Implantación de un SGSI

Implantación de un SGSI con e-pulpo

ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles... 7 3 Implantación... 10 3.1 Porqué implantar un SGSI?... 10 3.2 Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de Sistemas de Información?... 10 3.3 Cuánto tiempo lleva la implantación de un SGSI?... 10 3.4 Cómo dar respuesta a los requisitos sin sobrepasar el presupuesto disponible?. 11 3.5 Cómo cubrir los requisitos de un SGSI, la Ley Orgánica de Protección de Datos de Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en tres gastos?... 11 4 Requerimientos de un SGSI... 12 4.1 Acciones con e-pulpo para un SGSI (ISO 27001)... 13 4.2 ANEXO II: Objetivos de control y Controles (ISO 27002)... 19 5 Sobre Ingenia... 25 Implantación de un SGSI con e-pulpo Página 2 de 25

1 Introducción Un SGSI es un Sistema de Gestión de Seguridad de la Información, en inglés ISMS Information Security Management System. El SGSI se basa en un conjunto de políticas orientadas a conseguir y a mantener la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad de la Información. En un servicio informático que va a implantar un SGSI es importante diferenciar 2 conceptos de seguridad: - Seguridad Informática: Orientada en la protección de la Infraestructura TIC que soporta al negocio. - Seguridad de la Información: Orientada en la protección de los activos de la información fundamentales para el negocio. El estándar de seguridad de la información ISO/IEC 27001, detalla los requisitos para diseñar, implantar, mantener y mejorar un SGSI, basándose en el ciclo de Deming Plan-Do-Check-Act (Planificar-Hacer-Revisar-Actuar). Implantación de un SGSI con e-pulpo Página 3 de 25

2 SGSI y normativas Los Sistemas de Gestión de la Seguridad de la Información están asociados a la normativa ISO/IEC 27001, que es un estándar de seguridad internacionalmente reconocido y se enmarca dentro de una serie de estándares conocidos como la familia 27000. 2.1 La serie 27000 Esta serie de estándares están asociados a la seguridad de la información. Se describen a continuación brevemente el alcance de cada uno: ISO 27000 = Fundamentos ISO 27001 = Especificaciones de un SGSI (Certificable) ISO 27002 = Código de buenas prácticas ISO 27003 = Guía de implantación ISO 27004 = Métricas e Indicadores ISO 27005 = Guía para el Análisis y Gestión del Riesgo ISO 27006 = Especificaciones para organismos certificadores ISO 27007 = Guía de requisitos para entidades auditoría y certificación Implantación de un SGSI con e-pulpo Página 4 de 25

2.1 ISO/IEC 27001 (SGSI) Es un estándar de seguridad de la información. Se publicó por primera vez en 2005. Es similar a la normativa española UNE 71502. Marca las especificaciones de un SGSI basado en el ciclo Deming y es un estándar que puede ser certificado. La certificación ISO/IEC 27001 demuestra: - El cumplimiento de requisitos para la gestión corporativa y la continuidad del negocio. - El valor que tiene la seguridad de la información para la organización debido al compromiso de la cúpula directiva. - La garantía de controles externos a la propia organización. - Que los riesgos de la organización están identificados, evaluados y controlados. - El cumplimiento de leyes y normativas que sean de aplicación. - La mejora continua consecuencia de las revisiones periódicas. Implantación de un SGSI con e-pulpo Página 5 de 25

2.2 ISO/IEC 27002 Es el segundo estándar de la serie 27000 y también se denomina ISO/IEC 17799. Describe unas Buenas Prácticas para la gestión de la seguridad de la información tanto en un proceso de implantación como en su mantenimiento. Define el concepto de seguridad de la información como la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran). Se estructura en 11 secciones o dominios: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. Implantación de un SGSI con e-pulpo Página 6 de 25

De estos 11 dominios emanan 39 objetivos de control, y de estos emanan un total de 133 controles. Cada uno tiene asociada una guía de implantación. Una organización que se adecúe a este estándar tendrá en consideración cuáles de estos les aplican y cuáles no. 2.3 Objetivos de control y controles A continuación se muestran algunos ejemplos de los controles recogidos en la normativa ISO/IEC 27002: Dominio o Objetivo de control Control Gestión de Activos o Responsabilidad sobre los activos Uso aceptable de los activos Seguridad ligada a los recursos humanos o Durante el empleo Proceso disciplinario Seguridad Física y del entorno o Áreas seguras Perímetro de seguridad física Controles físicos de entrada Áreas de acceso público Implantación de un SGSI con e-pulpo Página 7 de 25

o Seguridad de los equipos Seguridad del cableado Seguridad de los equipos fuera de las instalaciones Gestión de comunicaciones y operaciones o Planificación y aceptación del sistema Gestión de capacidades Aceptación del sistema o Intercambio de información Acuerdos de intercambio Mensajería electrónica o Supervisión Registros de auditoría Registro de fallos Control de acceso o Gestión de acceso de usuario Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de usuario o Control de acceso a la red Identificación de los equipos en las redes Segregación de las redes Control de encaminamiento (routing) de red o Control de acceso al sistema operativo Procedimientos seguros de inicio de sesión Sistema de gestión de contraseñas o Control de acceso a las aplicaciones y a la información Implantación de un SGSI con e-pulpo Página 8 de 25

Restricción del acceso a la información Aislamiento de sistemas sensibles Adquisición, desarrollo y mantenimiento de sistemas de información o Tratamiento correcto de las aplicaciones Validación de los datos de entrada Validación de los datos de salida o Controles criptográficos Política de uso Gestión de claves o Seguridad en los procesos de desarrollo y soporte Procedimiento de control de cambios Restricciones a los cambios en el software Fugas de información o Gestión de vulnerabilidades técnicas Control de las vulnerabilidades Cumplimiento o Requisitos legales Identificación de la legislación aplicable Protección de los documentos de la organización Protección de datos de carácter personal Prevención del uso indebido de recursos Regulación de controles criptográficos Implantación de un SGSI con e-pulpo Página 9 de 25

3 Implantación 3.1 Porqué implantar un SGSI? Un SGSI permite dotar y mantener seguridad, sobre la información que maneja la organización. Si además se certifica con el estándar ISO/IEC 27001, ofrece una ventaja competitiva, tal como se describe en el apartado 2.1. 3.2 Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de Sistemas de Información? Mediante la integración de las labores que se hacen en el servicio de informática bajo un prisma genérico, sin tener como objetivo exclusivo el cumplimiento con una Ley específica. Una vez teniendo la información necesaria, ésta se explota para dar respuesta a cualquier requisito: LOPD, ENS, ITIL (ISO 20000), SGSI (ISO 27001), etc. 3.3 Cuánto tiempo lleva la implantación de un SGSI? Como término medio lleva entre 6 meses y 1 año. Implantación de un SGSI con e-pulpo Página 10 de 25

3.4 Cómo dar respuesta a los requisitos sin sobrepasar el presupuesto disponible? Haciendo uso de software libre, como recomienda el informe Propuesta de Recomendaciones a la Administración General del Estado sobre Utilización del Software Libre y de Fuentes Abiertas, del Consejo Superior de Informática y para el Impulso de la Administración Electrónica (Ministerio de Administraciones Públicas, año 2005). 3.5 Cómo cubrir los requisitos de un SGSI, la Ley Orgánica de Protección de Datos de Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en tres gastos? Utilizando las mismas herramientas para una y otra necesidad, sin recurrir a herramientas independientes, inconexas, que obliguen a duplicar la información y a duplicar el trabajo. Implantación de un SGSI con e-pulpo Página 11 de 25

4 Requerimientos de un SGSI Leyenda de colores: Color Función e-pulpo cumple con los requerimientos. Los requerimientos no aplican a la finalidad de e-pulpo. Actualmente e-pulpo no cubre esta funcionalidad, pero la cubrirá en siguientes versiones. Requerimientos que aplican a la propia plataforma de e-pulpo y están cubiertos. Implantación de un SGSI con e-pulpo Página 12 de 25

4.1 Acciones con e-pulpo para un SGSI (ISO 27001) Apartado Soporte en e-pulpo 4.2.1. Creación del SGSI Completando previamente el control 7.1.1 (ISO 27002) a) Elaborar y gestionar el alcance e-pulpo dispone de un módulo de Gestión Documental para gestionar la documentación del alcance del SGSI. b) Definir una política e-pulpo dispone de un módulo de Gestión Documental para gestionar la documentación de la política del SGSI. c) Especificar la metodología de evaluación de riesgos e-pulpo dispone de un módulo de Gestión Documental que permite gestionar los documentos de metodología y evaluaciones. d) e) f) g) Análisis y gestión de riesgos e-pulpo está integrado con PILAR (herramienta para el análisis de riesgos), permite crear vía web activos genéricos en para la valoración de los procesos de negocio, ubica los activos en capas, grupos y dominios de seguridad, permite la asignación de clases a los activos, permite establecer las dependencias entre activos, seleccionar los objetivos de control y valorar las salvaguardas. h) i) Aprobar el informe del análisis de riesgos de PILAR e-pulpo dispone de un módulo de Gestión Documental para gestionar el almacenamiento y aprobación del análisis y gestión de riesgos generado con PILAR. Implantación de un SGSI con e-pulpo Página 13 de 25

