SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

Transcripción

1 SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel

2 Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista en Seguridad informática y Docencia Universitaria de la Universidad Piloto de Colombia; Certified Pen Test Engineer (CPTE), Auditor ISO 27001, se ha desempeñado como ingeniera de soporte plataforma Linux desde hace varios años, ha sido oficial de seguridad de la información, catedrática Universidades Piloto, Libertadores, ECCI, en la actualidad se desempeña como consultora en seguridad de la información a través de su empresa: (), miembro de la asociación colombiana de ingenieros de sistemas (ACIS).

3 Índice de contenido Prólogo...3 CAPITULO Seguridad de la información vs seguridad informática...4 CAPITULO Sistema de Gestión de seguridad de la información basado en ISO Capitulo Análisis de riesgos...6 Capítulo Implementación del SGSI...7 Capitulo Código de Buenas prácticas en Seguridad de la Información...8 Conclusiones...11 Referencias...12

4 Prólogo Durante los últimos 4 años en que estoy dedicada al tema de auditoría y consultoría en seguridad de la información, he conocido una problemática a la cual se enfrentan las empresas que tiene que ver con los controles que usan para proteger la información, siendo ésta un activo que requiere una protección adecuada en cuanto a su nivel de criticidad para la empresa. Las organizaciones frente a este tema muchas veces reaccionan cuando ocurre un incidente llámese incidente a un evento no deseado o esperado (Inundación, terremoto, vandalismo, pérdida de información, etc), al presentarse un incidente entonces se establece un control, esto no necesariamente debería ser así, puesto que el personal encargado solo tendría que encargarse de administrar controles y reaccionar ante situaciones de amenazas; lo cual está lejos de un plan de seguridad que mitigue los riesgos; siendo ésta la la razón que me motiva a escribir este libro es poder forjar una cultura en torno a la seguridad de la información adoptando buenas prácticas en tecnologías de información y protegiéndola mediante controles adecuados que permitan mitigar los riesgos. El capítulos siguientes el lector conocerá la importancia de proteger el activo más importante para la organización como es la información, que medidas de buenas practicas deberá tener en cuenta y como hacer que el sistema de gestión de seguridad de la información funcione.

5 CAPITULO 1 Seguridad de la información vs seguridad informática. Muchos confunden estos términos porque los asocian de la misma manera, hay que hacer una diferencia y es que la información no siempre está en medios tecnológicos (PC, Tablet, Smpartphone servidores, Discos Virtuales, Cloud..) también se encuentra en forma oral y escrita (tableros, conversaciones, documentos físicos, etc); mientras que la seguridad informática protege la información que está en medios tecnológicos como los mencionados, la seguridad de la información abarca un campo más amplio, por esta razón se requiere diseñar e implementar un modelo de gestión de seguridad que le permita a las organizaciones trabajar con un plan que pueda ponerlo en marcha no solo en situaciones de amenazas sino en el desempeño normal de la organización. CAPITULO 2. Sistema de Gestión de seguridad de la información basado en ISO Para abordar el tema de seguridad de la información nos remitiremos al estándar ISO 27001:2005, que define el Sistema de Gestión de Seguridad de la información (SGSI de aquí en adelante) como la parte del sistema de gestión global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información Para que sirve tener un SGSI? Según ISO la seguridad de la información consiste en la preservación de su CONFIDENCIALIDAD, INTEGRIDAD Y DISPOIBILIDAD, así como de los sistemas implicados en su tratamiento dentro de una organización. Confidencialidad (C): la información NO se pone a disposición NI se revela a individuos, entidades o procesos no autorizados. Integridad (I): mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

6 Disponibilidad (D): acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Cómo se debe proteger la información? Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D: Fuente: iso27001.es Crear Guardar Utilizar Compartir Archivar Destruir Durante el ciclo de vida de la información se debe establecer una clasificación para la información (Altamente Confidencial, Confidencial, Interna, Privada, Pública) y de acuerdo a estos criterios se establece el cómo debe ser protegida. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Qué incluye un SGSI.

7 Capitulo 3. Análisis de riesgos Para abordar el tema de seguridad de la información lo primero que se establece es conocer los ACTIVOS de información que tengan impacto en el negocio, para ello se requiere hacer un Análisis de riesgos y decidir cuales van a ser los controles para minimizar las posibilidades de amenazas El tratamiento que se le dará a los riesgos obedecerá a si la organización decide asumirlos, minimizarlos, transferirlos o controlarlos mediante un sistema definido, documentado y conocido por todos, que se revisa y mejora constantemente Las organizaciones en este punto deben establecer una metodología para el análisis de riesgos que les permita evaluar de manera constante y continua los cambios que se realizan al interior de la empresa como por ejemplo: cambio de personal, cambios de tecnologías, negociaciones con proveedores, etc; son aspectos que toda empresa debe tener en cuenta para la formulación y evaluación de riesgos. Existen varias metodologías para llevar a cabo este proceso: OCTAVE, MAGERIT, CRAMM, entre otras y también la organización puede diseñar su propia metodología adaptada a sus necesidades. El Enfoque de evaluación de riesgos: se encarga de la descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.

