La norma BS 7799 / ISO 17799 Para un mejor acercamiento a la seguridad de la información Documento de presentación Jacquelin Bisson, CISSP Analista en seguridad de la información, Callio Technologies René Saint-Germain, Presidente, Callio Technologies Resumen ejecutivo Para poner en ejecución las buenas prácticas de gestión en seguridad de la información, la mejor referencia es BS 7799 / ISO 17799, una norma reconocida internacionalmente en el dominio y muy utilizada para la redacción de las políticas de seguridad. La norma BS 7799 / ISO 17799 es redactada y publicada en dos partes: 1) ISO / CEI 17799 Parte 1 Código de buenas prácticas relativas a la gestión de la seguridad de la información. Es una guía que contiene consejos y recomendaciones que permite asegurar la seguridad de la información de la empresa dentro de los diez dominios de aplicación. 2) BS 7799 Parte 2 Las especificaciones relativas a la gestión de la seguridad de la información proponen recomendaciones con el fin de establecer un marco eficaz de gestión de la seguridad de la información. En el momento de una auditoría, es el documento que sirve de guía de evaluación para la certificación. Callio Secura 17799 reúne metodología, cuestionarios, guía e informaciones y herramientas necesarias para crear la infraestructura requerida para un sistema de gestión de la seguridad de la información y para acelerar su implantación. En este documento vamos a describir la implantación de la norma a nivel mundial y su adecuación al mercado hispanohablante, con referencias a la nueva certificación española UNE 71502:2004, basada en las normas internacionales ISO/IEC 17799.
Perfil de la compañía Creada en el año 2001, Callio Technologies, se especializa en el dominio de la seguridad informática. Su primer producto, Callio Secura 17799, es un software que ofrece a las empresas la posibilidad de conformarse a la norma BS 7799 / ISO 17799 concerniente a la gestión de la seguridad de las tecnologías de la información. El campo de experiencia de Callio Technologies abarca el análisis de riesgos, la instalación de códigos de buenas prácticas en seguridad y de sistemas de gestión de la seguridad de la información, la redacción de políticas de seguridad basadas en BS 7799 / ISO 17799, las auditorías de seguridad, los planes de contingencia y la formación en gestión del riesgo informático. Nuestra misión es ofrecer a las empresas herramientas de análisis, de ayuda a las decisiones como así también de aplicaciones con el fin de que les permita evaluar, administrar y disminuir sus riesgos informáticos. i
Resumen ejecutivo La información es vital y constituye un activo importante para toda empresa. Para poner en ejecución las buenas prácticas de gestión en seguridad de la información, la mejor referencia es BS 7799 / ISO 17799, una norma reconocida internacionalmente en el dominio y muy utilizada para la redacción de las políticas de seguridad. La norma BS 7799 / ISO 17799 es redactada y publicada en dos partes: 1) ISO / CEI 17799 Parte 1 Código de buenas prácticas relativas a la gestión de la seguridad de la información. Es una guía que contiene consejos y recomendaciones que permite asegurar la seguridad de la información de la empresa dentro de los diez dominios de aplicación. 2) BS 7799 Parte 2 Las especificaciones relativas a la gestión de la seguridad de la información proponen recomendaciones con el fin de establecer un marco eficaz de gestión de la seguridad de la información. En el momento de una auditoría, es el documento que sirve de guía de evaluación para la certificación. Callio Secura 17799 reúne metodología, cuestionarios, guía e informaciones y herramientas necesarias para crear la infraestructura requerida para un sistema de gestión de la seguridad de la información y para acelerar su implantación. En España, el mes de marzo de 2004 se promulgó la norma UNE 71502:2004 "Especificaciones para los Sistemas de Gestión de la Seguridad de la Información", que contribuye a definir los requisitos para implantar un SGSI según las norma ISO/IEC 17799. Se añade por lo tanto otra posibilidad de obtener una certificación de cumplimiento de su SGSI respecto a la ISO 17799. 1
