TITULO: NORMAS DE SEGURIDAD DE LAS TECNOLOGIAS PARA LA GESTION DEL CONOCIMIENTO SERIE DE NORMAS ISO-IEC

Transcripción

1 VIII Seminario Iberoamericano de Seguridad de las Tecnologías de Información y Comunicaciones TITULO: NORMAS DE SEGURIDAD DE LAS TECNOLOGIAS PARA LA GESTION DEL CONOCIMIENTO SERIE DE NORMAS ISO-IEC Autor: Ing. Gerardo Gómez Parets. gerardo@osri.gov.cu Entidad: Oficina de Seguridad para las Redes Informáticas Organismo: MIC

2 RESUMEN Se presenta un resumen de las normas que por su contenido han tenido mayor impacto y utilización en la gestión de la seguridad de las tecnologías de la información y que por tanto han contribuido a elevar la seguridad informática de las instituciones que cada día son más dependientes de estas tecnologías. Se presenta la estructura de la norma ISO-IEC Buenas practicas en el uso de las tecnologías de la información y como aplicarla en el Diseño de Sistemas de Gestión de la Seguridad de la Información y la elaboración de los Reglamentos de la especialidad. Como núcleo de este trabajo se presenta la serie de normas ISO-IEC la cual tiene una estructura similar a la ISO-9000 (Gestión de la Calidad) y la ISO (Gestión Ambiental) que permitirá en lo adelante la certificación de la Seguridad de las Tecnologías de la Información. Por último se presenta la norma ISO y una experiencia de cómo aplicarla en las diferentes instancias de dirección y en las empresas que se han organizado según un enfoque por procesos. 2

3 INTRODUCCION. DENOMINACION DE LA ESPECIALIDAD EN LAS NORMAS DE SEGURIDAD INFORMATICA. Con el desarrollo de las tecnologías, la especialidad ha venido apareciendo en las Normas Técnicas con diferentes denominaciones, fundamentalmente con el proceso de convergencia de la Informática y las Telecomunicaciones. Seguridad Informática. (SI) Seguridad de las Infocomunicaciones. Seguridad de Redes. (SR) Seguridad Telemática.(ST) Seguridad de las TICs. (STICs) Seguridad de la Información. (SI) Seguridad de las tecnologías para la Gestión del Conocimiento. (STGC) En la actualidad apreciamos que el término mas generalizado para hacer referencia a las normas técnicas es el de Seguridad de la Información, infiriendo que con esta denominación, se incluye Informática (Hardware y Software), Soportes de Telecomunicaciones, las distintas aplicaciones y la información que se procesa almacena y transmite. ORGANIZACIONES INTERNACIONALES QUE ELABORAN NORMAS TECNICAS DE SEGURIDAD PARA LAS TECNOLOGIAS DE LA INFORMACION. ISO (International Standardization Organization). ITU (International Telecommunication Union). CCITT (Consultative Committe International Telephony and Telegraphy). IEC (International Engineering Consortium). CSASCC (Canadian Standards Association and Standards Council of Canada). DoD (Defense Departament). IETF (Internet Engineering Task Force) RSA V & M (Visa and MasterCard Internacional. 3

4 ORGANIZACIONES NACIONALES QUE ELABORAN NORMAS TECNICAS DE SEGURIDAD PARA LAS TECNOLOGIAS DE LA INFORMACION. AENOR (Asociación Española de Normalización y Certificación). IRAM (Instituto Argentino de Normalización y Certificación). INN (Instituto Nacional de Normalización) Chile. ONN (Oficina Nacional de Normalización) Cuba. ESTRUCTURAS DE NORMALIZACION. Generalmente las organizaciones dedicadas a la elaboración de normas técnicas se estructuran mediante Comités Técnicos de Normalización (CTN) por temáticas, los cuales se dividen en tantos subcomités como sean necesarios y estos a su ves pueden crean grupos de trabajo. Solo los CTN aprueban normas. COMITÉ TECNICO DE LA ISO. ISO CTN 1 TECNOLOGIAS DE LA INFORMACION JTC #1 SCTN # 27 SEGURIDAD DE LAS TECNOLOGIAS DE LA IN FORMACION. COMITE TECNICO DE LA ONN (Cuba) CTN #18 TECNOLOGIAS DE LA INFORMACION. Lo gestiona el Ministerio de Informática y Comunicaciones. Específicamente la Dirección de Regulaciones y Normas. Su estructura es PRESIDENTE, VICEPRESIDENTE y SECRETARIO Hasta la fecha tiene creado 4 Subcomités SCTN # 3 SEGURIDAD DE LAS TECNOLOGIAS DE LA INFORMACION. Lo gestiona la OSRI La estructura es PRESIDENTE, VICEPRESIDENTE Y SECRETARIA y en la actualidad lo conforman 14 especialistas en representación de siete Organismos de la Administración Central del Estado (OACE). 4

