TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1 Evaluación y tratamiento de riesgos y amenazas 3 2.1.2 La Política de seguridad 3 2.1.3 Los Aspectos organizativos para la seguridad 4 2.1.4 La Clasificación y Control de activos 4 2.1.5 La Conformidad con la legislación 5 2.1.6 La Gestión de continuidad del negocio 5 2.1.7 Seguridad ligada al personal. 5 2.1.8 La seguridad física y del entorno 6 2.1.9 Gestión de comunicaciones y operaciones 6 2.1.10 Control de acceso 6 2.1.11 Desarrollo y mantenimiento de aplicaciones 7 2.1.12 Gestión de los incidentes de seguridad de la información 7 3 Certificación del SGSI... 8 1 Introducción Se puede definir la gestión de la seguridad es el proceso de identificación, control y minimización o eliminación, a un coste aceptable, de los riesgos que afecten a los sistemas de información. El concepto de seguridad en la información se ha ampliado. En un principio, el concepto de seguridad informática contemplaba solamente la seguridad técnica. Ahora, el concepto de seguridad abarca tres vertientes: La técnica (física y lógica), es la seguridad de los componentes hardware y su entorno(seguridad física), y de las aplicaciones y sus datos (seguridad lógica), La legal, el la normativa legal de seguridad que obligatoriamente la organización debe cumplir. Por ejemplo: Los requisitos impuestos por la Ley 11/1999 LOPD. La organizativa, el funcionamiento de la organización debe ser el adecuado para garantizar la seguridad de la información que maneja Existen multitud de estándares aplicables a diferentes niveles para conseguir y gestionar la seguridad de la información, como ITSEC estándar europeo-, BS 7799 Británico-... De todos ellos, el más extendido y aceptado internacionalmente es el BS 7799, del cual proviene la norma ISO 27002, anteriormente denominada ISO 17799. Página 1 de 8
2 La Norma UNED-ISO 27002 La ISO Organización Internacional de Estándares-, renombro en el 2007 la norma ISO 17799 como ISO 27002, para que todas las normas de seguridad tengan el formato 27xxx. Siendo casi idénticas la versión ISO 17799:2005 con ISO 27002:2007. La norma ISO 27002 es un código de buenas prácticas para gestionar la seguridad de la información de una organización, garantizando la confidencialidad, integridad y disponibilidad de la información que maneja. Está dirigida a los responsables de definir, implantar o mantener un sistema de gestión de la seguridad de la información SGSI- de una organización. La ISO 27002 persigue proporcionar una base común para desarrollar las normas de seguridad dentro de las organizaciones y proveer de prácticas eficaces para la implantación del SGSI. También busca mejorar la confianza en las organizaciones que hayan implementado sistemas de gestión de seguridad siguiendo sus recomendaciones. Para la ISO 27002, la información es un activo de la organización, que hay que proteger adecuadamente para asegurar la continuidad del negocio, minimizar los daños y maximizar el retorno de las inversiones y oportunidades de negocio. Las características de la norma son: 1. Está formado por un conjunto completo de controles que conforman las buenas prácticas recomendadas para un SGSI. 2. Aplicable a todas las organizaciones, independientemente de su tamaño y negocio. 3. Flexible e independiente de cualquier solución de seguridad concreta: las recomendaciones son neutrales con respecto a la tecnología utilizada para implementarlas. Basa la seguridad en establecer tres requisitos básicos: Confidencialidad: Que la información sólo sea accesible por las personas que estén autorizadas para ellos. Disponibilidad: Que el acceso a la información esté accesible en el momento que se necesite. Integridad: La información debe mantenerse completa e inalterada. No puede ser manipulada sin autorización. El proceso para que una organización asuma esta norma es: Primero, se identifican y evalúan las principales amenazas, riesgos y vulnerabilidades de los SI a la hora de almacenar y manipular la información. Posteriormente, se tienen que definir y establecer los controles de seguridad recomendados por la norma, teniendo en cuenta los resultados del estudio anterior y las características de la organización. Página 2 de 8
2.1 Estructura de la norma La norma ISO 27002 se compone de 12 secciones que cubren por completo la gestión de la seguridad de la información: 1. Evaluación y tratamiento de riesgos y amenazas 2. Política de seguridad 3. Aspectos organizativos para la seguridad 4. Clasificación y control de activos 5. Seguridad ligada al personal 6. Seguridad física y del entorno 7. Gestión de comunicaciones y operaciones 8. Control de accesos 9. Desarrollo y mantenimiento de sistemas 10. Gestión de continuidad de negocio 11. Conformidad con la legislación 12. Gestión de los incidentes de seguridad de la información De estas 12 secciones se derivan 39 objetivos, que son los resultados que se esperan alcanzar mediante la implementación del SGSI. La norma contiene, para cada objetivo, uno o varios controles necesarios para asegurar que el objetivo del SGSI se satisfaga. Un control es una práctica, procedimiento o mecanismo que reducen los niveles de riesgo en la organización. La norma también contiene una guía para la implementación de los 136 controles propuestos dentro de ella. Las secciones se pueden clasificar en tres niveles. El nivel estratégico aparecen: 2.1.1 Evaluación y tratamiento de riesgos y amenazas El objetivo de esta sección es proporcionar las recomendaciones necesarias para identificar, evaluar y preparar el tratamiento de los riesgos a la seguridad según su nivel de amenaza para la organización. La identificación y evaluación de riesgos se debe realiza de forma periódica y sistemática para todos los sistemas de información de la organización. La evaluación debe ser periódica para poder adaptar el SGSI a los cambios en los sistemas de información. El tratamiento de los riesgos detectados buscará mitigarlos teniendo en cuenta los objetivos de la organización. Consistirá en seleccionar los controles contenidos en la norma, ya sean de carácter técnico o administrativo. La norma establece que hay que tener en cuenta las características de cada organización a la hora de decidir que controles se implementarán. Así, para una organización se aplicarán controles técnicos para eliminar el riesgo y, en otra, será más conveniente contratar un seguro. 2.1.2 La Política de seguridad Contiene las recomendaciones para la elaboración del marco de referencia del SGSI de la organización. Se materializa en el documento denominado la Política de seguridad, que contiene las líneas directrices en materia de seguridad informática de la organización. Página 3 de 8
La política de seguridad se compone: el alcance y objetivos del SGSI -Sistema de seguridad de la información-, una breve descripción de los procedimientos, mecanismos, normas... que componen el SGSI La identificación de las responsabilidades generales y específicas de todo el personal involucrado y las referencias a la documentación que sustentan la política de seguridad, por ejemplo la documentación de los procedimientos de seguridad. La política de seguridad debe ser apoyada de forma visible por la alta dirección y conocida por todo el personal implicado en la seguridad de la información. La política de seguridad es un documento vivo. Debe evaluarse y actualizarse de forma periódica, según los principios de mejora continua. 2.1.3 Los Aspectos organizativos para la seguridad En esta sección aparecen los controles de la estructura organizativa que aseguran que el organigrama de la organización defina las responsabilidades y funciones que en materia de seguridad tiene cada usuario o área de trabajo relacionada con los sistemas de información. Se trabaja desde un enfoque multidisciplinar, pues los problemas de seguridad no son exclusivamente técnicos. La norma propone la creación de un Comité de Seguridad de la Información. Este comité estará formado por miembros de la Dirección encargado de promover y coordinar la seguridad en la organización, y asegurar que se dispongan los recursos adecuados. Entre sus funciones será actualizar la Política de seguridad, mencionada en el apartado anterior. Los objetivos de esta área de control son: Gestionar la seguridad de la información dentro de la organización. Mantener la seguridad en los sistemas de información accedidos por terceros Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización. Dentro del nivel táctico encontramos los siguientes dominios de control 2.1.4 La Clasificación y Control de activos La finalidad de esta sección es elaborar un inventario que permita mantener un nivel de protección adecuado sobre los activos de la Organización. El inventario contiene todos los activos relacionados con los sistemas de información. Como activos se entienden: Activos hardware, activos software, los datos que manejan y los servicios que utiliza la organización, por ejemplo, el servicio de acceso a Internet. Los activos deben clasificarse para indicar la importancia y el grado de protección necesario para cada uno de ellos. Los activos deben estar marcados para poder identificarlos. Por ejemplo, mediante etiquetas en las cajas de los ordenadores. Página 4 de 8