Introducción La seguridad de la información siempre ha sido un desafío muy importante para el conjunto de las Organizaciones. La infección de los sistemas informáticos por el virus "I Love You", los ataques terroristas del 11 de septiembre del 2001 y la importante avería del sistema eléctrico en el noreste de los Estados Unidos son algunos ejemplos muy conocidos que justifican la necesidad de evaluar y de administrar los riesgos relacionados a la información. Desgraciadamente, las organizaciones se olvidan muy a menudo que la seguridad de la información es mucho más que la simple utilización de las tecnologías. En realidad, debería ser un proceso de gestión continua de riesgos que cubra toda la información que debe ser protegida. Existe un grupo de nuevas leyes que hacen legalmente responsables a los directivos de empresas si no protegen sus activos de información bajo amenaza de sanción. La diligencia razonable de los responsables o gerentes está en promover el interés y la prudencia necesaria en evaluar el riesgo y las medidas pertinentes para reducirlo o eliminarlo. 2
Qué es la seguridad de la información? "La seguridad de los sistemas de información no es una contradicción de términos... sí lo es la seguridad sin la gerencia de riesgo." (J.Bisson, 2003) La información constituye un activo que, como todos los demás activos comerciales importantes, es valioso para toda organización; por eso es necesario protegerlo de una manera apropiada. La seguridad de la información protege la información contra amenazas muy diversas, para asegurar la continuidad de las actividades de la empresa, minimizar el perjuicio que puede ser causado y maximizar el rendimiento del capital invertido y las posibilidades de negocios. La información se presenta de diversas formas. Puede ser impresa o escrita sobre papel, almacenada en soportes electrónicos, transmitida por correo o utilizando medios electrónicos, expuesta sobre películas o hablada en conversaciones. Cualquiera sea la forma que tenga la información o los medios por los cuales es transmitida o almacenada, ella debe ser siempre protegida de manera apropiada. c) La disponibilidad: asegurar que los usuarios autorizados puedan acceder a la información y a los activos asociados cuando la requieran. La seguridad de la información se obtiene aplicando un conjunto de medidas de control, que pueden tomar la forma de políticas, de prácticas, de procedimientos, de estructuras organizacionales y de funciones de software. Estas medidas de control deben ser establecidas con el fin de que se cumplan los objetivos de seguridad específicos de la organización. Fuente: ISO/CEI 17799 Parte 1: Código de buenas prácticas para la gestión de la seguridad de la información La seguridad de la información se caracteriza por como se preserva: a) la confidencialidad: procurar que la información sea accesible sólo a las personas autorizadas a acceder a su utilización. b) la integridad: asegurar la exactitud y la completitud de la información y los métodos de su procesamiento. Fuente: ISO 17799 3
Qué es BS 7799 / ISO 17799? BS 7799 / ISO 17799 tiene por objetivo "proporcionar una base común para la elaboración de las normas de seguridad de las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas". La norma es publicada en dos partes: ISO/CEI 17799 Parte 1: Código de buenas prácticas relativo a la gestión de la seguridad de la información; BS 7799 Parte 2: Especificaciones relativas a la gestión de la seguridad de la información. ISO/CEI 17799 (1ª parte) La norma internacional ISO / IEC 17799 fue desarrollada por el organismo British Standards Institución (BSI) como BS 7799 y ha sido adoptada según un " procedimiento de vía rápida " por el Comité técnico mixto ISO/CEI JTC 1, Tecnologías de la Información, de común acuerdo para su aprobación con los organismos nacionales miembros del ISO y del CEI. ISO / IEC 17799 se presenta bajo la forma de notas de orientación y recomendaciones. Éstas han sido reunidas a posteriori de las consultas realizadas a las empresas más importantes. Contiene diez dominios específicos compuestos de 36 objetivos y de 127 medidas de seguridad. He aquí una breve reseña de cada uno de los dominios: 1. Política de seguridad: proporcionar directivas y consejos de gestión para mejorar la seguridad de los datos. 2. Seguridad de la organización: facilitar la gestión de la seguridad de la información en el seno de la organización. 3. Clasificación y control de los activos: catalogar los activos y protegerlos eficazmente. 4. Seguridad del personal: reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos. 5. Seguridad física y medioambiental: impedir la violación, el deterioro y la perturbación de las instalaciones y datos industriales. 6. Gestión de las telecomunicaciones y operaciones: garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información. 7. Control de accesos: controlar el acceso a los datos. 8. Desarrollo y mantenimiento de los sistemas: garantizar que la seguridad esté incorporada a los sistemas de información. 9. Gestión de la continuidad de las operaciones de la empresa: reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra las averías y los siniestros mayores. 10. Conformidad: prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y las exigencias de seguridad.. 4