Apartado Soporte en e-pulpo j) Declaración de aplicabilidad e-pulpo está integrado con PILAR (herramienta para el análisis de riesgos), a través de la que se elabora el SOA, que luego se almacena en el módulo de gestión documental. 4.2.2 Implementación y operación del SGSI a) Plan de tratamiento de riesgos e-pulpo lo tiene cubierto, como se ha indicado para el punto 4.2.1.d) de la norma. b) c) Planificar y gestionar el plan de tratamiento de riesgos d) Definición de métricas para evaluar la eficacia de los controles e-pulpo permite hacer el seguimiento de las acciones a realizar a través del módulo de Gestión de Planes de Acción. e-pulpo dispone de un módulo de Métricas y Cuadros de Mando que permite la creación de métricas y hacer su seguimiento con alertas. e) Implementar programas de formación y concienciación e-pulpo permite implementar estos programas desde su módulo de Formación y Concienciación, a través de una plataforma de tele formación. f) Gestionar la operación del SGSI La gestión de la operación la realiza el propio SGSI. g) Gestionar los recursos del SGSI e-pulpo ayuda a la gestión diaria de los recursos para la seguridad a través de la planificación establecida en el Implantación de un SGSI con e-pulpo Página 14 de 25

Apartado Soporte en e-pulpo módulo de Gestión de Planes de Acción (donde se pueden observar las tareas asignadas a cada recurso y su disponibilidad con diagramas de Gantt) y Gestión de Tickets (donde se pueden observar las solicitudes e incidencias que debe resolver cada recurso, y en qué momento está planificado ejecutarlo directamente en el calendario). h) Detección temprana de eventos de seguridad e-pulpo realiza un seguimiento de las últimas vulnerabilidades publicadas del software instalado. Además, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitorizamos los sistemas, recibimos alertas y actualizamos en tiempo real el análisis de riesgos. 4.2.3 Supervisión y revisión del SGSI a) Procedimientos de supervisión y revisión 1) Detectar errores e-pulpo, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitoriza los sistemas y recibe alertas en caso de caída. 2) Identificar debilidades e-pulpo, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), realiza auditorías (hacking ético) y recibe alertas en caso de Implantación de un SGSI con e-pulpo Página 15 de 25

Apartado detectar vulnerabilidades. Soporte en e-pulpo b) Gestión de informes de auditoría SGSI e-pulpo ofrece la gestión de los informes de auditoría desde su módulo Gestión Documental. c) Gestión de actas de reunión, revisión por la Dirección, etc. e-pulpo permite desde el módulo Gestión Documental la gestión de las actas de reunión y gestión de contenidos para que puedan ser revisadas por la dirección. 4.2.4 Mantenimiento y mejora del SGSI No aplica a la funcionalidad de e-pulpo como plataforma. 4.3 Requisitos de la documentación e-pulpo permite gestionar la documentación además de proporcionar a través de workflows ciclos para la vida de cada documento. 5 Responsabilidad de la Dirección 5.2 Gestión de los recursos e-pulpo permite la gestión de los recursos desde los módulos Gestión de Activos y Tickets y Gestión de Planes de Acción. 5.2.1 Provisión de los recursos e-pulpo permite gestionar la provisión de recursos organizando, identificando y supervisando las acciones desde el módulo Gestión de Planes de Acción. 5.2.2 Concienciación, formación y capacitación e-pulpo dispone del módulo de Formación y concienciación que permite llevar a cabo acciones Implantación de un SGSI con e-pulpo Página 16 de 25

Apartado Soporte en e-pulpo formativas para asegurar que el personal dispone del conocimiento adecuado para llevar a cabo sus tareas asignadas. 6 Auditorías internas del SGSI a) cumplen los requisitos de esta norma, legislación y normativas b) cumplen los requisitos de seguridad de la información identificados e-pulpo, a través de su conexión con PILAR, permite medir los niveles de cumplimiento. e-pulpo permite verificar el cumplimiento de los requisitos que se definan en su módulo Gestión de Cuadros de Mando. c) se implantan y se mantienen de forma efectiva e-pulpo permite verificar el nivel de implantación definidos con métricas en su módulo Gestión de Cuadros de Mando. d) dan el resultado esperado e-pulpo permite verificar a través del módulo Cuadros de Mando si se cumplen las expectativas en los resultados. 7 Revisión del SGSI por la Dirección 7.1 Generalidades e-pulpo permite que la Dirección revise la conveniencia y eficacia del SGSI desde los Cuadros de Mando definidos. Implantación de un SGSI con e-pulpo Página 17 de 25