8 Capítulo 4. Implementación del SGSI Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad. En la fase de PLANEACION: se define el Alcance, los requisitos de la documentación, la norma en muy explícita en este punto y detalla la documentación que se debe incluir en el SGSI. En la fase de IMPLEMENTACION: Una vez conocidos los riesgos se sigue con plan de tratamiento de esos riesgos y la implementación de los controles apropiados, al igual que definir el responsable de la operación del SGSI. En la fase de VERIFICACION: Se realiza el plan de auditorías que verifican el cumplimento de los objetivos y si los controles son efectivos y eficaces.

9 Por último se realizan MEJORAS, las auditorías arrojan acciones CORRECTIVAS y/o PREVENTIVAS que se deben ejecutar y el ciclo continua de una manera permanente en constante mejora continua por tiempo indefinido. El éxito de un SGSI está dado por el compromiso de la ALTA GERENCIA y los recursos que ASIGNE al proyecto para poderlo OPERAR y MANTENER al igual que el establecimiento de los roles y responsabilidades para la SEGURIDAD DE LA INFORMACION, formación del personal y la revisión por parte de la gerencia. Capitulo 5. Código de Buenas prácticas en Seguridad de la Información El código de buenas prácticas está establecido en el estańdar ISO 27002, la norma establece 11 dominios. a) Política general de seguridad: La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar la política a todos los empleados y las partes externas relevantes. Su objetivo principal radica: Proporcionar la guía y apoyo de la Dirección para la seguridad de la información en relación a los requisitos del negocio y a las leyes y regulaciones relevan b) Organización de la Seguridad de la Información: Su objetivo es Gestionar la seguridad de la información dentro de la Organización. Es importante establece el Comité de Seguridad de la Información, Los acuerdos de confidencialidad entre las distintas partes (Clientes, Proveedores). c) Gestión de activos: Alcanzar y mantener una protección adecuada de los activos de la Organización, todos los activos deberían ser justificados y tener asignado un propietario, se requiere el inventario de activos de información, los responsables de esos activos al igual que el nivel de aceptación de esos activos; es importante mantener una clasificación adecuada que facilite su gestión. d) Seguridad Ligada a los RRHH: Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios. Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral mediante la descripción adecuada del trabajo y los términos y condiciones del empleo. Es importante tener en cuenta la seguridad en la definición del trabajo y los recursos; seguridad

10 en el desempeño del empleo; Finalización o cambio o puesto de trabajo. e) Seguridad Física y del Entorno: Evitar el acceso físico no autorizado, daños o intromisiones en las instalaciones y a la información de la organización. Los servicios de procesamiento de información sensible deberían ubicarse en áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de entrada adecuados. Estas áreas deberían estar protegidas físicamente contra accesos no autorizados, daños e interferencias. f) Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información. Se deberían establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos para el tratamiento de la información. g) Control de accesos: Controlar los accesos a la información. Se deberían controlar los accesos a la información, los recursos de tratamiento de la información y los procesos de negocio en base a las necesidades de seguridad y de negocio de la Organización. h) Adquisición, desarrollo y mantenimiento de sistemas de información: Garantizar que la seguridad es parte integral de los sistemas de información. Dentro de los sistemas de información se incluyen los sistemas operativos, infraestructuras, aplicaciones de negocio, aplicaciones estándar o de uso generalizado, servicios y aplicaciones desarrolladas por los usuarios. i) Gestión de incidentes de seguridad: Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de información se comuniquen de modo que se puedan realizar acciones correctivas oportunas. Debería establecerse el informe formal de los eventos y de los procedimientos de escalado. j) Gestión de la continuidad del negocio: Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a desastres o grandes fallos de los sistemas de información. Se debería implantar un proceso de gestión de continuidad del negocio para reducir, a niveles aceptables, la interrupción causada por los desastres y fallos de seguridad (que, por ejemplo, puedan resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una combinación de controles preventivos y de recuperación. k) Conformidad: Evitar incumplimientos de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requisito de seguridad. El diseño, operación, uso y gestión de los sistemas de información pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales.

11 l) Cloud Computing: Controlar la gestión y protección de la información y del mantenimiento de los requisitos de seguridad de los servicios en la nube. l diseño, operación, uso y gestión de los servicios en la nube pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales.

12 Conclusiones La importancia de implementar un SGSI en una organización traerá como beneficios mitigación de riesgos, ventaja competitiva, credibilidad ante los clientes, orden al interior de la organización. Conocer y clasificar los activos de información es una actividad crucial para hacer un análisis de riesgos y emprender acciones en su tratamiento. El código de buenas prácticas establecido en la norma ISO es un punto de partida en cuanto a los requisitos que debe tener una organización para establecer el SGSI. Sin el apoyo y compromiso de la alta dirección es imposible lograr el éxito en la operación y mantenimiento del SGSI.

13 Referencias ALEXANDER, Alberto. Diseño de un sistema de gestión de seguridad de la información. Optica ISO 27001:2005 Tecno Outsourcing S.A.S es una empresa especializada en auditoría y consultoría en seguridad de la información, asesoramos empresas para elegir la mejor estrategia para el diseño e implementación del Plan de seguridad, contamos con aliados estratégicos de negocios para brindarle las mejores soluciones. VISITANOS EN: