always be appropriately protected.

Su estructura es:

• Alcance


• Referencias (Normativas)


• Terminología


• Simbología


• Seguridad de la información sanitaria


• Objetivos; Seguridad en el gobierno de la información; Infomación sanitara a proteger; Amenazas y vulnerabilidades


• Plan de acción práctico para implantar ISO 17799/27002


• Taxonomía; Acuerdo de la dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing


• Implicaciones sanitarias de ISO 17799/27002


• Política de seguridad de la información; Organización; gestión de activos; RRHH; Fisicos; Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal


• Annex A: Amenazas


• Annex B: Tareas y documentación de un SGSI


• Annex C: Beneficios potenciales y atributos de herramientas


• Annex D: Estándares relacionados

La norma tiene stage 60.60 (Publicada) con fecha de 12 de Junio de 2008. Podéis adquirirla en ISO 27799:2008 - Health informatics -- Information security management in health using ISO/IEC 27002

Estos movimientos serán también continuos en años próximos dado que es intención de ISO extender la norma ISO 27002 con contenidos específicos en aquellos sectores que plantean una problemática especial.

Modelos de "políticas" de seguridad

Vía ISO27002.es he podido dar con la Web
Open Directory - Computers: Security: Policy: Sample Policies que contiene un buen catálogo de documentos sobre políticas de seguridad.

En Guía para la elaboración del marco normativo de Seguridad ISO 27002 ya comenté las diferencias entre Política, Norma y Procedimiento aunque en ingles el término "policy" suele tener un carácter más general. Es habitual encontrar "policies" para todo, aunque muchas veces estos documentos tienen el objetivo de establecer regulaciones y por tanto deberían entenderse como normas.

Aumenta esta confusión además que en la norma ISO 27002 aparezca como control en el punto 5.1.1. la famosa "política de seguridad de la información".
En cualquier caso, el catálogo de documentación contiene una buena recopilación de diferentes enfoques a la hora de establecer un marco normativo, lo que suele venir bien cuando se anda intentando escribir estas cosas.

Como reflexión final, todo documento que intenta ser una política, norma o procedimiento tiene que tener un objetivo base "Que pueda ser algo cumplible".No se trata por tanto de hacer algo que quede bien o que sea completo, sino algo que sea real, asumible y cumplido por el área regulada.

La subcontratación del riesgo

Tenía pendiente desde hace unos días elaborar esta entrada. Tras unos comentarios en relación al post de Joseba Enjuto sobre la caracterización de los Servicios TI, quería hablar sobre la " subcontratación del riesgo". Lo primero que quiero justificar es el titulo. La gestión del riesgo sólo permite cuatro decisiones posibles:

• Aceptarlo
• Evitarlo
• Reducirlo o
• Transferirlo a un tercero

En general, se suele entender por transferencia del riesgo cuando éste se tiene identificado y se decide que un externo sea quien lo gestione a cambio de cierta contraprestación: habitualmente puede ser la externalización de servicios, la contratación de seguros, etc. Es habitual, como bien apuntaban en los comentarios de "Seguridad y Gestión" que el término para definir este proceso sea la "externalización del riesgo" pero ahora voy a justificar un poco por qué prefiero no llamarlo así. Yo concibo la idea de la externalización de un riesgo cuando una Organización identifica claramente qué necesita y establece una relación contractual de prestación de servicios que permite al cliente quedarse tranquilo respecto a cómo va a gestionar el tercero ese riesgo. Para ello, evidentemente, los servicios prestados por el tercero deberían poder acreditar ciertas garantías respecto a la seguridad con la que van a ser proporcionados. La existencia de unos adecuados "Acuerdos de nivel de servicio" ( o su término en ingles Service Level Agreement, SLA) centrados exclusivamente bajo la perspectiva de la seguridad podrían ser suficiente garantía. La Organización que traslada el riesgo sabe que en caso de problemas, podrá arremeter contractualmente contra la empresa a la que transfiere el riesgo siendo recompensada adecuadamente en caso de una gestión no adecuada de ese riesgo. Para ello, aparece el control 6.2.3 de la norma ISO 27002 que indica que "Los acuerdos que comporten el acceso de terceros a recursos de tratamiento de información de la Organización deben basarse en un contrato formal que tenga o se refiera a todos los requisitos de seguridad que cumplan las políticas y normas de seguridad de la Organización."

Si atendemos a la guía de implantación de la norma, que es la forma más completa de implantar el control, este tipo de ANS o SLA de seguridad deben cubrir cosas como:

• 1.-La política sobre seguridad de la información del tercero.
• 2.-Los controles para asegurar la protección de los activos que el tercero tiene implantado, incluyendo:
• procedimientos para proteger los activos de la organización, incluida la información, el software y el hardware.
• cualquier control o mecanismo de protección física requeridos.
• controles para asegurar la protección contra el software malicioso
• procedimientos para determinar si ha ocurrido algún incremento del riesgo de los activos, por ejemplo, pérdida o modificación de información, software o hardware;
• controles para asegurar la recuperación o destrucción de la información y los activos, al terminar el contrato o en algún momento acordado dentro del periodo de vigencia del contrato;
• la confidencialidad, integridad, disponibilidad, y cualquier otra propiedad importante de los activos
• restricciones en la copia o revelación de la información; junto con la utilización de acuerdos de confidencialidad
• 3.- Una clara estructura de los informes y de los formatos de informe acordados.
• 4.- Un proceso especificado y claro de la gestión del cambio.
• 5.- Disposiciones para informe, notificación e investigación de los incidentes de seguridad de la información e infracciones de seguridad, así como violaciones de los requisitos establecidos en el acuerdo.
• 6.- Una descripción del producto o servicio que se va a proporcionar, y una descripción de la información que se hará accesible, con su clasificación de seguridad.
• 7.- El nivel objetivo de servicio y los niveles de servicio inaceptables.
• 8.- La definición de los criterios de verificación del comportamiento, su control e informe.
• 9.- El derecho a controlar, y revocar, cualquier actividad relacionada con los activos de la organización.
• 10.- El derecho de auditar las responsabilidades definidas en el acuerdo, teniéndose que llevar a cabo tales auditorías por una tercera parte, y de enumerar las obligaciones y derechos legales de los auditores.
• 11.- El establecimiento de un procedimiento de escalado para la resolución de los problemas.
• 12.- Requisitos de continuidad de servicio, incluyendo las medidas de disponibilidad y fiabilidad, de acuerdo con las prioridades de negocio de la organización.
• 13.- Las responsabilidades respectivas de las partes del contrato.
• 14.- Las responsabilidades con respecto a temas legales y como se garantiza que se cumplen los requisitos legales, por ejemplo legislación de protección de datos, teniendo en cuenta sobre todo los distintos sistemas legales nacionales si el contrato implica la cooperación con organizaciones de otros países.
• 15.- Etc.