El esquema siguiente sugiere una arquitectura de los diez dominios de la norma. Cada dominio presenta una temática independiente estructurada alrededor de medidas administrativas, lógicas y físicas y según un eje de orientación descendente, es decir, que tendrá un impacto desde el nivel de la dirección hasta el nivel operativo de la organización. Consultar el Anexo B para conocer el índice de la norma ISO 17799 Que función Cumple ISO y CEI? La Organización internacional de normalización (ISO) y la Comisión electrotécnica internacional (CEI) constituyen un sistema especializado para la normalización alrededor del mundo. Es a través de comités técnicos que ambos organismos participan conjuntamente en el desarrollo y en la adopción de normas internacionales, como fue el caso para ISO/CEI 17799. Los comités técnicos, como el ISO / IEC Joint Technical Committee 1 ( ISO / IEC JTC1), difunden luego la norma a los múltiples organismos nacionales para su escrutinio. En efecto, para ser reconocida internacionalmente, una norma debe obtener la aprobación de, al menos, un 75 % de los organismos nacionales votantes. BS 7799-2 (2 e parte) BS 7799 proporciona las condiciones que se refieren a la gestión de la seguridad de la información. Compuesta de 10 dominios y de 127 controles la norma ISO 17799, se aplica a las etapas de elaboración, de puesta en ejecución y de mantenimiento de un sistema de seguridad. Las organizaciones candidatas al registro son evaluadas con respecto a este documento. Una organización que basa su SGSI sobre las disposiciones de BS 7799 puede obtener el registro de un organismo acreditado. La organización así demuestra a sus socios que su sistema cumple tanto con los estándares de la norma, como así también con las exigencias de controles para la seguridad que son establecidos según sus propias necesidades. 5
Es importante entender que una organización que obtiene la certificación BS 7799-2 es también considerada que cumplimenta con la norma ISO 17799. Ya numerosos países, como Inglaterra, Australia, Noruega, Brasil y Japón utilizan ampliamente BS 7799-2 como base de certificación para la gestión de su seguridad de la información. Para qué sirve un SGSI? "Para establecer la política y los objetivos de seguridad de la información de la organización y para lograr, a continuación estos objetivos". Un sistema de gestión de la seguridad de la información (SGSI) ofrece un enfoque metodológico para administrar la información sensible con el fin de protegerla. Su ámbito de aplicación incluye a los empleados, los procesos y los sistemas informáticos. La seguridad de la información no se termina en la implementación de un firewall o con la contratación de una empresa de seguridad. En este dominio, es necesario integrar las múltiples iniciativas puestas en ejecución dentro de una estrategia global con el fin de que cada elemento ofrezca un nivel óptimo de protección. Es a este nivel que intervienen los sistemas de gestión de la seguridad de la información permitiendo coordinar los esfuerzos para alcanzar una seguridad óptima. Un sistema de gestión debe incluir un método de evaluación, medidas de protección y un proceso de documentación y de revisión. Esto último es el principio del modelo PHVA (Planificar-Hacer-Verificar-Actuar) desarrollado inicialmente por Walter Shewhart y popularizado por W. Edwards Deming. Por este motivo es conocido frecuentemente como el "Ciclo Deming" que recuerda fuertemente al modelo de gestión de la calidad ISO 9001. Planificar - Definir el alcance del SGSI y las políticas de seguridad - Identificar y evaluar los riesgos - Seleccionar los objetivos de control y controles que ayudarán a manejar estos riesgos - Preparar el documento de la declaración de aplicabilidad Hacer - Formular e implementar un plan de reducción de riesgos - Implementar los controles seleccionados a fin de cumplir con los objetivos de dichos controles. Verificar - Efectuar el control de los procedimientos - Proceder a exámenes periódicos para asegurar la eficacia del SGSI - Revisar los niveles de riesgos aceptables y residuales - Instaurar periódicamente auditorías internas para el SGSI Actuar - Implantar las mejoras identificadas al SGSI - Realizar las acciones correctivas y preventivas - Mantener comunicaciones con todos los interesados - Validar las mejoras 6
