Otros Estándares. Contenidos 1. Normas ISO del SC27 2. ISO/IEC ITIL. 4. NIST Serie CobiT 6.

Transcripción

1 Otros Estándares Contenidos 1. Normas ISO del SC27 2. ISO/IEC ITIL 4. NIST Serie CobiT 6. UNE 71502: BS PAS BS BS COSO-Enterprise Risk Management / SOX

2 [ Este documento está disponible online en: ] Las normas publicadas bajo la serie ISO son estándares alineados con el conjunto de normas publicadas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) actuales o futuras y que son desarrolladas mediante comités técnicos específicos. Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas prácticas en seguridad de la información en base a otros modelos de gestión, obtendrán el beneficio de una adaptación y certificación en la norma ISO con un menor esfuerzo. En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuación una selección de los estándares y métodos de referencia más conocidos y relevantes. Además de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en todo el mundo. Puede consultar nuestra sección de Herramientas para encontrar enlaces a muchos de ellos. 1. Normas ISO del SC27 ISO es la Organización Internacional para la Estandarización, creada en Febrero de 1947 y con sede en Ginebra, que cuenta con la representación de 153 países con el objetivo de lograr la coordinación internacional y la unificación de estándares en la industria. 2 ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comité técnico conjunto específico para las Tecnologías de la Información denominado JTC1 (Joint Technical Committee). Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de proyectos en técnicas de seguridad, labor que realiza a través de cinco grupos de trabajo (WG1, WG2, WG3, WG4 y WG5). Dispone de una página web ( donde se puede acceder a información sobre su ámbito, organización, agenda de reuniones y temas de trabajo. Cada país miembro establece subcomités espejo que coordinan los trabajos a nivel nacional. En España, es AENOR quien tiene dicha responsabilidad. Lo hace a través del subcomité AEN/CTN 71/SC "Técnicas de Seguridad - Tecnología de la Información" y de sus correspondientes grupos de trabajo GT1, GT2, GT3, GT4 y GT5. El Ministerio de Administraciones Públicas español ofrece en su página web una información detallada sobre todos estos aspectos, en especial de las aportaciones españolas realizadas a través del GT1.

3 ISO JTC1 / SC27 / WG1: Sistemas de gestión de seguridad de la información - SGSI. Las actividades de este grupo de trabajo incluyen: Desarrollo y mantenimiento de la familia de normas ISO/IEC Identificación de requisitos para futuros estándares y directrices relativas a los SGSI. Colaboración con otros grupos de trabajo del SC27, en particular con el WG4 en cuanto a estándares relativos a la implementación de objetivos de control y controles definidos en ISO/IEC Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc. ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografía. Las actividades de este grupo de trabajo incluyen: Identificación de las necesidades y los requisitos de técnicas y mecanismos de seguridad en sistemas y aplicaciones de TI. Desarrollo de terminología, modelos generales y estándares de dichas técnicas y mecanismos para su uso en servicios de seguridad. Tratamiento de todas las técnicas y mecanismos, sean criptográficos o no, que cubran aspectos como confidencialidad, autenticación, no repudio, gestión de claves, integridad, etc. 3 ISO JTC1 / SC27 / WG3: Criterios de evaluación de la seguridad. Las actividades de este grupo de trabajo incluyen: Desarrollo de estándares de evaluación y certificación de la seguridad de sistemas, componentes y productos de tecnologías de la información. Tratamiento de los tres aspectos a considerar en este ámbito: criterios de evaluación, metodología de aplicación de dichos criterios y procedimientos administrativos para la evaluación, la certificación y los esquemas de acreditación. Coordinación con los comités ISO responsables de estándares de comprobación y gestión de calidad para no duplicar esfuerzos. ISO JTC1 / SC27 / WG4: servicios y controles de seguridad. Las actividades de este grupo de trabajo incluyen: El desarrollo y mantenimiento de estándares y directrices relativas a servicios y aplicaciones que apoyen la implantación de objetivos de control y controles definidos en ISO/IEC Identificación de requisitos y desarrollo de futuros estándares en áreas como continuidad de negocio, ciberseguridad, externalización (outsourcing), etc.

4 Colaboración con otros grupos de trabajo del SC27, en particular con el WG1. Contacto y colaboración con otros comités y organizaciones relacionadas con los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad), ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc. ISO JTC1 / SC27 / WG5: tecnologías de gestión de identidad y privacidad. Las actividades de este grupo de trabajo incluyen: Desarrollo y mantenimiento de estándares y directrices relativos a los aspectos de seguridad de la gestión de identidad, biometría y protección de datos personales. Identificación de requisitos y desarrollo de futuros estándares en áreas como control de acceso basado en roles (RBAC), provisioning, identificadores, single sign-on, anonimato y credenciales, infraestructuras de privacidad, tecnologías para la mejora de la privacidad (PETs), técnicas de autenticación biométrica, protección de datos biométricos, etc. Colaboración con otros grupos de trabajo del SC27: WG1 en aspectos de gestión, WG2 en técnicas de seguridad y WG3 en evaluación. Contacto y colaboración con otros comités y organizaciones tales como ISO/IEC SC37 (biometría), ECRYPT, FIDIS, etc. Puede obtenerse una lista actualizada de los estándares en vigor publicados por el subcomité 27 en el siguiente enlace. 4 Puede obtenerse una lista actualizada de los estándares en desarrollo del subcomité 27 en el siguiente enlace. 2. ISO/IEC Es el primer estándar internacional certificable para la gestión de servicios TI. Proviene del estándar británico BS ISO : especificaciones en las cuales se describe la adopción de un proceso de mejora integrado para el desempeño y gestión de los servicios acorde a los requisitos del negocio y del cliente. Este documento comprende 10 secciones: Alcance, Términos y definiciones, Requisitos de un sistema de gestión, Planificación e implantación de la gestión de servicio, Planificación e implantación de servicios nuevos o modificados, Proceso de entrega de servicios, Procesos de relación, Procesos de resolución, Procesos de control y Procesos de liberación. ISO : código de prácticas donde se describen las mejores prácticas para la gestión de los servicios y dentro del ámbito indicado por la norma ISO

5 ISO incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores prácticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de obligada aplicación para la implantación en la norma ISO 20000, sí suele ser una adecuada referencia para aquellas organizaciones que desean la implantación de éste norma mediante la introducción de un paso intermedio ITIL IT Infrastructure Library (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios.

6 Fue integrada en las series BS (ISO desde Diciembre 2005) con el consenso de BSI, itsmf y OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura lógica para mejor comprensión en su publicación y difusión. ITIL sirve de base para el estándar ISO y consta de 7 bloques principales: Managers Set, Service Support, Service Delivery, Software Support, Networks, Computer Operations y Environmental : Las áreas cubiertas por ITIL en cada documento publicado por la OGC son: Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado además de la mejor forma posible. Entrega del servicio: administración de los servicios de soporte y mantenimiento que se prestan al cliente. Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada organización. Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de vida de las aplicaciones, centrándose sobre todo en definición de requisitos e implementación de soluciones. Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión de la administración de sistemas como máquinas, redes o sistemas operativos, entre otros. Administración de seguridad: proceso para la implantación de requerimientos de seguridad; relaciona las áreas ITIL de soporte y entrega de servicio. Administración de activos de software: pautas necesarias para la gestión del software adquirido y/o de desarrollo propio. Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de externalización y gestión del cambio, entre otros NIST Serie 800 El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU. La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida.

7 Distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas están recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre descarga. Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que cubren múltiples aspectos relacionados con la seguridad de la información y que pueden servir de apoyo a la hora de desarrollar políticas, procedimientos y controles. 5. CobiT El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa. Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologías de la información y similares). Se trata de un marco compatible con ISO (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio. No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título personal de obtener certificaciones como Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.

8 6. UNE 71502: Norma española certificable, desarrollada en base a BS7799-2:2002, que establece las especificaciones para los sistemas de gestión de seguridad de la información. Guarda relación con UNE-ISO/IEC17799:2002 mediante su Anexo A. Elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información, especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organización. Fue publicada en Febrero de 2004 ante la perspectiva de la publicación de la norma internacional para el Sin embargo, la publicación anticipada de ISO en el año 2005 acortó la vigencia de la norma española. Con la traducción al español de ISO y su publicación como UNE- ISO/IEC 27001, UNE quedará anulada el Puede adquirirse en AENOR. Normas para consulta: UNE IN Parte 1: Conceptos y modelos para la seguridad TI UNE IN Parte 2: Gestión y planificación de la seguridad TI UNE IN Parte 3: Técnicas para la gestión de la seguridad TI

9 UNE-ISO/IEC 17799:2002 Código de buenas prácticas para la gestión de la seguridad de la información. Aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por UNE 71502:2004 requieren de un esfuerzo mínimo para su reconocimiento internacional bajo la norma ISO Puede descargar esta tabla comparativa en formato.pdf aquí.