2.1.5 La Conformidad con la legislación En esta área se busca garantizar que la organización cumple con todas las normas que le son aplicaples, como leyes, contratos, acuerdos con terceros Para ello se identifican la legislación u otras obligaciones aplicables a los sistemas de información corporativos, por ejemplo la LOPD. Estas obligaciones se integran dentro del SGSI. Se debe establecer un plan de auditorías para garantizar el cumplimiento de estas obligaciones y de los procedimientos del SGSI. La norma establece controles específicos para el control de los derechos de autor y la protección de datos personales. El objetivo de las auditorias es: Evitar el incumplimiento de cualquier Ley, regulación u obligación contractual por parte de la organización, Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia del proceso de auditoría 2.1.6 La Gestión de continuidad del negocio La finalidad de esta sección es que la organización pueda reaccionar a la interrupciones de su actividad y proteger sus procesos críticos frente a grandes fallos o desastres. Se busca reducir a niveles aceptables, los daños que un desastre o fallo de seguridad puedan causar. Para ello, propone una combinación de controles preventivos y de recuperación. Se establecen controles para la identificación y reducción de riesgos, limitar las consecuencias de materialización y asegurar la reanudación, a tiempo, de las operaciones esenciales. También tiene en cuenta el desarrollo e implantación de planes de contingencia, que es el procedimiento que asegura los procesos del negocio se pueden restaurar en los plazos requeridos. En el nivel operacional, se encuentran el resto de dominios de control 2.1.7 Seguridad ligada al personal. Este dominio abarca los controles para: Reducir los riesgos por errores humanos, robos o mal uso de instalaciones y servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información y que están preparados para cumplir con la política de seguridad de la organización. Minimizar los daños provocados por incidencias de seguridad, aprendiendo de ellos. Establece controles desde las etapas de selección del personal, especialmente el personal que interviene en tareas sensibles. También contempla el uso de acuerdos de confidencialidad para determinar qué información es confidencial que se incluirán en los contratos de trabajo. Las implicaciones del factor humano en la seguridad son muy elevadas. Por ello, todo el personal, tanto interno como externo a la organización, debe conocer las implicaciones de la política de seguridad en su trabajo y deben recibir formación en el uso con seguridad de los recursos de tratamiento de información, para minimizar los posibles riesgos. Página 5 de 8
Es importante tener procesos de notificación de incidencias claros, ágiles y conocidos por todos. Gracias a ellos, el Comité de seguridad estará informado de las incidencias o vulnerabilidades de los sistemas. La información recibida servirá para el proceso de mejora continua del SGSI. 2.1.8 La seguridad física y del entorno Contiene las normas para: Evitar accesos no autorizados, daños e interferencias contra los locales y los sistemas de información de la organización. Recomienda controles de seguridad tanto para los centros de proceso de datos con los sistemas críticos, como para las oficinas y despachos. Evitar la perdida o daños en los activos hardware. El equipamiento estará físicamente protegido de las amenazas y riesgos del entorno para reducir el riesgo de accesos no autorizados a los datos y protegerlo contra pérdidas o daños. Se contemplan medidas como sistemas antiincendio. Prevenir las exposiciones a riesgos o robos de información al reutilizar o eliminar equipos. Las medidas de seguridad serán proporcionales a los riesgos identificados. 2.1.9 Gestión de comunicaciones y operaciones Su finalidad es garantizar la seguridad de las comunicaciones y de la operación de los sistemas críticos para la organización. Para ello, contiene las recomendaciones para: Asegurar la operación correcta y los recursos de los sistemas de información y de comunicaciones. Se establecerán responsabilidades y procedimientos para la gestión y operación de todos los recursos de tratamiento de información. Minimizar el riesgo de fallos en el sistema. Deben realizarse proyecciones de los requerimientos futuros de capacidad para reducir el riesgo de sobrecarga del sistema. Se establecen las medidas necesarias para aceptar de forma segura nuevos sistemas de información en el entorno operacional. Proteger la integridad de la información y del software contra la introducción de software dañino. Asegurar la seguridad de la información en las redes y la protección de la infraestructura de red. Establece controles tanto para la red interna (LAN) de la organización, como para la que circula por redes públicas. (Internet). Establece recomendaciones específicas para los sistemas de comercio y correo electrónico y sistemas públicos como la web. Controlar la utilización y seguridad de los soportes de información: Documentos, cintas, cds... Prevenir la perdida, modificación o mal uso de la información intercambiada entre organizaciones. 