Historia de la norma Desde hace más de cien años, British Normal Institutión (BSI) realiza estudios con el fin de establecer normas eficaces de alta calidad industrial. BS 7799 fue desarrollada a principios de los años 1990 como respuesta a las peticiones de la industria, el gobierno y los comerciantes para crear una estructura común de seguridad de la información. En 1995, el estándar BS 7799 es oficialmente adoptado. Pasaron cuatro años hasta su publicación, en mayo de 1999, de una segunda versión mayor de la norma BS 7799. Se aportan numerosas mejoras. En aquella época, la Organización internacional de normalización (ISO) comienza a interesarse en los trabajos publicados por el instituto inglés. En diciembre del 2000, la organización ISO incorpora la primera parte de la norma BS 7799, rebautizada como ISO 17799. En septiembre del 2002,realiza una revisión de la segunda parte de la norma BS 7799 con el fin de armonizarla con otras normas de gestión tales como ISO 9001:2000 e ISO 14001:1996 así como con los principios de la Organización de cooperación y de desarrollos económicos (OCDE). Actualmente, existen consultas a nivel internacional para mantener BS 7799/ISO 17799 alineado con los principales cambios. Conformidad, certificación y acreditación. Con el fin de evitar confusiones, se brinda una breve definición de estos tres términos en el contexto de un sistema de gestión de la seguridad de la información (SGSI). La conformidad es una auto-evaluación realizada por una organización con el fin de validar que un sistema puesto en operación se ajusta a una norma. La certificación (también llamada registro) es conferida por un organismo acreditado de certificación cuando una organización finaliza con éxito una auditoría independiente. Certificando de esta manera, que el sistema de gestión cumple las exigencias de una norma particular, por ejemplo BS 7799-2. La acreditación constituye los medios por los cuales una organización autorizada (el organismo de acreditación) reconoce formalmente la competencia de un organismo de certificación que debe evaluar, certificar y registrar el SGSI de una organización con respecto a estándares publicados. 7
A quién va dirigida ISO 17799? BS 7799 / ISO 17799 puede ser utilizada por cualquier tipo de organización o de compañía, privada o pública. Si la organización utiliza sistemas internos o externos que poseen informaciones confidenciales, si depende de estos sistemas para el funcionamiento normal de sus operaciones o si simplemente desea probar su nivel de seguridad de la información conformándose a una norma reconocida, la norma BS 7799 / ISO 17799 particularmente pasa a ser muy interesante. El cuadro siguiente muestra los tipos de utilización de la norma. Tipo de empresa Tamaño Objetivo principal Utilización de la norma Pequeña empresa u organismo Empresa media (centralizada o descentralizada) Inferior a 200 empleados Inferior a 1000 empleados Sensibilizar a la dirección general de la seguridad de la información Crear una cultura de seguridad global compatible La norma ISO 17799 contiene los temas de seguridad que deben tratarse como base de gestión La norma contiene las prácticas necesarias para constituir una política de seguridad de la información Empresa muy grande Superior a 1000 empleadas Obtener una certificación de seguridad Utilización de BS7799-2 para crear un documento referencial de seguridad interno Evidentemente, cuanto más elevado es el riesgo en la organización, esta última debe poner más atención a la seguridad de sus datos. Es el caso particular para los sectores gubernamentales, financieros y de salud, como lo demuestra la figura adjunta: 8
Beneficios de la norma Evidentemente, el hecho de utilizar la norma ISO 17799 o de obtener la certificación BS 7799-2 no prueba que la organización sea 100 % segura. A decir verdad, la seguridad completa no existe a menos de una inactividad total. No obstante, la adopción de la norma internacional proporciona innegablemente ventajas que todo buen gerente debería tener en cuenta. Aspecto organizacional Compromiso: el registro permite garantizar y demostrar la eficacia de los esfuerzos desarrollados para asegurar la organización en todos sus niveles y probar la diligencia razonable de sus administradores. concede a la protección de la información. Una certificación también puede brindar una diferenciación sobre la competencia y en el mercado. Algunas licitaciones internacionales ya comienzan a pedir una gestión ISO 17799. Aspecto financiero Reducción de los costos vinculados a los incidentes y posibilidad de disminución de las primas de seguro. Aspecto humano Mejora la sensibilización del personal a la seguridad y a sus responsabilidades en la organización. Aspecto legal Conformidad: el registro permite demostrar a las autoridades competentes que la organización observa todas las leyes y normativas aplicables. En este aspecto, la norma es complementaria de otras normas y legislaciones ya existentes, por ejemplo HIPAA, Privacy Act of 1974, Computer Security Act of 1987, National Infrastructure Act of 1996, Gramm-Leach-Bliley Act of 1999, Government Information Security Reform Act of 2001. Aspecto funcional Gestión de los riesgos: obtención de un mejor conocimiento de los sistemas de información, sus fallas y los medios de protección. Garantiza también una mejor disponibilidad de los materiales y datos. Aspecto comercial Credibilidad y confianza: los socios, los accionistas y los clientes se tranquilizan al constatar la importancia que la organización 9
Complementariedad de BS 7799 / ISO 17799 " La popularidad de la norma BS 7799-2 / ISO 17799 se explica en parte por su flexibilidad y su complementariedad con las otras normas existentes en seguridad de la información y de las tecnologías de la información. " Mientras que ISO 17799 expone las mejores prácticas de gestión para la seguridad de la información y para la creación de políticas de seguridad, ISO 13335, denominada GMITS - Guidelines for the management of IT Security, constituye su hermano mayor. Esta norma aborda un poco más las tecnologías conectadas a la información y aporta un contenido de valor agregado sobre el enfoque de evaluación de los riesgos. Incluso es posible establecer una comparación de las medidas de protección propuestas en la cuarta guía (Part 4: Selection of safeguards) de la serie, que incluye cinco, ofrecida en ISO 13335 a los controles sugeridos en ISO 17799. Existe también una fuerte complementariedad entre las normas ISO 17799 e ISO 15408. Esta última, mejor conocida bajo el nombre de Criterios Comunes, permite certificar los niveles de defensa proporcionados por los dispositivos de seguridad de los sistemas de información. Ella cubre los aspectos técnicos, mientras que ISO 17799 cubre aún más los aspectos organizacionales y administrativos de la seguridad. También existe un vínculo entre ISO 17799 y los números 18044, 17944, 18028, 14516 de la Organización internacional de normalización, como lo resume la figura siguiente: Desde la nueva revisión en el 2002, BS7799-2 se armoniza en lo sucesivo con las normas de otros sistemas de gestión conocidas, como ISO 9001:2000 e ISO 14001:1996. En efecto, numerosas son las empresas que conocen o poseen un sistema de gestión de la calidad (SGQ) ISO 9001 o un sistema de gestión del medio ambiente (SGE) ISO 14001. BS 7799-2 utiliza ahora la misma estructura y tiene las mismas exigencias para elaborar un sistema de gestión de seguridad de la información (SGSI). Consultar el Anexo E para más detalles. 10
Complementariedad con las legislaciones existentes Varios gobiernos a través del mundo ya establecieron normativas y proyectos de leyes que precisan la forma en que las compañías deben administrar y controlar la seguridad de la información. El objetivo es simple: forzar a la dirección y a los consejos de administración a ser responsables de la seguridad de la información y motivarlos a demostrar la " diligencia razonable " donde ellos den prueba de la protección de sus activos. Entre estas reglamentaciones, se encuentran Sarbanes-Oxley Act of 2002 (SOX), Gramm-Leach-Bliley Act (GLBA) y Health Insurance Portability and Accountability Act of 1996 (HIPAA), LOPD (Ley Orgánica de Protección de Datos), LSSI (Ley de Servicios de la Sociedad de la Información). Legislación reciente Sarbanes- Oxley Act de 2002 Gramm- Leach-Bliley Act de 1999 Health Insurance Portability and Accountability Act (HIPAA) LOPD (Ley Orgánica de Protección de Datos) Ámbito europeo NIC (Normas Internacionales de Contabilidad) Ámbito europeo