5 ALGUNAS NORMAS RELEVANTES EN LA ESPECIALIDAD DE SEGURIDAD DE LA INFORMACION. Normas de arquitecturas de seguridad ISO 7498 (Modelo Básico de referencia para los Sistemas de Información Abiertos). Modelo de 7 capas. ISO (Arquitectura de Seguridad). Servicios de Seguridad, Mecanismos de Seguridad, Relaciones de Seguridad entre capas y Gestión de la Seguridad. Normas de encriptación y dato. ANSI X3.92 (Algoritmo de encriptación simétrico DES). ANSI X3.106 (Modos de operación DES). ANSI X9.23 (Sector Financiero) Normas de gestión de llaves. ANSI X9.17 (Métodos de generación, distribución, almacenaje y destrucción de llaves secretas) ANSI X9.24 (Como la anterior pero para el sector financiero). Normas de firmas digitales. Firma Digital RSA (CCITT X.509 v.3) Firma Digital RSA (ANSI X9.31 ) Hash. Firma Digital RSA (ISO 9796) PKS Firma Digital DDS (NIST FIPS 186) DSA Normas de Directorio y Certificación CCITT X.500 (ISO-9594-x) CCITT X.509 (ISO ) Autenticación. CCITT X.511 (ISO ) Servicios. CCITT X.518 (ISO ) Modelos. CCITT X.519 (ISO ) Protocolos. CCITT X.520 (ISO ) Atributos. CCITT X.525 (ISO ) Replicados 5

6 Norma de Correo Electrónico. CCITT X.400. (Sistema de manipulación de mensajes). CCITT X.411. (Sistema de transferencia de mensajes MTS). CCITT X.420. ( Seguridad de los mensajes) (Cuerpo del mensaje cifrado) 6

7 DESARROLLO. SERIE DE NORMAS ISO La serie de normas ISO ha sido específicamente reservada por la ISO para materia de Seguridad de la Información. Esto está en línea con otras temáticas que incluye ISO 9000 (Gestión de la Calidad) e ISO (Gestión Ambiental). ISO La norma ISO fue publicada en octubre del 2005 y esencialmente reemplaza a la vieja norma BS (Norma Británica). La misma establece las especificaciones para un Sistema de Gestión de la Seguridad de la Información (Sistema de Gestión de Seguridad de la Información. SGSI) (Information Security Management System. ISMS). La BS7799 primeramente fue publicada en la década de los 90 como un código de prácticas. Luego salio una segunda parte de forma emergente para cubrir los sistemas de gestión. Esta parte es la que permite la certificación y existen miles de certificados alrededor del mundo. ISO cubre el contenido de la BS y armoniza con otras normas. Se ha introducido un esquema por varias entidades de certificación para convertir la certificación BS7799 en certificación ISO ISO SEGURIDAD DE LA INFORMACION. (Information Security Standard) Esta norma es el número asignado para la norma existente ISO La futura norma ISO (Actualmente ISO 17799) es en si misma un código de buenas prácticas para la seguridad de la información. Ésta básicamente establece cientos de controles potenciales y mecanismos de control los cuales pueden ser implementados y posteriormente chequeados por la norma ISO