El primer problema con el que nos solemos encontrar en las Organizaciones es que se externalizan servicios pero no se definen, desde la perspectiva de la seguridad, en qué condiciones se transfiere el riesgo. Llegado a estas alturas del texto, cabe pensar si realmente conocéis a alguna empresa que "externalice su riesgo" o si en general todas "subcontratan servicios de riesgo" entendiendo por esto segundo, un término menos formalizado de dar a un tercero un riesgo. Quiero destacar que el riesgo SI se puede transferir, pero no así la responsabilidad. Por tanto, que las cosas no estén bien definidas, explícitamente documentadas y contractualmente reflejadas solo hace que perdamos "control" sobre nuestro riesgo que además, no vamos a gestionar nosotros mismos.

Dependerá de cómo entienda e interprete ese tercero el riesgo que asume al prestar el servicio el tipo de garantías que pudiera proporcionarnos en caso de un incidente de seguridad. Y lo que me parece más preocupante es que la "externalización de servicios TI" está muy de moda y si bien tenemos normas como ISO 20000 o ITIL que definen bien cómo debe hacerse este proceso y cómo deben establecerse los SLA y ANS, es importante que los aspectos relacionados con la seguridad queden perfectamente definidos. Es cierto que para los servicios TI el factor más importante a considerar suele ser la disponibilidad, pero debemos contemplar qué ocurriría si la naturaleza del incidente o error afecta a la integridad o confidencialidad de nuestra información.

Toda externalización supone pérdida de control si no se establecen mecanismos de regulación y seguimiento que permitan aportar evidencias, por parte del externo, de estar haciendo las cosas bien. A esta problemática general, todavía cabría añadir la complejidad que surge cuando se manejan cadenas de subcontratación. Si la empresa A transfiere un servicio a la empresa B, que a su vez utiliza a las subcontratas C y D para proporcionar el servicio final al cliente A. Si estos eslabones de subcontratación no están claramente identificados y bien atados, la empresa A puede ver comprometida su seguridad y no tener muy claro cuál ha podido ser la cadena de fallos y por tanto, la cadena de responsabilidades.

Y decía al principio que los acontecimientos siempre nos ponen de manifiesto estas reflexiones por el incidente este fin de semana en los hospitales madrileños. El titular de "El País" que se hace eco de la noticia es Siete hospitales se quedan seis horas sin sistema informático. Cuando hacemos el análisis de riesgos y estamos en la fase de valoración de activos, siempre usamos una escala denominada "laboral" donde precisamente se tiene en consideración si un incidente de seguridad puede costar "vidas humanas". Normalmente nuestros entrevistados suelen hacer alguna broma al respecto, pero es cierto que en ciertos "modelos de negocio", los servicios TI son críticos pudiendo causar la muerte de personas. Además, el proceso de digitalización que tantos beneficios genera y que tan bien venden nuestros políticos en relación a la atención sanitaria, tiene requisitos de seguridad que requieren hacer las cosas bien desde el principio. Sin entrar a valorar en concreto estos hechos, dado que no tenemos información suficiente que pudiera servir para valorar técnicamente que ha fallado, las evidencias son un cese de servicios de seis horas, algo posiblemente "intolerable" para un sector sanitario donde mucha información se requiere "en tiempo real". Merece la pena destacar frases como "La caída del programa la provocó una bajada de tensión eléctrica en la zona de Tres Cantos, donde está el centro tecnológico que aloja el servidor central de los nuevos hospitales". ¿Un sólo servidor para un activo de información tan crítico? ¿Ningún plan de contingencia para recuperarse frente a una situación así en menos de una hora? El blog APISCAM parece proporcionar más información sobre lo sucedido, aunque quizás con una versión menos imparcial (seguramente muy justificada). Parece que toda la gestión informática hospitalaria está subcontratada y en los diferentes pliegos y concursos se habían contemplado requisitos respecto a la continuidad de servicio.

De los hechos se deduce, al menos, un fallo grave en el plan de continuidad de negocio o planes parciales de contingencia. En sistemas de información como los del entorno hospitalario, con cada vez más dependencia de la tecnología para obtener información relativa al diagnóstico, hablamos de sistemas críticos que requieren información en tiempo real ("Fue el servicio de urgencias el que más sufrió las consecuencias de las demoras. "Tenemos que ir corriendo de un lado para otro para llevar historias, análisis...", explicaba ayer una enfermera de este departamento del hospital de Vallecas").

Quizás en el pliego las condiciones del servicio pudieran estar bien contempladas, pero para nada se ha garantizado la correcta supervisión de la ejecución del mismo y el adecuado cumplimiento del ACUERDO DE NIVEL DE SERVICIO. Además se suma que el supuesto Plan de Contingencias o de Continuidad de Negocio no ha funcionado, dado que la parada de seis horas es excesivo tiempo en el entorno hospitalario si se hubiera hecho el correspondiente BIA (Bussines Impact Analysis). Y por último y como reflexión final, quisiera destacar que el nuevo Reglamento de desarrollo de la Ley 15/1999 de Protección de Datos, ha incluido importantes y significativas reformas en torno a la figura del "encargado de tratamiento", que desde la perspectiva de la seguridad van en la línea de mejorar el control y la externalización del riesgo sobre los terceros.