Basilea II A quién se aplica? Qué cubre? Cuáles son las multas posibles? A toda compañía registrada bajo el Exchange Act o que tiene una declaración de inscripción en espera bajo Security Act. A las instituciones financieras A toda entidad implicada en la información digitalizada por los cuidados de salud, incluyendo entre otros los proveedores, los empleados y los aseguradores. Cualquier compañía que capture, guarde o trate datos de terceros. A toda entidad que cotice en los mercados de capitales. A las instituciones financieras. Obliga a los jefes de dirección y a directores financieros a prestar juramento que sus declaraciones financieras son completas y exactas. Asegura la protección de las informaciones personales no públicas para la distribución fuera de la red de la institución financiera. Garantiza la portabilidad, la protección de la vida privada y la seguridad de la información médica de los individuos. Asegura la protección de la información personal (no pública) y el derecho a la rectificación y cancelación de los datos por el ciudadano. Calcula el riesgo operativo de negocio por motivo dell funcionamiento o indisponibilidad de las TI. Calcula el riesgo operativo de negocio por motivo del mal funcionamiento o indisponibilidad de las TI. Toda destrucción, modificación o falsificación de los documentos por los miembros de la dirección puede generar multas o penas de encarcelamiento que llegan hasta los diez años. Una violación flagrante de esta ley puede generar una multa considerable y hasta cinco años de prisión. Una violación de esta legislación puede implicar multas de 100 $ a 250.000 $ o diez años de prisión. Hasta 600.000 euros Superior a 600.000 euros Inclusive el retiro de la licencia bancaria. Cuándo la conformidad es obligatoria? El plazo para ajustarse a SOX era el 30 de septiembre de 2003; las organizaciones debían tener un control interno sobre todos sus informes financieros y su gobierno. La fecha real para establecer un programa de seguridad de la información de conformidad con GLBA era el 1 de julio de 2001. La fecha límite para conformarse a HIPAA es el 21 de abril de 2005 para las grandes organizaciones y el 21 de abril del 2006 para las pequeñas empresas. Actualmente es obligatorio para todas las empresas. Implantación durante el 2005, obligatorio en el 2006. 2006 para nivel Fundation, 2007 para el nivel Advanced 11
La novedad es que el hecho de conformarse a una u a otra de estas reglamentaciones constituyen ejemplos concretos y prácticos de sistemas de gestión de la seguridad de la información. Por ejemplo, HIPAA aborda los mismos temas que la norma ISO 17799 poniendo al mismo tiempo el énfasis sobre la protección de la información privada. Por su parte, el modelo de gestión PHVA (Planificar-Hacer-Verificar- Actuar) de BS 7799-2 se alinea muy bien con las cuatro etapas de GLBA: 1. Identificar y evaluar los riesgos sobre la información de los clientes; 2. Desarrollar un plan que contenga las políticas y procedimientos para administrar y controlar estos riesgos; 3. Poner en ejecución y probar el plan; 4. Ajustar el plan en forma continua. Una conformidad con ISO 17799 y BS 7799-2 también permite definir las políticas de seguridad y los procedimientos necesarios para controlar la información sensible de la organización y la referida en SOX. 12
Implementación de un SGSI El gráfico siguiente describe cada una de las ocho etapas de implantación de un SGSI: Iniciación del proyecto Asegurar el compromiso dce la dirección. Seleccionar y formar a los miembros del equipo inicial de proyecto. Definición del SGSI Definir el alcance y los límites del marco de gestión de la seguridad de la información. Esta etapa es determinante para el éxito del proyecto. Evaluación de riesgos Diagnosticar el nivel de conformidad ISO 17799. Hacer un inventario y evaluar los activos que deben protegerse. Identificar y evaluar las amenazas y vulnerabilidades. Calcular un valor de riesgo asociado. Administración del riesgo Conocer cómo la selección y la implantación de los controles permiten reducir los riesgos a un nivel aceptable para la organización. Formación y Sensibilización Los empleados pueden ser un eslabón débil en la cadena de seguridad de una organización. Aprender a crear un verdadero programa de sensibilización de la seguridad de la información. Preparación para la auditoría Cómo validar un marco de gestión y qué hacer antes de la llegada de un auditor externo para la certificación BS 7799-2. Auditoría Conocer las etapas realizadas por los auditores externos y sobre los organismos de certificación acreditados BS 7799-2. Control y mejora continua Cómo y por qué mejorar la eficacia de un SGSI de acuerdo con el modelo de gestión reconocido por ISO. 13