8 Este contenido fue originalmente un documento publicado por el gobierno del Reino Unido y en el año 1995 se convirtió en una norma cuando la BSI la publicó como la BS7799. En el año 2000 fue de nuevo republicada como BS También en este año la publico la ISO. IS GUIA DE IMPLEMENTACION DE SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION. (ISMS Information Security Management Systems Implementation Guidelines) Se ha dicho que puede contener términos y definiciones sobre la seguridad de la información. Es una guía para la implantación del ISMS. Es la norma que trabaja fuertemente el SC27 del JTC1. Debe resolver problemáticas como las responsabilidades de la gestión, las regulaciones gubernamentales, la gestión de la disponibilidad, el control de acceso y el análisis de riesgo. ISO METRICA Y MEDICION DE LA SEGURIDAD DE LA INFORMACION. (Information Security Measurements and Metrics). La ISO se espera que sea el nombre de la norma que cubrirá lo relativo a la métrica y la medición de la gestión de la seguridad de la información. El proyecto pretende crear una norma para la medida de la efectividad de la implementación de la seguridad de la información. Por la complejidad del tema no se espera su publicación inmediata y debe dar respuesta a preguntas tales como: - Que medir? - Como medir? - Cuando medir? 8

9 ISO GESTION DE RIEGO DE LOS ISMG. (ISMS Risk Management). La ISO será el nombre de una norma que cubrirá lo relativo a la gestión de riego de la seguridad de la información. Esta norma debe armonizar con la BS (Publicada en marzo del año 2006 y con la MICTS-2 (Actual ISO ). Tampoco tiene fecha de publicación y puede estar saliendo para finales del año 2007 o principio del ISO SERVICIOS DE RECUPERACION DE DESASTRES Y CONTINUIDAD DE NEGOCIOS. (ISMS Business Continuity & Disaster Recovery Services). El trabajo ha comenzado como una nueva norma denominada Guía de Servicios para la Recuperación de Desastres de las Tecnologías de la Información y las Comunicaciones y se espera que forme la ISO El alcance publicado por ISO es: Esta norma especifica una guía para los servicios de recuperación de desastres de las tecnologías de la información y las comunicaciones (ICT DR) esta enfocada a las facilidades de recuperación de desastres (DR) y la capacidad de servicios. Esta destinada a proporcionar soportes y regreso total de los sistemas de información y comunicaciones de las organizaciones. Se tomará toda la experiencia de las siguientes normas: - SS507 Singapore Standards for Business Continuity/Disaster Recovery (BC/DR) Service Providers. - NFPA 1600 Standard on Disaster/Emergency Management and Business Continuity - ISO ISO Se espera que esta norma se publique para el año

10 TABLA DE CONTENIDO DEL LA NORMA ISO-IEC 17799: 2005 (Será en breve la ISO-IEC 27002) 0 Introducción. 1 Alcance 2 Términos y definiciones 3 Estructura de la norma. 4 Tratamiento del riesgo. 5 Políticas de Seguridad de la Información. 6 Gestión. 7 Gestión de activos. 8 Seguridad de los recursos humanos 9 Seguridad física y ambiental. 10 Gestión de las comunicaciones y operaciones 11 Control de acceso 12 Aseguramiento, desarrollo y mantenimiento de los Sistemas de Información 13 Gestión de Incidentes de Seguridad de la Información 14 Gestión de la continuidad de negocios 15 Cumplimiento ESTRUCTURA DE LA NORMA ISO-IEC Introducción 0.1 General 0.2 Enfoque de proceso 0.3 Compatibilidad con otros sistema de gestión 10

11 1 Alcance 1.1 General 1.2 Aplicación 2 Referencias normativas 3 Términos y definiciones 4 Sistema de Gestión de Seguridad de la Informción 4.1 Requerimientos generales 4.2 Estableciemiento y gestión del ISMS Establecimiento del ISMS Monitoreo y revisión del ISMS Mantenimiento y mejora del ISMS 4.3 Requerimiento de documentación General Control de documentos Control de registros 5 Responsabilidad de gestión 5.1 Comité de gestión 5.2Gestión de recursos Suministros de recursos Entrenamientos, competencias y concientización 6 Auditorias internas al ISM 7 Revisión de la gestión del ISMS 7.1 General 7.2 Revisión de entrada 7.3 Revisión de salida 8 Mejoramiento del ISMS 8.1 Mejoramiento continuo 8.2 Acción correctiva 8.3 Acción preventiva Anexo A (normativo) Controles y objetivos del control Anexo B (informativo) Principios de OECD y Normas Internacionales Anexo C (informativo) Correspondencias entre las normas técnicas internacionales ISO 9001, 2000 ISO