Artículo 20. Relaciones entre el responsable y el encargado del tratamiento. 1. El acceso a los datos por parte de un encargado del tratamiento que resulte necesario para la prestación de un servicio al responsable no se considerará comunicación de datos, siempre y cuando se cumpla lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre y en el presente capítulo. El servicio prestado por el encargado del tratamiento podrá tener o no carácter remunerado y ser temporal o indefinido. No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado. 2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reuna las garantías para el cumplimiento de lo dispuesto en este Reglamento. 3. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere el apartado 2 del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo. Artículo 21. Posibilidad de subcontratación de los servicios. 1. El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento. 2. No obstante lo dispuesto en el apartado anterior, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos:

1. Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar.  Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación.
2. Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
3.  Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior.

En este caso, el subcontratista será considerado encargado del tratamiento, siéndole de aplicación lo previsto en el artículo 20.3 de este reglamento. 3. Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en el apartado anterior. En los aspectos de seguridad del R. D. se tiene: Artículo 82. Encargado del tratamiento. 1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. 2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento. 3. En todo caso, el acceso a los datos por el encargado del tratamiento estará sometido a las medidas de seguridad contempladas en este reglamento.

Es de destacar lo apostillado en el artículo 22, donde obliga de alguna manera al responsable de los datos a ejercer como tal y controlar el cumplimiento de sus prestadores en la frase "Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reuna las garantías para el cumplimiento de lo dispuesto en este Reglamento." sobre todo, en lo referente a la seguridad de la información. Así que de nuevo, el cumplimiento de la protección de datos puede ser una buena escuela para hacer las cosas como Dios manda. Está muy bien eso de ceder el marrón a un tercero, pero esa delegación no exime de responsabilidad. Si eres el que cede o transfiere el riesgo, la adecuada gestión es verificar que ese tercero estará a la altura de las circunstancias y que los servicios que presta, reunen las garantías mínimas necesarias para salvaguardar tus intereses. 

Por que de lo contrario, cuando el Responsable de Seguridad vaya a comprobar qué ha pasado, podrá encontrarse al Steve Urkel de turno diciendo ¿he sido yo? y la cabeza a cortar será la que quien contrató un servicio inadecuado.

La importancia del análisis del riesgo dentro del SGSI

Desde junio de este año, ya contamos con una nueva norma dentro de la serie ISO 27000. Se trata de quizás, una de las normas más estructurales de la serie ya que establece un criterio sobre la gestión del riesgo y proporciona un marco normalizado que nos puede ayudar a definir nuestra propia metodología y que tiene por título
ISO/IEC 27005:2008, Information technology -- Security techniques -- Information security risk management.

El análisis del riesgo es crucial para el desarrollo y operación de un SGSI. Aunque se habla mucho del tema, en esta fase la organización debe construir lo que será su "modelo de seguridad", una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización).

Es habitual, dada todavía la poca experiencia que existe en empresas sobre la seguridad que el análisis de riesgos lo realice la consultora externa que apoya en el proceso de implantación. Sin embargo, es muy importante que la empresa se involucre en esta actividad y entienda cómo se ha realizado este análisis. Sobre todo porque en el segundo ciclo del SGSI, se debe revisar éste análisis por si han habido cambios. Por hacer un simil que se entienda, el análisis de riesgos es como la visita al doctor para que nos identifique una enfermedad. Se realizan una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo. Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing como esta amenaza ha pasado a ser extremadamente frecuente en este último año). Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos sintomas o si los sintomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes.

Es curioso además comprobar como la "gestión del riesgo de la seguridad " empieza a ser vista con buenos ojos por otras áreas que se dedican a gestionar el riesgo. Hablo por ejemplo del caso de las entidades financieras que en virtud a Basilea II deben tratar el riesgo operacional. La tecnología es un riesgo operativo, y en algunas organizaciones el área de seguridad ha entrado a formar parte de la gerencia de riesgos, así como ahora el área de seguridad está entrando a formar parte en las empresas del compliance.

En este área nueva, existe un gran interés estudiar y comprender mejor el concepto del riesgo. Yo tengo un especial cariño a esta actividad porque fue por la que me introduce en esto de la seguridad hace ya casi diez años probando la primera versión de MAGERIT. Desde entonces el enfoque y la madurez de esta actividad ha cambiado y mejorado mucho, tratando de huir de la subjetividad de las valoraciones para llegar a un proceso formal, metódico y racional de valoración del riesgo.
Gracias a www.iso27000.es he podido dar con FAIR. Esta aproximación trata de ofrecer las bases fundamentales del proceso, una descripción de los conceptos a utilizar, así como un marco para la realización de análisis de riesgos. Es importante señalar que gran parte del marco FAIR puede utilizarse para reforzar, en lugar de sustituir, los procesos de análisis de riesgos basados en metodologías tan conocidas como OCTAVE, MAGERIT, MEHARI. Esta documentación se puede descargar en FAIR.

La Agencia Europea para la Seguridad de la Información (ENISA) dispone en el siguiente enlace de un inventario de las metodologías más conocidas que existen en torno a este tema que se puede consultar en este enlace.

Otra de las cosas más atractivas de esta actividad, el análisis y la gestión del riesgo es su faceta psicológica. El riesgo se define en el diccionario como la proximidad a un daño. Formalmente sería el factor que pondera la vulnerabilidad frente a una amenaza y el impacto que puede ocasionar. Navegando he podido encontrar un texto curioso sobre esa gestión inconsciente que hacemos los humanos del riesgo.

Fuente: Teoría de compensación del riesgo.

La causa de esta aparente contradicción fue desvelada hace más de veinte años por varios psicólogos especializados en tráfico, especialmente en Canadá y en los países escandinavos, mediante la teoría conocida como la “Compensación del riesgo” 1. Según esta teoría, cualquier persona situada en un entorno de riesgo adapta su comportamiento a los cambios del nivel de riesgo que percibe. Si detecta un riesgo creciente, actuará de forma más cautelosa, y si por el contrario detecta un riesgo decreciente, se comportará de un modo más despreocupado. De este modo “compensa” los cambios del nivel de riesgo, volviendo a situarse en el nivel de riesgo que considera aceptable, que normalmente es variable para cada persona.

En el caso concreto del tráfico, ello supone que si los conductores son conscientes de que llevan un coche con más equipamiento de seguridad, o de que circulan por vías más seguras, muchos de ellos tenderán a utilizar más el automóvil, y sobre todo, a realizar una conducción más arriesgada. Estos conductores “aprovecharán” la reducción del riesgo que han percibido para satisfacer algún deseo personal: ganar tiempo, practicar una conducción más excitante, probar las prestaciones del automóvil, etc..

Puede ocurrir que algunos de estos conductores sobrevaloren la reducción de riesgo que les ofrece un nuevo automóvil o una nueva carretera. En tal caso, se puede dar la paradoja de que estos conductores se acaben situando en niveles de riesgo efectivo más elevados que en la situación anterior. La influencia de estos grupos de riesgo incrementado puede hacer que, estadísticamente, los resultados globales de seguridad vial no mejoren, aunque la sociedad haya realizado grandes inversiones en viario, o en nuevos automóviles. Esto es lo que, en términos muy generales y orientativos, puede estar pasando en España y en otros países en los últimos años.

Estos hechos podrían ser encajados dentro de algunas de las Máximas de Seguridad que Bruce Schneier ha posteado hace unos días y que también ha comentado Sergio Hernando. Me quedo con la misma que se queda Sergio y otra mas:
Backwards Maxim: Most people will assume everything is secure until provided strong evidence to the contrary--exactly backwards from a reasonable approach. (la mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, justo lo contrario de lo que sugiere una aproximación razonable)

Arrogance Maxim: The ease of defeating a security device or system is proportional to how confident/arrogant the designer, manufacturer, or user is about it, and to how often they use words like "impossible" or "tamper-proof". (La facilidad de atacar un dispositivo o sistema de seguridad es proporcional a la confidencialidad/arrogancia del diseñador, fabricante o responsable de seguridad y a la frecuencia con la que éstos usan palabras como "imposible" or "impenetrable".

Nuevo grupo Linked-In sobre SGSI

He creido interesante, dado lo novedoso e incipiente de este mundillo de la construcción y operación de los SGSI's, el crear un grupo Linked-in que permita unir a profesionales o responsables en el manejo de este tipo nuevo de sistemas de gestión.

Creo que dado su inmaduro estado todavía, es necesario compartir aproximaciones y experiencias para que en general, todos los responsables de seguridad de las organizaciones que implanten un SGSI obtengan su máximo rendimiento aprovechando las infraestructuras que proporciona la Web 2.0 y sus correspondientes "Valores 2.0".

Se trata de compartir experiencias para no fracasar, de plantear cuestiones para entre todos, lograr de verdad la mejora continua. Sería deseable no caer en el juego de los "sellos certificados" que no significan nada, porque en calidad nos jugamos la "satisfacción del cliente" pero en ISO 27001 nos jugamos "la seguridad y continuidad de nuestros sistemas".

Quien quiera tener un sello decorativo que diga que alguien certifica que parece que gestiona bien la seguridad allá el, pero quien quiera tener un sistema que sirva para minimizar el impacto de los incidentes estará haciendo bien su trabajo.

Animo por tanto a los usuarios de Linked-in a unirse al grupo "ISO 27001-SGSI Spanish Group".

Microseguridad y macroseguridad, dos frentes de una misma batalla

Paloma Llaneza dispone de una sección titulada "Aqui un amigo" y he tenido el honor de poder postear algo en ella. Para quien a estas alturas no la conozca, aqui tenéis una pequeña reseña de su intenso curriculum en materia de seguridad:

• Abogado en ejercicio, colegiada en Madrid (41.821) y socio de LLaneza y Asociados, Abogados.


• Es Auditora de Sistemas de Información (CISA) certifcada por ISACA.


• Es Coordinadora del GT 1 del Subcomité 27 de AENOR (Comité espejo del internacional de ISO JTC 1/SC 27/WG 1 de gestión de la seguridad TI), donde se estudian y aprueban las normas NE en esta materia. Es también Coordinadora del WG6 del SC37, sobre legislación en materia de biometría. Incorporada desde su consitución al WG25 sobre ITIL.


• Es desde 2004 co-editora de la norma internacional ISO de Métricas de Seguridad de Gestión de Sistemas de la Información (ISO/IEC 27004).

El resto se puede consultar aquí.

El texto que aparece en su sección es una reflexión en torno a las diferentes perspectivas con las que analizamos la seguridad y que de alguna manera, siendo complementarias, pertenecen a mundos diferentes si nos centramos en los elementos que barajan o gestionan.

Hace unos días pude leer en Taosecurity una reflexión entorno a las similitudes que se pueden hacer entre el mundo de la economía y el de la seguridad de la información.
Esta disciplina divide sus áreas de estudio entre la microeconomía y la macroeconomía. El autor del blog comenta cómo este enfoque es también válido para nuestro mundillo de la protección de activos.

• La microseguridad de la información trata los problemas del día a día, la protección en cada uno de los frentes tangibles que toda organización siempre tiene abiertos: usuarios, comunicaciones, servidores, dispositivos móviles, etc. Por tanto la microeconomía se centra en la tecnología que utilizamos para solucionar problemas, los controles que implantamos para hacer la seguridad gobernable en cada una de las situaciones o entornos donde encontramos problemas. Son aspectos tácticos y operativos de seguridad, elementos tangibles y sólidos que todo el mundo entiende ya necesarios para afrontar el día a día.