Documentación de un SGSI La documentación de un SGSI es una exigencia importante de la implantación y se articula en torno a dos ejes: 1) La descripción de la estrategia del organismo, sus objetivos, la evaluación de riesgos y las medidas tomadas para atenuarlos. 2) El control y el seguimiento del funcionamiento del SGSI. Existen por lo menos cuatro niveles de documentación como lo demuestra la figura siguiente: Control y mejora continua Nivel 1 Política, evaluación del riesgo, declaración de aplicabilidad Manual de seguridad Nivel 2 Describe el proceso: quién, qué, cuándo, dónde Procedimientos Nivel 3 Describe cómo se efectúan las tareas y las actividades Fichas de trabajo, formularios, etc. Nivel 4 Proporciona pruebas objetivas de conformidad con las exigencias del SGSI Registro Obstáculos Algunos obstáculos pueden encontrarse en la implantación de un SGSI, a saber: - Temor, resistencia a los cambios - Riesgo de que los cambios realizados en un área requieran ajustes en otras áreas - Aumento de los costos - Insuficiente conocimiento del enfoque utilizado - Tareas que parecen insuperables Para ayudar a superarlos, algunos factores de éxito deberían ser considerados. Factores de éxito La experiencia ha probado que los factores enumerados a continuación son a menudo cruciales para garantizar el éxito de la implementación de gestión de la seguridad de la información en una organización. 14
a) una política, objetivos y actividades de seguridad que reflejan los objetivos de la empresa. d) Una puesta en ejecución de la gestión de la seguridad que sea compatible con la cultura de la organización. c) un apoyo y un compromiso visibles de la dirección. d) una buena comprensión de las exigencias de seguridad, de la evaluación de los riesgos y de la gestión de los riesgos. e) una presentación eficaz de las cuestiones de seguridad a todos los responsables y empleados. f) la distribución a todos los empleados y a todos los proveedores de las directrices sobre la política y las normas de seguridad de la información. g) una formación y una educación conveniente. h) un sistema de medidas completo y equilibrado utilizado para evaluar la eficacia de la gestión de la seguridad de la información y la aplicación de los requerimientos de mejoras resultantes de dicha evaluación. Resumen de: BS 7799 / ISO 17799 Qué es la norma? Una guía de recomendaciones estructuradas, reconocida internacionalmente, dedicada a la seguridad de la información. Un proceso conciso para evaluar, establecer, mantener y administrar la seguridad de la información. El resultado de un consorcio de empresas para responder a las necesidades de la industria. Un proceso equilibrado entre la seguridad física, técnica, procedimientos y la seguridad del personal. La norma no es : Un estándar técnico Una norma tecnológica u orientada al producto. Una metodología de evaluación de equipamiento como los criterios comunes (CC / ISO 15408). Sin embargo, es complementaria y puede aprovechar los niveles de aseguramiento de evaluación encontrado en los Criterios Comunes (EAL). ISO 17799 no es un sistema que permite una certificación de la seguridad (por el momento, solo BS 7799-2 y sus derivados nacionales ofrecen un esquema de certificación). ISO 17799 no detalla ninguna obligación en cuanto al método de evaluación del riesgo, basta con elegir el que responde a las necesidades. 15
Herramientas de software y recursos disponibles Existe hoy en el mercado un gran rango de productos y servicios en seguridad informática. Muchos de ellos se basan en medidas de protección físicas (cerraduras, barreras, cierres, extinguidores, guardianes, etc.) y controles técnicos (firewall, biométrica, encriptación, etc.). Pero cuando llega el momento de adoptar medidas de protección administrativas, las empresas a menudo tienden a olvidarse de su importancia. Sin embargo, la seguridad de la información no es exhaustiva sin la elaboración y la publicación de políticas de seguridad y de procedimientos, de programas de sensibilización y de formación de los empleados sólo para nombrar algunas. La seguridad de la información es un proceso continuo de gestión de los riesgos y necesita herramientas que respondan a estas necesidades. Ciertamente ISO 17799 es lo que le hace falta a una empresa para administrar mejor la seguridad de la información. Para ayudar a su implantación, es conveniente utilizar un software multiusuario que reúna toda la información necesaria así como las principales herramientas para lograr el objetivo. Una de estas herramientas debe ser la evaluación de riesgos simple y eficaz, que genere recomendaciones basadas en las buenas prácticas ISO 17799 para cada uno de los contextos definidos. Añadiendo a esto una metodología completa, cuestionarios de conformidad, un generador automático de políticas de seguridad, un gestor documental integrado en la Web, ejemplos, plantillas y guías de información sobre la implantación y sobre la auditoría de los controles ISO 17799, los gerentes comprenderán rápidamente que tal herramienta puede economizar mucho tiempo y dinero a la empresa. Para los interesados, tal software existe y se llama Callio Secura 17799, creado por la compañía Callio Technologies inc. Es posible descargar una versión de demostración del software Callio Secura 17799 de la siguiente dirección: Naturalmente, también es posible contratar una empresa de asesores para la implantación de la norma, pero es conveniente asegurarse que este último utiliza un software del mismo género. Metodología, método y norma Una metodología es un acercamiento riguroso y estandarizado que utiliza herramientas como cuestionarios y software especializados que permiten hacer el análisis de seguridad de la información. Una metodología utiliza métodos, es decir, medios para llegar eficazmente al resultado deseado. Este resultado habitualmente se formula en una norma. Una norma puede definirse como un documento de referencia basado en un consenso que cubre un amplio interés industrial o económico y establecido por un proceso voluntario. Está claro que el método será la herramienta utilizada para satisfacer las exigencias de una norma. (fuente : OLF) 16
Solución de software Una de las principales ventajas de BS 7799 / ISO 17799 se sitúa a nivel de la confianza del público. La norma constituye una señal de confianza para la seguridad global de la empresa, al igual que ISO 9000 representa una garantía de la calidad. Aquí una lista de ventajas relacionadas a la implantación de la norma BS 7799/ISO 17799 con la aplicación Web Callio Secura 17799: - Disminuir el tiempo de implantación de la norma BS 7799 / ISO 17799 como así también los costes asociados. - Centralizar la gestión de las políticas y procedimientos. - Estandarizar el proceso de implantación de la norma BS 7799/ISO 17799 - Garantizar la eficacia de los procesos establecidos con el fin de reducir los costos de gestión - Facilitar la puesta al día y los ajustes en la documentación 17
Conclusión La alineación de la seguridad de la información con la misión de la organización se ha convertido esencial. La confidencialidad, la integridad y la disponibilidad de la información son importantes para mantener la ventaja competitiva, los beneficios disponibles (flujo de caja), la conformidad jurídica y la imagen comercial. Considerar la óptica de una certificación tiende a probar también la diligencia razonable de la alta dirección y de sus gerentes para la protección de sus activos. Desarrollar una política de seguridad de la información basada en ISO 17799 se hace pues la infraestructura de base. BS 7799 / ISO 17799 es especialmente pertinente en este contexto. En esta fase, se trata que las empresas se informen de las exigencias de la norma y así mejorar los conocimientos relativos a la gestión de la seguridad de la información. Para lograr asegurar la implantación de un sistema de seguridad de la información eficaz y adecuado, el mejor modo es obtener, en combinación con servicios profesionales externos y/o internos, una herramienta de software como la aplicación Web Callio Secura 17799. Este software propone cuatro módulos principales, una evaluación del riesgo, una administración del riesgo, un generador de políticas y una herramienta de gestión de documentos. Al mismo tiempo poderoso y de fácil utilización, Callio Secura 17799 le permite a los usuarios ajustarse a BS 7799/ISO 17799. Más de 80 000 empresas a través del mundo cumplimentan la norma BS 7799 / ISO 17799 incluidas las siguientes: - Fujitsu Limited - KPMG - Marconi Secure Systems - Sony Bank inc. - Toshiba IS Corporate Y usted... piensa implementar el más alto estándar en materia de gestión de riesgos de la información? 18