12 ALGUNAS EXPERIENCIA EN LA APLICACIÓN DE LAS NORMAS TECNICAS DE LA FAMILIA ISO-IEC ELABORACION DEL SUBPROCESO GESTION DE LA SEGURIDAD INFORMATICA DENTRO DEL PROCESO SEGURIDAD. En el Anexo 1 se muestra el resultado de la elaboración del Subproceso Seguridad Informática dentro del Proceso Seguridad para una entidad a nivel central. En el mismo se define la misión, alcance, cliente, ofertas de servicio así como las entradas y salidas del subproceso Gestión de la Seguridad Informática. También se muestrea el mapa del subproceso y las 10 funciones definidas para el mismo. Por último se proponen las variables e indicadores fundamentales para medir el subproceso y el mapa de riesgo. ELABORACION DE LA DENOMINACION DEL CARGO DE ESPECIALISTA DE SEGURIDAD INFORMATICA. A continuación se muestra el resultado de la elaboración de la denominación del cargo del especialista de Seguridad Informática de acuerdo con los requerimientos de la Norma ISO-IEC 27000, para organizaciones tales como los OACE, pero es perfectamente ajustable para otras entidades.. DENOMINACIÓN DEL CARGO: ESPECIALISTA DE SEGURIDAD INFORMÁTICA Áreas a las que pertenece: Supervisores: Dirección General de Seguridad Coordinador de Seguridad Tipo de Cargo: de Confianza Grado: 99 Misión: Garantizar la seguridad de todo el sistema informático, minimizando la vulnerabilidad del mismo y detectando tanto riesgos como violaciones, de manera que se logre un servicio de prevención y seguridad informática seguro, transparente, confiable, con estricto apego a la ley, salvaguardando la seguridad y soberanía de la Nación. Competencias del cargo Dimensiones 12

13 1. Orientado a manifestarse con vocación al servicio público de forma integral. 2. Orientado a gestionar, operar y controlar la seguridad de los sistemas informáticos de forma eficaz. 3. Toma decisiones con eficacia y rapidez basadas en principios éticos, con apego a la ley y a las regulaciones internas de la organización. 4. Facilidad para determinar vulnerabilidades en los sistemas informáticos y de telecomunicaciones 5. Dominio de los procedimientos propios de su actividad laboral Es consecuente con los procedimientos y normas establecidas en su actividad laboral. Realiza su trabajo de forma transparente y con el más estricto apego a la ley. Decencia y honradez en la vida doméstica y en la convivencia social. Ejecuta la actividad responsablemente y se esfuerza por realizar un trabajo con alta profesionalidad. Es consecuente con los procedimientos y normas establecidos en la actividad de seguridad informática. Supervisa constante y eficazmente la seguridad de los sistemas informáticos, previniendo y detectando violaciones del mismo. Se comporta con decencia y honradez en su labor, vida doméstica y en la convivencia social. Responde activamente y con efectividad ante la presencia de hechos delictivos o que atenten contra la seguridad de los sistemas informáticos. Se rige por regulaciones, leyes y medidas establecidas en los procedimientos de seguridad. Domina perfectamente las características el sistema de seguridad informática y la documentación correspondiente. Observa y analiza detenidamente las diferentes trazas generadas por el sistema. Utiliza con destreza el sistema automatizado instalado en función de hacer un chequeo sistemático de las medidas de seguridad informática establecidas. Conoce como realizar de forma eficaz las actividades relacionadas con la seguridad informática. Conoce y se orienta fácilmente en el funcionamiento de la organización, tanto hacia lo interno como con otras organizaciones. 13

14 6. Orientado a la actualización sobre las nuevas tecnologías de seguridad informática así como su transmisión hacia los directivos, especialistas y usuarios especiales. 7. Facilidad para determinar anormalidades que conduzcan a una violación. 8. Tener un temperamento ecuánime y sereno para poder analizar y tomar decisiones acertadas en situaciones de emergencias o críticas. 9. Dominio de las relaciones interpersonales, evidenciando fluidez y precisión al comunicarse con los usuarios del sistema. 10. Orientación a la formación continua. Consulta las nuevas vulnerabilidades que se publican en cuanto a sistemas operativos y aplicaciones. Distingue el modo de aplicación de acuerdo a las características del sistema informático instalado. Ejecuta el control responsablemente y con confiabilidad. Percibe con facilidad la ocurrencia de sucesos sospechosos y acciones que conlleven a un delito mediante el uso de los sistemas informáticos. Conoce y utiliza con destreza los mecanismos para detectar infracciones o violaciones en el sistema mediante la verificación exhaustiva de las posibles acciones de funcionarios en el sistema. Se comporta con serenidad ante situaciones de emergencia ante posibles ataques al sistema. Maneja las situaciones con ecuanimidad y sentido común, en búsqueda de solucionar el problema de la forma más rápida y técnicamente posible. Domina las herramientas psicológicas para el tratamiento de incidentes donde estén involucradas trabajadores de la organización. Atiende y tiene una escucha activa con los usuarios del sistema informático, ocupándose de la solución de los problemas que se les presente. Encuentra el mejor modo de orientar y obrar según la situación, siendo tolerante ante la incomprensión de los usuarios del sistema. Comunica clara y coherentemente la información que le trasmite a los usuarios del sistema informático. Contribuye a su formación constantemente, adquiriendo nuevos conocimientos y aplicando los mismos en el desempeño de su trabajo. 14

15 Comparte los conocimientos adquiridos con los homólogos de su especialidad. Funciones 1. Revisar diariamente las trazas de la información, con un alto grado de confidencialidad debido la naturaleza misma de sus funciones. 2. Chequear y actualizar los registros de incidencias informáticas. 3. Chequear los LOG de Autenticación, con un alto grado de confidencialidad debido la naturaleza misma de sus funciones. 4. Controlar los Sistemas de Autenticación con un alto grado de confidencialidad debido la naturaleza misma de sus funciones. 5. Revisar el registro de cuentas de usuarios, con un alto grado de confidencialidad debido la naturaleza misma de sus funciones. 6. Participar en la respuesta de los incidentes computacionales. 7. Modelar los Sistemas de Seguridad Informática, con un alto grado de confidencialidad debido la naturaleza misma de sus funciones. 8. Mantener actualizados diariamente a sus superiores de las incidencias ocurridas. 9. Trabajar periódicamente en la revisión y rediseño de los planes de Seguridad Informática. 10. Realizar auditorias periódicas (planificadas, reguladas y sorpresivas). 11. Chequear periódicamente la configuración de la Red Informática, con un alto grado de confidencialidad debido la naturaleza misma de sus funciones. 12. Controlar que se realicen las salvas periódicas de la información, con un alto grado de confidencialidad debido la naturaleza misma de sus funciones. 13. Chequear la instalación de las actualizaciones (parches) de seguridad, con un alto grado de confidencialidad debido la naturaleza misma de sus funciones. 14. Manejar información confidencial que puede afectar la seguridad. Requisitos o exigencias del cargo Formación mínima necesaria Universitario. Graduado en una Universidad reconocida en una carrera afín al campo donde va a prestar su servicio, preferiblemente con Sistemas y Tecnologías de Información. Experiencia Profesional mínima Tener más de 4 años de experiencia en la actividad. 15

16 Conocimientos específicos Normas y procedimientos de seguridad x informática. Detección de vulnerabilidades a los x sistemas informáticos. Instalación y operación de herramientas de x seguridad informática Manejo de sistemas informáticos x Idioma Inglés (Fundamentalmente Técnico) x 1. Elementales 2. Medios 3. Superiores Responsabilidades Sobre el trabajo a) Efectiva Gestión de la Seguridad Informática. b) Mantener una actitud correcta ante manifestaciones de soborno, corrupción y delito. c) Conocer el régimen de sanciones civiles penales y administrativas por incumplimiento en el ejercicio de sus funciones. d) Cumplir con los deberes inherentes al cargo de acuerdo a las leyes vigentes. Sobre los equipos y medios - Uso, supervisión, resguardo y mantenimiento de los equipos necesarios, tales como computadoras, MODEM, impresoras y la documentación de seguridad bajo su custodia. Sobre la calidad del servicio - Brindar un servicio de gestión de la seguridad informática efectivo con el fin de mantener la confidencialidad, integridad y disponibilidad de la información. Sobre la relación con los usuarios: - Mantener una relación cordial con los usuarios basada en el respeto y ayuda en los problemas relacionados con el área, denotando cooperatividad. - Demostrar una adecuada relación interpersonal, a través de la fluidez y facilidad de comunicarse. Sobre la eficiencia Se ocupa por: 1. Cantidad de incidentes resueltos satisfactoriamente. 2. Reducción del tiempo fuera de servicio del sistema. Condiciones de trabajo 16

17 Esfuerzo físico No procede Normal Medio Alto Permanece trabajando jornadas laborales de 8 horas. Esfuerzo mental No procede Normal Medio Alto Tiene la necesidad de tomar decisiones con alta eficacia, controlar y supervisar por la seguridad de los sistemas informáticos implantados. Condiciones horarias Horario de trabajo: 8 horas de trabajo Horario de descanso: 1 hora de almuerzo Medios que necesita para su trabajo - Computadora. - Impresora - Internet - Medios de Comunicación Expectativas del comportamiento Cultura organizacional Su comportamiento debe estar de acuerdo con todas las normas de disciplina, y con el Código de Ética. Debe ser consecuente con el cuerpo legal nacional e internacional vigente en su especialidad. Debe ser percibido como una autoridad en materia de seguridad informática por los trabajadores de la organización, proyectándose con alta profesionalidad y ética. Clima organizacional Valores que debe tener presentes: - Confiabilidad - Lealtad institucional - Honestidad - Profesionalidad - Responsabilidad - Altruismo 17

18 ELABORACION DE LA GUIA PARA LA REALIZACION DE AUDITORIAS A LA SEGURIDAD DE LA INFORMACION. Utilizando el Anexo A (Objetivos del Control y Controles) de la norma ISO se elaboró una guía de chequeo que permiten auditar la Seguridad de la Información en una entidad. Esta lista debe ser ajustada a las características específicas de la organización, su estructura y su objeto social. ELABORACION DE UN REGLAMENTO DE SEGURIDAD DE LA INFORMACION. Utilizando la norma ISO-IEC del 2000 se elaboró un Reglamento de Seguridad Informática, el cual se encuentra en proceso de circulación. Esta previsto que sustituya el reglamento actual de la Resolución 6 del Ministro del Interior. 18

19 CONCLUSIONES Y RECOMENDACIONES. CONCLUSIONES. En este trabajo hemos presentado un panorama general sobre las diferentes Normas Técnicas en cuanto a la Seguridad de las Tecnologías de la Información. Hemos expuesto que existe una gran dispersión de normas que dificulta su estudio y aplicación. La Familia de normas técnicas ISO-IEC constituye una herramienta muy efectiva para la Gestión de la Seguridad de la Información. Tomando como referencia esta serie de normas es posible realizar las siguientes actividades: -Definir las Políticas de Seguridad Informática -Realización del Análisis de Riesgo (Identificación de Amenazas y Evaluación de Riesgo. -Diseño de un Sistema de Gestión para la Seguridad de la Información -Elaborar un plan de Seguridad de Informática - Elaborar una Lista de Verificaciones de medidas de Seguridad de las Tecnologías de la Información. -Elaborar la función, misión, visión y objeto social de la Especialidad -Ubicar la especialidad de Seguridad de las Tecnologías de la Información dentro del enfoque orientado a proceso. -Armonizar la Seguridad de las Tecnologías de la Información con la Gestión de la Calidad y la Gestión Ambiental. -Elaborar las variables e indicadores requeridos para medir la Gestión de la Seguridad Informática RECOMENDACIONES. Divulgar la Familia de Normas ISO-IEC como un Sistema de Normas coherentes que permiten de forma efectiva la Gestión de la Seguridad de las Tecnologías de la Información. Enfatizar que la Familia de Normas ISO- IEC están desarrolladas para que armonicen con las Familias ISO (Gestión de la Calidad) e ISO (Gestión Ambiental). Proponer al Comité Técnico de Normalización No. 18 que adopte la ISO-IEC como Norma Cubana. Estudiar de forma sistemática los anteproyectos de las norma ISO-IEC a Trabajar en la elaboración de la métrica y medición de los parámetros que permitan tener indicadores para la Certificaciones de la Seguridad de la Información. 19

20 REFERENCIAS Networking Security and Standards by Weidong Kou. ISO-IEC 17799:2005 ISO-IEC 27001:2005 SITIOS WEB