• La macroseguridad de la información trata los problemas globales, la coordinación y gestión de todas las actividades necesarias para alcanzar los objetivos, la planificación y diseño de estrategias para lograr tener los riesgos bajo control. Estaríamos al nivel del diseño de políticas de seguridad, del establecimiento de relaciones contractuales que garanticen el cumplimiento. La macroseguridad ha adquirido relativa importancia en estos últimos años cuando la microseguridad abre tantos frentes que la Organización debe tomar decisiones para poder establecer una estrategia basada en la proporcionalidad de las medidas y sobre todo, la gestión del riesgo para el negocio. Por tanto, la macroseguridad es la responsable de hacer que las decisiones y restricciones se encajen dentro de la organización y sobre todo, sirvan para garantizar el cumplimiento de los objetivos de negocio y el buen funcionamiento de los procesos productivos.

Desde mis comienzos profesionales siempre me he dedicado, por así decirlo, a la macroseguridad. He convivido en áreas y departamentos destinados a la microseguridad y las discusiones eran muy frecuentes siempre cuando cuestionabamos la efectividad real de las medidas. Siempre he creido que sin macroseguridad la microseguridad tiene un efecto limitado y corto en el tiempo porque las amenazas cambian y lo que hoy te protege, mañana es un elemento más de la infraestructura que hay que gestionar.

La carencia o falta de criterio a la hora de tomar decisiones sobre qué proteger primero es lo que ha producido que la macroseguridad se defina como disciplina, apareciendo la norma ISO/IEC 27001:2005 para establecer que los procesos de dirección de la macroseguridad deben estar fundados en la gestión del riesgo y la mejora continua. El ciclo de Demming logra coordinar la microseguridad y la macroseguridad. Establece los controles tangibles que hay que aplicar pero también los indicadores o métricas que deben registrarse para valorar si están o no funcionando.

El artículo completo que referencia a su vez Taosecurity se puede leer en Information Security and Business Integration

ISO 27002.es y la integración de sistemas de gestión

Desde iso27000.es lanzan un nuevo proyecto en la URL iso27002.es como ampliación y complemento para la difusión de la seguridad de la información, ahora mediante una plataforma wiki colaborativa.

El objetivo de iso27002.es es recoger diferentes propuestas y posibles soluciones prácticas para cada uno de los 133 controles que indica la norma y que aparecen aquí resumidos en formato de ficha práctica.

Desde cada control se accede por enlaces directos a otros relacionados y la barra de búsqueda permite localizar rápidamente aquellos relacionados con posibles palabras clave, entre otras ventajas.

También se explica con formatos de video y ejemplos prácticos los puntos básicos claves a considerar en la implantación de un SGSI en relación al estándar ISO 27001.

La explicaciones recorren un esqueleto de SGSI que ya ha sido utilizado con éxito en implantaciones desde tiempos de la BS 7799-2 y en pymes de varios países.

El site permite además aportar preguntas y respuestas a los usuarios que se den de alta así como información completa sobre cada una de las normas de la serie ISO 27000 publicadas hasta el momento.

Enlace al wiki disponible en modo lectura en iso27002.es o también en iso27000.wik.is para los interesados en iniciar sesión y comentarios como anonimo/anonimo.

Además, Agustín Lopez ISO27000.es ha traducido un excelente artículo de David Brewer, Michael Nash y William List sobre la integración de un SGSI con otros sistemas de gestión.

Podéis acceder a él a través del enlace "Explotando un sistema de gestión integrado."

Políticas, normas, procedimientos de seguridad y otros documentos de un SGSI

Como resumen al documento que ya indiqué en el post Guía para la elaboración del marco normativo de Seguridad ISO 27002 en este texto que he redactado para el Blog del INTECO, comento los principales documentos que aparecen en un SGSI.

Cuando se trata de documentar las decisiones y acciones relacionadas con la seguridad de la información o la construcción de un SGSI (Sistema de Gestión de la Seguridad de la Información), aparecen diferentes tipos de documentos que contribuyen a lograr ese objetivo. En este texto trataré de poner algo de luz en relación a los diferentes documentos que pueden ser utilizados para tratar de establecer, definir y documentar las necesidades en Seguridad de la Información.

Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas:

* Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr).
* Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible).
* Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).

Las preguntas cuándo y dónde muchas veces no tienen por qué ser respondidas aunque suelen ser tratadas en los procedimientos. Basándose en lo anterior, los documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros:

* Una política de seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización. A su vez, una política de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, políticas de uso, procedimientos de seguridad e instrucciones técnicas de trabajo. Vamos a ver en qué consisten cada una de ellas.
* Una norma de seguridad define qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Sirven para establecer unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc.
* Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son, por tanto, la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecución. No tiene por qué ser extenso, dado que la intención del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello, puede relacionarse con otros procedimientos o con instrucciones técnicas de seguridad.
* Una instrucción técnica de seguridad determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual que un procedimiento, son la especificación pormenorizada de los pasos a ejecutar. Una instrucción técnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma. A mayor nivel de detalle, mayor precisión y garantía de su correcta ejecución.
* Una política de uso es un documento destinado a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema, tecnología o recurso. En este caso, deben documentarse las normas de comportamiento que deben cumplir los usuarios en el uso de los sistemas de información o los aspectos generales que se desean regular, así como los usos que son considerados autorizados y los usos no aceptables.

Lo importante de este conjunto de documentos que forman el marco normativo es, por un lado, documentar de forma clara y concreta las decisiones establecidas por la organización en materia de seguridad y, por otro, que sean utilizados por todas las personas de la organización para saber qué hacer en cada circunstancia en relación con la protección de la información.

Más información sobre ISO 27005:2008

Buscando sobre algo de información en torno a la nueva norma he podido hallar una presentación bastante interesante sobre el contenido de la misma y sus objetivos. Va a ser interesante puesto que fija los cimientos de quizás la actividad más crítica para garantizar la seguridad de la información (que no para lo que supone su gestión).
El documento está en francés y descargable en la siguiente dirección.