Apartado Soporte en e-pulpo 7.2 Datos iniciales de la revisión Desde las diferentes funcionalidades de e-pulpo, como el módulo de Gestión Documental, se pueden gestionar los datos para las auditorias, comentarios, procedimientos, técnicas, estado de las acciones preventivas, y recomendaciones de mejora. 7.3 Resultados de la revisión e-pulpo permite almacenar los informes resultantes en su Gestor documental. 8 Mejora del SGSI a) Plan de acciones correctivas a una no conformidad e-pulpo facilita la creación de tickets sobre acciones desde su módulo de Gestión de Activos y Tickets, o desde el módulo de Gestión de planes de acción. b) Plan de acciones preventivas a una no conformidad e-pulpo facilita la creación de tickets sobre acciones desde su módulo de Gestión de Activos y Tickets. c) Gestionar los planes de acciones correctivas y preventivas e-pulpo permite el seguimiento así como la notificación automática para el seguimiento de las acciones desde su módulo de Gestión de Activos y Tickets. Implantación de un SGSI con e-pulpo Página 18 de 25

4.2 ANEXO II: Objetivos de control y Controles (ISO 27002) Apartado Soporte en e-pulpo 5 Política de seguridad 5.1 Política de seguridad de la información e-pulpo permite la revisión del documento de política de seguridad. 6 Aspectos organizativos de la seguridad de la información 6.1 Organización interna e-pulpo se puede utilizar como apoyo, aunque los compromisos, coordinación y asignación de responsabilidades dependen de la organización. 6.2 Relaciones con terceros e-pulpo se utiliza para la identificación de riesgos derivados de las relaciones con terceros. 7 Gestión de activos 7.1 Responsabilidad sobre los activos Permite inventariar activos y asignarles propietarios. 7.2 Clasificación de la información Permite la clasificación de los activos. 8 Seguridad relacionada con los recursos humanos 8.1 Previa a la contratación Permite gestionar la documentación de contratación así Implantación de un SGSI con e-pulpo Página 19 de 25

Apartado Soporte en e-pulpo como la asociación a perfiles y/o funciones. 8.2 Mientras dure la contratación e-pulpo dispone de un módulo para la Formación y Concienciación. 8.3 Fin de la contratación o cambio de puesto de trabajo e-pulpo permite asociar activos a personas facilitando de este modo la gestión ante cambios en la contratación. 9 Seguridad física y del entorno 9.1 Áreas seguras e-pulpo permite tratar las áreas seguras como activos de la organización. 9.2 Seguridad del equipamiento e-pulpo facilita la seguridad de equipos clientes y servidores. 10 Gestión de comunicaciones y operaciones 10.1 Responsabilidades y procedimientos de operación e-pulpo gestiona la documentación, así como la gestión del cambio y segregación de tareas. 10.2 Gestión de servicios prestados por terceros A través del módulo de gestión de activos pueden verse claramente las relaciones con terceros, además del uso del módulo de métricas e indicadores. 10.3 Planificación y aceptación de sistemas El módulo Gestión de Proyectos cumple con este Implantación de un SGSI con e-pulpo Página 20 de 25

Apartado requerimiento. Soporte en e-pulpo 10.4 Protección frente a código dañino/descargable No aplica a la funcionalidad de e-pulpo como plataforma. 10.5 Copias de seguridad e-pulpo dispone de mecanismos propios de backup. 10.6 Gestión de la seguridad de las redes e-pulpo a través del módulo OSSIM se integra con esta herramienta que permite aumentar la seguridad en redes. 10.7 Tratamiento de soportes de información e-pulpo permite la gestion de los soportes de información como un activos de la organización, relacionado con otros y con una valoracion asociada a su criticidad. 10.8 Intercambios de información No aplica a la funcionalidad de e-pulpo como plataforma. 10.9 Servicios de comercio electrónico No aplica a la funcionalidad de e-pulpo como plataforma. 10.10 Supervisión A través del módulo OSSIM que integra a e-pulpo se puede gestionar los registros para auditorías, administración, operación y análisis de fallos. 11 Control de acceso 11.1 Requisitos del control de acceso e-pulpo permite que la política de seguridad se gestione desde el módulo de gestión documental. Implantación de un SGSI con e-pulpo Página 21 de 25

Apartado Soporte en e-pulpo 11.2 Gestión de usuarios e-pulpo tiene gestión propia sobre los usuarios y asignación de privilegios a través de perfiles. 11.3 Responsabilidades de los usuarios e-pulpo dispone de un módulo de Formación y Concienciación para difundir las responsabilidades. 11.4 Control de acceso a la red No aplica a la funcionalidad de e-pulpo como plataforma. 11.5 Control del acceso a sistemas en operación No aplica a la funcionalidad de e-pulpo como plataforma. 11.6 Control de acceso a datos y aplicaciones No aplica a la funcionalidad de e-pulpo como plataforma. 11.7 Equipos móviles y tele-trabajo e-pulpo permite la gestion de equipos moviles como activos del sistema. 12 Adquisición, desarrollo y mantenimiento de los sistemas de información 12.1 Requisitos de seguridad Ofrece los resultados de un análisis de seguridad permitiendo la modificación de procedimientos para lograr el cumplimiento de requisitos. 12.2 Garantías de procesamiento de información e-pulpo como plataforma realiza validación de los datos de entrada. 12.3 Controles criptográficos e-pulpo gestiona las claves de sus propios usuarios. Implantación de un SGSI con e-pulpo Página 22 de 25

Apartado Soporte en e-pulpo 12.4 Seguridad de los archivos del sistema e-pulpo protege los la información con trata y procesa. 12.5 Seguridad en los procesos de desarrollo y soporte e-pulpo permite realizar procedimientos de control de cambios desde el módulo de Gestión de Activos y Tickets. 12.6 Gestión de vulnerabilidades e-pulpo permite monitorizar y gestionar vulnerabilidades en el software de forma nativa usando fuentes RSS filtradas según el software en uso. A través del Módulo OSSIM se integra para poder gestionar además vulnerabilidades técnicas. 13 Gestión de incidentes de seguridad de información 13.1 Comunicación de incidencias y debilidades La gestión de tickets permite el aviso por e-mail para comunicar las incidencias detectadas. 13.2 Gestión de incidentes y mejoras El ciclo del sistema de "ticketing" permitirá gestionar tales incidencias. 14 Gestión de la continuidad del negocio 14.1 Seguridad de la información en relación a la gestión de la continuidad e-pulpo permite realizar un análisis de impacto para reforzar la continuidad del negocio. Mediante inteligencia artificial es capaz de generar planes de recuperación ante desastres automáticos. Implantación de un SGSI con e-pulpo Página 23 de 25

Apartado Soporte en e-pulpo 15 Cumplimiento 15.1 Satisfacción de requisitos legales e-pulpo protege los documentos de la organización, su privacidad e incluso evita el uso indebido de los mismos. Ofrece la gestión de los requisitos de la LOPD, así como auditoría de dicho cumplimiento usando para ello el perfil correspondiente en PILAR. 15.2 Cumplimiento de políticas, normas y reglamentos técnicos 15.3 Consideraciones sobre auditoría de los sistemas de información e-pulpo es una herramienta de apoyo, pero la supervisión debe realizarla la organización. e-pulpo se puede utilizar para realizar una auditoría del cumplimiento. Mediante el Módulo OSSIM es capaz de realizar pruebas de hacking ético. Implantación de un SGSI con e-pulpo Página 24 de 25

5 Sobre Ingenia Ingenia es una empresa de servicios en Tecnologías de la Información, Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnológico de Andalucía, siendo sus socios Unicaja, MP Sistemas y Promálaga. Actualmente tiene presencia en Málaga, Sevilla, Madrid y Barcelona, con delegaciones comerciales en México, Argentina y Jordania y una marcada experiencia profesional en proyectos europeos y en el norte de África. La experiencia de dieciocho años que nos avala nos ha permitido diversificar nuestras soluciones y servicios, consiguiendo de este modo un amplio catálogo que nos permite acercar la tecnología, innovación, experiencia y resultados a las necesidades de nuestros clientes. Reconocida por su capacidad e implicación en sus proyectos, Ingenia ha colaborado a lo largo de su trayectoria con una lista de más de mil clientes pertenecientes tanto al sector público como al privado, así como hospitales, universidades, fundaciones, etc., aportándoles valor con soluciones y servicios a medida. Para ello cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia estudiamos cuidadosamente las soluciones a implementar para conseguir los mejores resultados. Más información en www.ingenia.es y www.e-pulpo.es Implantación de un SGSI con e-pulpo Página 25 de 25