10 7. BS BSI (British Standards Institution) publicó en 2006 la tercera parte de BS 7799, dedicada a la gestión de riesgos de seguridad de la información. ISO (evolucionada a partir de BS ) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la información, pero no da indicaciones más detalladas de cómo realizar dicho proceso ni de cómo situar dichos riesgos en el marco de los riesgos generales de la empresa. BS profundiza en estos aspectos y da directrices sobre evaluación de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y conformidad con otros estándares y regulaciones sobre el riesgo. 8. PAS 99 BSI (British Standards Institution) publicó en 2006 el documento PAS 99 (PAS = Publicly Available Specification), que especifica los requisitos comunes de los sistemas de gestión y puede ser utilizado por las organizaciones como un marco de integración de sistemas. 10 Hoy en día, es bastante habitual que las organizaciones tengan implantados varios sistemas de gestión: calidad según ISO 9001, medio ambiente según ISO 14001, seguridad y salud laboral según OHSAS 18001, seguridad de la información según ISO Todos estos sistemas tienen metodologías, procesos, objetivos, documentación, etc., en común, lo que abre el camino a la integración de los mismos en un solo sistema de gestión, buscando sinergias, mejoras en la productividad, mayor sencillez de uso y facilidad de implantación y mantenimiento. PAS 99 da directrices sobre cómo abordar un proceso de integración de sistemas de gestión, teniendo en cuenta los seis requisitos comunes establecidos en la Guía ISO 72 y siguiendo el enfoque PDCA (Plan-Do-Check-Act). BSI pone a disposición otras publicaciones relacionadas con la integración de sistemas. 9. BS Cada vez resulta más importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organización en caso de cualquier tipo de interrupción.

11 BSI (British Standards Institution) publicó en 2006 BS , que es un código de buenas prácticas dedicado a la gestión de la continuidad de negocio. Con origen en PAS 56:2003, BS establece el proceso por el cual una organización puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prácticas de BCM (Business Continuity Management). Está pensada para su uso por cualquier organización grande, mediana o pequeña, tanto del sector público como privado. En 2007, fue publicada BS , que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de negocio documentado en el contexto de la gestión global de riesgos de una organización. En base a esta norma pueden ser certificados los sistemas de gestión de continuidad de negocio. 10. BS BSI (British Standards Institution) publicó en 2006 un documento llamado PAS 77 (PAS = Publicly Available Specification), que es un código de buenas prácticas que establece un marco y da unas directrices generales para crear un plan de continuidad de servicios de tecnologías de la información. Desarrollado por BSI en conjunto con Adam Continuity, Dell Corporation, Unisys y SunGard, está orientado para organizaciones de todo tipo. 11 BSI tiene el objetivo de desarrollar este documento PAS como un estándar llamado BS a lo largo de 2008 y Está previsto que en otoño de 2008 se publique BS , que será un código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización. A finales de 2009, se publicará la segunda parte, BS , que especificará los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI. En base a esta segunda parte, podrán ser auditados y certificados los sistemas de gestión de las organizaciones por entidades de certificación. 11. COSO-Enterprise Risk Management / SOX El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control.

12 COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA). El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94). Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo. 12 Las cuatro categorías de objetivos (estrategia, operaciones, información y conformidad) están representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las unidades de la entidad, por la tercera dimensión del cubo. Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora. Información adicional en el informe ejecutivo y marco general de la norma. COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI. COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. No se trata de un marco o estándar específico de seguridad de la información pero, por el impacto que está teniendo en muchas empresas y por sus

13 implicaciones indirectas en la seguridad de la información, conviene mencionarlo en esta sección. La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel país. Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de un informe de la empresa. Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. El marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión del riesgo empresarial de COSO. Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno de los marcos que más se utilizan para implantar el sistema en esta área es CobiT. Más específicamente, ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT. 13