Pensar en aplicar la "mala" filosofía ISO 9001 sobre la ISO 27001 tiene su peligro. Si bien la mala gestión de la calidad tiene consecuencias en la balanza de resultados y buscar la mejora continua tiene una motivación económica clara, pensar en gestionar la seguridad sólo por poder poner un sello más es un riesgo mayor.

Lo que se puede conseguir con tener una certificación ISO 27001 que realmente no implique un buen funcionamiento de las medidas de seguridad es disponer de una "sensación de seguridad" que no se aproxime a la "seguridad real" de la que se disfruta.
Es por eso tan importante que en la construcción de SGSI participen profesionales del mundo de la seguridad de la información o la seguridad informática. Son los técnicos capaces de valorar si las medidas que se están recomendando son adecuadas, podrán ofrecer alternativas en los planes de manera que se de tanta importancia al proceso de gestión de la seguridad como a la propia "seguridad de la información". No es importante que haya un buen plan de seguridad sino que éste funcione y logre sus objetivos.
Utilizo la siguiente imagen para explicar las relaciones entre ISO 27001 e ISO 27002 y también para contar las diferencias entre gestionar la seguridad y la propia seguridad.

En la norma ISO 27002, se establecen procesos y procedimientos de seguridad donde se incorporan una serie de medidas sobre los activos. Estas actividades deben generar los registros de seguridad. El correcto funcionamiento del SGSI se basa en que hay ciertos responsables que velan porque los procesos de seguridad estén operativos y dejando registros que permitan posteriormente su evaluación. Fruto de esa gestión dejan los registros propios del SGSI.

Por tanto, si quien gestiona el SGSI va evaluando lo que mantiene y opera la seguridad de los activos va generando, se tiene la certeza de que las medidas están operativas y sus resultados son los esperados. De esa manera tenemos "seguridad de la información" sobre nuestros activos. La labor de gestión del SGSI es velar por el funcionamiento correcto de los procesos de seguridad definidos para proteger a los activos.

Reflexiones similares se plantean en los post de los siguientes blogs:
- Blog S21Sec.
- Mejora continua de un SGSI según ISO 27001.

Esperemos que el efecto pernicioso que tiene ya la ISO 9001, donde se busca la certificación por el sello y no por los beneficios que produce, no se extienda hacia la ISO 27001, donde obtendríamos un reconocimiento a la gestión de la seguridad de la información aunque ésta no se manifieste. Esperemos también que las entidades de certificación no contribuyan a ello, otorgando el reconocimiento a quien no lo merece.

Publicada la ISO 27005:2008 sobre gestión del riesgo.

Hoy quiero dar dos buenas noticias en relación a la disciplina del análisis y gestión de riesgos de la seguridad de la información.

La primera de ellas la anuncia Joseba Enjuto en su blog, donde nos comunica que desde el día 4 de Julio se dispone de la nueva norma ISO 27005:2008,"Information security risk management". Esta norma
ISO/IEC 27005:2008 proporciona directrices para la gestión de riesgos de seguridad de la información. Esto apoya los conceptos generales especificados en ISO/IEC 27001 y ha sido diseñada para ayudar a la puesta en práctica satisfactoria del análisis y la gestión del riesgo, fase principal del diseño de todo buen sistema de gestión de la seguridad de la información (SGSI). El conocimiento de los conceptos, modelos, procesos y terminologías descritas en ISO/IEC 27001 e ISO/IEC 27002 es importante para lograr el entendimiento completo de la ISO/IEC 27005:2008. ISO/IEC 27005:2008 es aplicable a todos los tipos de organizaciones (p.ej. sociedades mercantiles, administraciones públicas, organizaciones no lucrativas) que tengan la intención de manejar los riesgos que podrían comprometer la seguridad de la información de la organización.
Esta norma actualiza a la antigua ISO 13335, partes 3 y 4.


La segunda tiene como origen la publicación de ordenes ministeriales en relación a algunos de los conceptos que aparecen en la legislación vinculada a la Administración Electrónica. La seguridad de la información es un pilar básico de este tipo de infraestructuras y así lo ordenan las diferentes ordenes ministeriales y decretos que se están promulgando.
La legislación suele pecar de ambigua a la hora de hablar de seguridad. En general se venía diciendo que los procesos telemáticos deben garantizar la disponibilidad, integridad y confidencialidad de la información, sin establecer mínimos (A excepción de la legislación en materia de protección de datos de carácter personal que lo regula vía reglamentaria). Como mucho aparece que las medidas de seguridad serán proporcionales a los "riesgos y el estado de la tecnología".

Pues bien, he hallado una nueva redacción a estos requisitos en la Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la disposición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos y en la ORDEN PRE/3949/2006, de 26 de diciembre,por la que se establece la configuración, características, requisitos y procedimientos de acceso al Sistema de Verificación de Datos de Identidad donde para determinar la seguridad de la información necesaria aparece el siguiente texto:

Adopción de las medidas de seguridad, organizativas o técnicas, de los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única.

1. Con carácter general se aplicarán a los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única las medidas de seguridad, conservación y normalización que se detallan en los Criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades aprobados por el Consejo Superior de Informática y para el impulso de la Administración Electrónica y accesibles en su sitio web.

Dichas medidas de seguridad, conservación y normalización vendrán determinadas por el resultado del análisis y gestión de riesgos que se realice, recomendándose a estos efectos la utilización de la metodología Magerit.

2. Lo dispuesto en esta Orden Ministerial se aplicará en todo caso de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y demás normativa aplicable en esta materia.

Lo significativo que merece ser destacado es la exigencia de la realización de un análisis y gestión de riesgos previo a determinar las medidas de seguridad necesarias y además, establecido mediante una Orden Ministerial.