2.1.10 Control de acceso Establece las recomendaciones para implantar las medidas de control de acceso adecuados para la protección de los sistemas de información a diferentes niveles: Sistema operativos, aplicaciones, redes... El objetivo es: Control los accesos no autorizados a la información, a los sistemas de información y a los ordenadores. Se establece la política de acceso a los diferentes sistemas de la Página 6 de 8
organización. También se establecen controles de los procedimientos utilizados para gestionar los usuarios. Establece recomendaciones para tres niveles de control de acceso: 1. A nivel de redes, por ejemplo con el uso de firewalls 2. A nivel de SO, por ejemplo la desconexión automática de terminales 3. A nivel de aplicaciones, por ejemplo el uso de registros de la actividad de los usuarios. Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo. Se considerarán los riesgos de trabajar en un entorno desprotegido cuando se usa informática móvil. 2.1.11 Desarrollo y mantenimiento de aplicaciones El conjunto de medidas que se establecen en este apartado son: Asegurar que la seguridad está contemplada dentro de los sistemas de información. Se controlará que los requisitos en el desarrollo de un sistema tengan en cuenta las necesidades de seguridad. Seguridad en los sistemas de información: Se diseñarán dentro de los sistemas las medidas de control y las trazas de auditoría necesarios. Estos incluirán la validación de los datos de entrada, el tratamiento interno y los datos de salida Cuando sea necesario, establece los controles para proteger la confidencialidad, autenticidad e integridad de la información de la aplicación mediante el uso de sistemas de cifrado. Controles para la seguridad de los ficheros de la aplicación. Tanto los ficheros con código ejecutable, ficheros de datos y ficheros fuente. También recomienda establecer controles en el entorno de desarrollo, para evitar modificaciones no deseadas de la aplicación en desarrollo. Todos estos controles deben implantarse tanto para desarrollos internos como externos. 2.1.12 Gestión de los incidentes de seguridad de la información Esta sección busca conseguir que cualquier incidente o vulnerabilidad asociada a la información o SI de la organización sea detectada y comunicada de forma que puedan realizarse las acciones correctivas apropiadas. Para ello se contemplan los controles que consigan: o o o Que se informe rápidamente de cualquier incidente surgido o vulnerabilidad detectada por cualquier miembro de la organización. Investigar, documentar y recolectar evidencias del incidente, por si son necesarias posteriormente. Por ejemplo, para tramitar una denuncia. Aprender de los incidentes surgidos. Establece los mecanismos para analizar la información recolectada para poder mejorar el SGSI. Página 7 de 8
3 Certificación del SGSI La certificación del SGSI es el proceso por el cual una entidad evalúa si el SGSI cumple ciertas normas, en este caso la ISO 27002. Esta norma no sirve para certificar SGSI porque es una guía de buenas prácticas y no especifica los requisitos necesarios para que pueda establecerse un sistema de certificación adecuado. En los casos que interesa certificar el SGSI, hay que utilizar la norma ISO 27001 Requisitos de los Sistemas de gestión de seguridad de la Información. Esta norma sí es certificable al especificar los requisitos necesarios para el SGSI. ISO 27001 es consistente con las mejores prácticas de ISO 27002 pues tiene su origen en la norma británica BS 7799-2. Por ello, se pueden integrar ambas normas para implantar un SGS certificable en una organización. El objetivo de obtener una certificación en seguridad es conseguir una garantía de buen funcionamiento del SGSI. La certificación aumenta la confianza de las entidades externas (clientes, socios, etc.) en la organización y también mejora la confianza interna en el SGSI. Página 8 de 8