Me inicié en esto de la seguridad de la información ya hace casi 10 años justo en un proyecto piloto de valoración de la metodología MAGERIT (En aquella época, versión 1.0) y aunque siempre he considerado, pese a detractores, que el análisis y gestión de los riesgos es el criterio de diseño del conjunto de medidas, el reconocimiento que realiza esta nueva redacción de los requisitos de seguridad va a forzar a las instituciones a pasar forzosamente por el proceso. Se discute mucho sobre la rigurosidad de esta disciplina, basada en estimaciones y valoraciones subjetivas pero lo importante al final es que obliga a determinar qué elementos son importantes, cual es su valor y qué podría pasarles respecto a potenciales incidentes de seguridad. Este mínimo ejercicio de reflexión es necesario para que la seguridad no se base en la percepción del riesgo. Debe ocurrir que la sensación de seguridad sea igual que la seguridad real de la que se dispone.

En cuanto a la metodología MAGERIT 2.0, no creo que se diferencie en su esencia de lo contenido en esta norma ISO 27005:2008 porque básicamente todo análisis y gestión de riesgos pasa por las siguientes fases:
Fase de análisis de riesgos:

• Determinación de activos


• Determinación de amenazas


• Estimación de impactos


• Estimación de vulnerabilidad de las amenazas sobre los activos


• Cálculo del nivel de riesgo.

Fase de gestión de riesgos:

• Determinación de los criterios de aceptación del riesgo


• Determinación de las medidas de seguridad necesarias


• Estimación del nivel de riesgo residual

La documentación de MAGERIT 2.0 puede obtenerse en el Consejo Superior de Informática en la siguiente ficha descriptiva y en la propia página del Centro Nacional de Inteligencia en la url
http://www.ccn.cni.es/series.html hay un documento titulado CCN-STIC-410 Análisis de Riesgos Sistemas de la Administración v1.0.pdf con un ejemplo de su aplicación.

Situación actual de la serie 27000

La semana pasada tuvo lugar en Kyoto una reunión del Subcomité 27 de ISO para seguir avanzando en la elaboración de estandares de la serie 27000. En concreto el listado actual de normas que se encuentran en desarrollo y finalizadas son:

• ISO/IEC 27000 - proporcionará una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.


• ISO/IEC 27001:2005 - Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI).Publicada en 2005.


• ISO/IEC 27002:2005 - Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005).Publicada en 2005 y renombrada en 2007.


• ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.


• ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.


• ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve a lo largo del año.


• ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.


• ISO/IEC 27007 será una guía para auditar SGSI.


• ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.


• ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.


• ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051)


• ISO/IEC 27031 estará centrada en la continuidad de negocio
• 
  
• ISO/IEC 27032 será una guía para la cyberseguridad.


• ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.


• ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.


• ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.

Gary Hinson resume en un formato Mind Maps informaciones y comentarios sobre la última reunión del SC27 de ISO en Kyoto, donde ha participado como representante de Nueva Zelanda.

Política de uso de Internet

Al hilo del post que Sergio Hernando publica hoy "Acceso a Internet por parte de los empleados: ventajas, riesgos y amenazas", voy a comentar un documento con el que he dado hace pocos días y que me parece interesante referenciar.

El texto se encuentra en el enlace How to write an Acceptable Use Policy (AUP) y ha sido generado por la empresa SurfControl. Lo que merece la pena destacar del documento es que, previo a un razonamiento de por qué es necesario este tipo de políticas internas, indica los aspectos más interesantes que toda buena política de uso debe contemplar, tanto desde el punto de vista de la redacción como en los apartados que debe contener. Aunque ya comenté en el documento Guía para la elaboración del marco normativo de Seguridad ISO 27002 cual es la función de las políticas de uso y cómo encajan dentro del marco general de documentos SGSI, el texto que hoy me ocupa se centra en concreto en la política de uso de Internet. Los objetivos de un documento así son:

• Clarificar la posición de la empresa respecto al uso de Internet


• Proteger a la organización de los abusos internos justificando acciones disciplinarias


• Concienciar y formar al personal sobre las amenazas que pueden presentarse a través de Internet.


• Fomentar el uso correcto y eficaz de los recursos de la empresa>/li>

Las claves del éxito en la redacción están en:

• Ser claro en la redacción


• Consensuar una posición de la empresa


• Definir expresamente lo que se consideran usos aceptables y tiempos de uso razonables


• Establecer qué se consideran activos a proteger de la organización y cómo el empleado puede contribuir a ello


• Definir responsabilidades y consecuencias del incumplimiento de la política

El documento no tiene desperdicio y por tanto, os recomiendo su lectura para profundizar más.

El modelo humano de gestión del riesgo

Leo en el blog de Schneier este mes un interesante artículo sobre cómo el ser humano gestiona de manera innata el riesgo. El primero de ellos, reflexiona sobre el riesgo que supone conocer el riesgo valga la redundancia.
El artículo entero puede leerse en Schneier on Security: Risk of Knowing Too Much About Risk y merece la pena destacar que las personas que más creen controlar o conocer los riesgos pueden cometer errores o tomar decisiones no adecuadas basadas en una confianza o conocimiento de la situación que puede no ser tal.
El miedo es una fuerza poderosa y con temor la toma de decisiones puede producir resultados nefastos.Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:

• La primera es intuitiva, emocional y basada en la experiencia. Tratamos de mitigar aquello que tememos o que no podemos controlar, basados tanto en la experiencia como en la intuición de lo que puede pasar. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un análisis objetivo del riesgo potencial.

• La segunda forma en mediante el análisis de riesgos: la utilización de probabilidad y estadística para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reacción intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisión final.

Lamentablemente para nosotros el análisis de riesgos no es la parte que gana. La intuición o el miedo pueden abrumar fácilmente a la parte analítica, especialmente cuando nuestro cerebro en situaciones de miedo recupera imágenes grabadas en la memoria sobre catástrofes, accidentes o experiencias desagradables que quedan más fácilmente almacenadas por la memoria emocional.

Para reflejar este hecho, se realizó un estudio sobre las causas con mayores probabilidades de muerte que representa la imagen superior. El tamaño de cada círculo representa el riesgo relativo de morir por la causa enumerada. Una de cada cinco muertes es por enfermedades del corazón. El infarto cerebral es un círculo alrededor de un tamaño cinco veces menor que la enfermedad de corazón. Los círculos más pequeños siguen documentando otras causas de muerte más raras y menos frecuentes. El círculo más pequeño en este mapa es la muerte de accidentes con fuegos artificiales, un destino sufrido por una de cada 350000 personas, representado por unos pocos píxeles en la pantalla. Nuestro cerebro empieza a ignorar los riesgo que son solo éso, dificiles de ver o comprender. Pero lo importante es que aunque nuestro cerebro los ignore, siguen estando ahí, con su probabilidad intacta y por tanto, deben ser también gestionados.

Guía para la elaboración de los procedimientos y registros establecidos en el nuevo reglamento 1720/2007 de protección de datos

Firma, Proyectos y Formación ha elaborado un documento donde se recopilan los contenidos mínimos que deben incluir los procedimientos y registros establecidos en Título VIII del nuevo Real Decreto 1720/2007. Para ello hemos analizado los requisitos que establece cada una de las medidas, teniendo en cuenta las aplicables al tratamiento tanto automatizado como manual, seleccionando todas aquellas que requieren la elaboración de algún tipo de documento e identificando los contenidos mínimos de cada una de ellas. A la hora de establecer y documentar los procedimientos hay que tener en cuenta siempre que deben ser eficaces y ajustarse al estado de implantación en la empresa, dado que es la información utilizada para la revisión del cumplimiento.

El documento puede ser obtenido aquí

Aproximación práctica a la gestión del riesgo

De nuevo la gente de Infosecwriters.com han elaborado un excelente documento sobre la gestión del riesgo. Para aquellos que no tengan claro cómo documentar la metodología de análisis y gestión del riesgo y mientras la norma ISO 27005 (que está en fase de desarrollo con fecha prevista de publicación en Mayo de 2008) no aparezca en escena, este documento puede ser una buena referencia. El documento puede ser descargado en A Practical Approach to Managing Information System Risk

La norma ISO 27005 consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSIy recogerá partes de ISO/IEC TR 13335.

Disponemos también de un par de normas ya elaboradas en este tema:

• Risk Management, AZ/NZS 4360:2004


• Guidelines for Information Security Risk Management, BS 7799-3:2006

AZ/NZS 4360:2004
En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos (AS/NZS 4360:1999). A través de una norma reducida en extensión, con diagramas que gradualmente expanden sus niveles a medida que nos adentramos en las definiciones y apoyada por un generoso manual explicativo, no tardó en ser adoptada por varias empresas de diversas industrias. Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un “paquete” completo que incluye el manual de apoyo (HB 436:2004).

Guidelines for Information Security Risk Management, BS 7799-3:2006

En Mayo del año 2006, BSI presentó BS 7799-3:2006 (). La tercera parte de su norma BS 7799, que es el origen de la familia ISO/IEC 27000. En ella describe los aspectos mínimos que debe considerar un Proceso de Gestión de Riesgos de Información. Si bien, esto viene a aliviar un poco a los Implantadores más puristas, no es menos cierto que es una primera versión y como tal adolece de los males de los estrenos. Es necesario revisar la estructura, la distribución de los contenidos y la profundidad de los ejemplos. Es muy valorable la inclusión de ejemplos para graficar todos aquellos aspectos que podrían generar dudas.

Nuevo diseño del Blog

Este post es para anunciar cambios en la plantilla de diseño del blog y la inclusión de nuevas secciones con enlaces a otras Webs y blogs dedicados al mundillo de los sistemas de gestión de la seguridad de la información. Si alguno considera que dispone de una página que pudiera ser interesante apuntar en la sección de links que me lo haga llegar a través de los comentarios.

Guía para la elaboración del marco normativo de Seguridad ISO 27002.

Durante mi trabajo suelen siempre repetirse siempre las mismas preguntas entorno al desarrollo de normas, procedimientos y demás documentos relacionados con la construcción e implantación de sistemas de gestión de seguridad de la información certificables con la norma ISO 27001. Este tipo de proyectos requieren de un esfuerzo por parte de la Organización por formalizar y definir las actividades relacionadas con la gestión de la seguridad para dar cumplimiento a los diferentes controles de la norma ISO 27002. Para ello, se hace imprescindible establecer un marco normativo en materia de seguridad de la información, que defina y establezca los criterios y medidas que se desean garantizar y cumplir.

Debido a la ausencia de criterios formales para establecer este tipo de jerarquía de documentación, he considerado interesante contribuir con la elaboración de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Está basado en un criterio de máximos donde se describe lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mínimos pero si requisitos de la documentación y registros en su apartado 4.3 . Para muchos esta recomendación puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organización y de su "cultura" interna. Lo más importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen. En cualquier caso, el presente documento es solamente una propuesta técnica aunque para ello he utilizado varios libros que compré en su momento como bibliografía básica al respecto y que son:

• Made policies are easy de Charles Cresson Wood.


• Writing Information Security Policies de Scott Barman.


• Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management de Thomas R. Peltier

El documento está colgado en la Web de Firma, Proyectos y Formación S.L. porque ha sido liberado bajo licencia Creative Common.

Pronósticos del 2008

Como viene siendo tradición de este blog cada comienzo de año, toca tratar de vaticinar cuáles van a ser los problemas que este año nos van a llevar de cabeza.

Los últimos días del año, el grupo Google ISO27001security.com ha estado tambien tratando la cuestión y el grupo coordinado por Gary Hinson han elaborado un documento titulado "los principales riesgos en seguridad de la información para el 2008" que puede ser descargado en ingles en la siguiente dirección. El documento está licenciado bajo Creative Common y es bastante completo, identificando los diferentes elementos de seguridad que determinarán los riesgos del 2008, como son:
- principales amenazas
- principales vulnerabilidades
- principales impactos

Con todo ello, se determinan cuales podrán ser los riesgos a mitigar este 2008.