Implantación de un sistema de gestión de seguridad
Este curso especifica la metodología y requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) de acuerdo a las normas UNE 71502 que establece las especificaciones de dicho sistema y la UNE-ISO/IEC 17799 referenciada por la primera.
Para contar con una metodología completa, en este curso te daremos unas bases para el desarrollo de guías, modelos, cuestionarios e instrucciones de trabajo necesarios que permitan realizar el trabajo de campo correspondiente a cada una de las tareas descritas en la presente metodología.
Capítulo 1: Presentación y objetivos
Este curso especifica la metodología y requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) de acuerdo a las normas UNE 71502 que establece las especificaciones de dicho sistema y la UNE-ISO/IEC 17799 referenciada por la primera.
Estos pasos han sido descritos de forma genérica, sin entrar en detalles, ni describir el "cómo" se desarrollaran. Para contar con una metodología completa, en una segunda fase deberán desarrollarse las guías, modelos, cuestionarios e instrucciones de trabajo necesarios que permitan realizar el trabajo de campo correspondiente a cada una de las tareas descritas en la presente metodología.
Según define la ISO 71502 un SGSI es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. Este sistema es la herramienta de que dispone la Dirección de las organizaciones para garantizar:
· Confidencialidad: Aseguramiento de que las información sólo serán accesible a aquellas personas que han sido debidamente autorizadas.
· Integridad: El contenido de las información no se verá alterado por personas que no están autorizadas para hacerlo.
· Disponibilidad: Las información estará siempre disponible y accesible a aquellas personas que la requieran para desarrollar sus actividades.
El SGSI proporciona mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en concordancia con las políticas de seguridad y planes estratégicos de la Organización.
La UNE-ISO/IEC 17799 es un código de buenas prácticas para la Gestión de la Seguridad de la Información elaborada por AENOR noviembre del 2002. Esta normativa tiene su origen en la normativa internacional ISO 17799 que a su vez fue adoptada por el procedimiento de "fast-track" del estándar británico BS 7799, por el comité Técnico conjunto ISO/IEC JTC 1. La normativa española no es más que una traducción de esta normativa internacional.
Como es habitual en todas las normativas de este estilo (ISO 9000, ISO 14000, etc.) existe la posibilidad de certificar que la implantación se ha realizado de una forma correcta y que cumple con lo establecido por el estándar. En este sentido, cabe comentar que en la actualidad en España es posible certificarse bajo la BS 7799:2 y la UNE 71502. La primera de ellas, tiene como norma de referencia el BS 7799 y la segunda, que es de origen y elaboración española, tiene como norma base la UNE-ISO 17799.
La norma se agrupa en dominios formados por una serie de objetivos de control que a su vez contienen controles que son propiamente las medidas de seguridad a implantar en las organizaciones. Concretamente, se han definido 36 objetivos de control y 127 controles a considerar en el momento de abordar la implantación de un SGSI.
Siguiendo dicho modelo el proyecto de análisis, implantación y seguimiento de un SGSI se ha planteado en dos fases:
· Fase A: Planificar. Establecer el SGSI
- Delimitar entorno y alcance
- Establecer la importancia de la información en la organización
- Definir la Política de Seguridad
- Establecer la estructura organizativa relativa a la seguridad
- Identificar y clasificar activos
- Identificar y valorar riesgos
- Planificar la gestión de riesgos
- Definición de procedimientos
- Documentación requerida
- Control documental
- Registros
- Responsabilidad de la Dirección
· Fase B: Hacer. Implantar el SGSI
- Gestión del riesgo: implantación de controles
- Verificación de la eficación de los controles
Capítulo 2: Delimitar el entorno y alcance del SGSI
Esta tarea establecerá y definirá el marco general de referencia para el proyecto. Como resultado final se obtendrán las cuestiones a desarrollar para el proyecto concreto así como la planificación del mismos. La identificación realizada anteriormente de procesos críticos de la Organización basada en los requisitos de protección y en el impacto del negocio definirá el alcance final del SGSI.
Definición del dominio y objetivos Definir el alcance, objetivos del SGSI, su dominio y sus límites en función de los procesos críticos de la Organización identificados. Se efectuará una primera identificación del entorno y de las restricciones generales a considerar. Se establecerán los colectivos de personas (responsables, técnicos, usuarios, etc.) necesarios para la recogida de información.
Deberán incluirse los siguientes detalles para concretar el alcance final:
· Descripción de la organización
· Descripción funcional del negocio
· Descripción de localización y distribución geográfica
· Procesos de negocio incluidos en el alcance
· Sistemas de Información incluidos en el alcance
· Diagrama de red
Si algunas áreas de negocio van a ser excluidas del proyecto, se indicarán las razones de la exclusión debidamente justificadas.
Planificación del proyecto Esta actividad estima los elementos de planificación del proyecto, sus cargas de trabajo, el grupo de usuarios, los participantes y su modo de actuación y el plan de trabajo para la realización del proyecto.
El proyecto se organizará en los siguientes grupos:
· Comité de seguimiento
- Constituido por el responsable de las unidades afectadas, el responsable de informática de dichas unidades, y el jefe de proyecto.
· Jefe de proyecto
· Equipo de proyecto
· Coordinador local
- En caso de tratarse de una gran organización, efectuará labores de coordinación entre los participantes externos, el comité de seguimiento y los usuarios.
· Usuarios
- Formado por usuarios representativos dentro de las unidades afectadas por el proyecto de análisis y gestión de riesgos.
Lanzamiento del proyecto Se adaptarán los cuestionarios para la recogida de información en función del entorno a analizar. Se elegirán las técnicas principales de evaluación de riesgo a utilizar y se asignarán las personas y recursos necesarios para el comienzo del proyecto. El punto de designación de personas es muy importante, ya que en función del ámbito del proyecto, serán necesarias personas expertas en diferentes campos (redes, SO, etc.), por lo que será imprescindible una correcta planificación en la participación del de éstas.
También se realizará una campaña informativa de sensibilización a los afectados internos sobre las finalidades y requerimientos en su participación.
Capítulo 3: Establecer la importancia de la seguridad de la información en el negocio
Identificar y documentar objetivos de negocio, procesos críticos de negocio y procesos críticos de los Sistemas de Información El objetivo de un SGSI es proporcionar seguridad a los procesos de los Sistemas de Información que soportan los procesos de negocio. Deberá entrevistarse a directores de área, directores de división, jefes de producto y usuarios finales para comprender los objetivos de negocio de la organización y sus distintos procesos de negocio que deberán clasificarse en función de su criticidad. Una vez identificados los procesos de negocio críticos deberán estudiarse los procesos informáticos que soportan a los primeros (que a su vez serán críticos).
Identificar dependencias entre procesos de negocio e informáticos
Deberá clasificarse la dependencia de los procesos de negocio respecto a los procesos informáticos que los tratan en los siguientes grupos:
· Básico a moderado: Cuando el proceso de negocio puede desarrollarse alternativamente con un coste adicional módico.
· Alto: Cuando el proceso de negocio puede desarrollarse alternativamente (por ejemplo de forma manual) con un coste significativo
· Muy alto: Cuando el proceso de negocio no puede desarrollarse sin un proceso informático
Capítulo 4: Definición de la Política de Seguridad
La Política de Seguridad es la demostración de la Dirección sobre el propósito y compromiso de la seguridad de la información en la organización. La Política debería girar entorno a la criticidad de la información identificada en las anteriores tareas. La Política debería reflejar cuestiones como:
· ¿Por qué la información es importante y estratégica para la Organización?
· ¿Qué son los requisitos legales y de negocio para la seguridad de la información?
· ¿Cuáles son las obligaciones contractuales relativas a procesos de negocio, clientes, empleados, etc.?
· Qué pasos debe tomar la organización para garantizar la seguridad de la información
La política elaborada contendrá como mínimo:
· Una definición de la seguridad de la información y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo que permite compartir la información
· El establecimiento del objetivo de la Dirección como soporte de los objetivos y principios de la seguridad de la información
· Una breve explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la Organización, por ejemplo:
1. Conformidad con los requisitos legislativos y contractuales
2. Requisitos de formación en seguridad
3. Prevención y detección de virus y otro software malicioso
4. Gestión de la continuidad del negocio
5. Consecuencias de las violaciones de la política de seguridad
6. Requisitos de uso de los Sistemas de Información como gestión de contraseñas, acceso a internet, uso de e-mail
7. Controles técnicos.
· Controles de cambio de software
· Controles de versión
· Seguridad de bases de datos
· Seguridad de redes y telecomunicaciones
· Seguridad de Sistemas operativos
· Seguridad de Firewalls
· Respuesta ante incidentes
· Seguridad de servidores web
· Seguridad de Intranet
· Seguridad de comercio electrónico
· Cifrado de datos
8. Controles establecidos sobre empresas externas o telebrabajo
· Una definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información, incluida la comunicación de las incidencias de seguridad
· Las referencias a documentación que pueda sustentar la política como por ejemplo políticas y procedimientos mucho más detallados para Sistemas de Información específicos o las reglas de seguridad que los usuarios deberían cumplir
Procederá a asignarse un propietario responsable del mantenimiento y revisión de la política conforme a un proceso de revisión definido. Este proceso asegurará que la revisión responde a todo cambio que afecte a las bases de la evaluación original del riesgo como incidencias de seguridad significativas, nuevas vulnerabilidades y cambios organizativos o técnicos. Igualmente se definirán las revisiones periódicas de:
· La efectividad de la política (demostrada por el número e impacto de las incidencias de seguridad)
· El coste y el impacto de los controles en la eficiencia del negocio
· Los efectos de los cambios tecnológicos
Capítulo 5: Diseño de la estructura Organizativa de Seguridad
Después de publicar la Política de Seguridad, seguidamente se establecerá una estructura organizativa que asegure la implicación e implantación de las medidas de seguridad.
La estructura organizativa debería consistir en un Comité de Seguridad dirigido por un miembro de la dirección y que incluyera representantes de áreas de negocio más importantes y de los distintos departamentos de tecnología. El Comité debería promover la seguridad en la Organización por medio de un compromiso apropiado y de los recursos adecuados. Normalmente el comité realizará funciones como:
1. Revisión y aprobación de la política de seguridad
2. Supervisión y control de los cambios significativos en la protección de activos
3. Revisión y seguimiento de incidencias
4. Aprobación de iniciativas en materia de seguridad
El Responsable de Seguridad de la Organización debería ser una parte fundamental del comité y coordinar los esfuerzos de seguridad de la Organización. El Responsable de Seguridad en función de la magnitud de la compañía debería formar y coordinar equipos de:
· Respuesta ante incidencias
· Mantenimiento de seguridad
· Formación en seguridad
· Recuperación de desastres
· Propietarios de la Política de Seguridad
Capítulo 6: Identificar y clasificar activos
Una vez identificados los procesos críticos de la organización y los sistemas informáticos que los soportan, cada uno de éstos últimos contiene activos de información que a su vez dependen de otros componentes críticos como software, hardware e infraestructura diversa diseñados para sostener de forma eficiente dichos procesos críticos. La identificación de los activos y componentes críticos es esencial para conocer qué debe protegerse para clasificarlos mediante criterios basados en su confidencialidad, integridad y disponibilidad.
Los activos pueden agruparse en las siguientes categorías:
· Activos de información: ficheros y bases de datos, documentación del sistema, manuales de usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivada
· Activos de software: software de aplicación, software del sistema, herramientas y programas de desarrollo
· Archivos físicos: equipo de tratamiento (procesadores, monitores, portátiles, módems), equipo de comunicaciones (routers, centrales digitales, máquinas de fax), medios magnéticos (discos y cintas), otro equipo técnico(suministro de energía, unidades de aire acondicionado), muebles, etc.
· Servicios: servicios de tratamiento y comunicaciones, servicios generales (calefacción, alumbrado, energía, aire acondicionado).
· Otros activos (imagen, objetivos, servicios producidos, credibilidad ...).
La responsabilidad de cada activo debería estar asignada sobre cada propietario por lo que se procederá a designar un responsable para cada recurso o grupos de recursos el cual asumirá en un futuro la tarea de mantener los controles apropiados y vigentes.
La información tiene varios grados de criticidad y sensibilidad y debería utilizarse un sistema de clasificación para garantizar una gestión del riesgo adecuada. Una serie de procedimientos organizativos avalarán que en primer lugar, la información se encuentre efectivamente clasificada y que cualquier cambio o creación de un activo de información reciba la tipificación adecuada y la destrucción de cualquier recurso de información sea gestionado de forma acorde al nivel definido.
Siguiendo los criterios definidos en la mayoría de modelos como MAGERIT e ISO17799 se crearán los criterios de clasificación de la información y recursos en función de:
· Nivel de confidencialidad asociada a la información derivados del marco regulador externo o criterios internos.
· Necesidad de disponibilidad del recurso en función del numero de personas afectadas por indisponibilidad, funcionamiento irregular, pérdida de imagen y tiempo de recuperación
· Inversión económica de reposición ante la pérdida.
· Nivel de pérdida de integridad del activo (cuanto más alto se el nivel más probable será que éste pierda su integridad)
Se elaborará una Guía de Clasificación de la Información que contendrá todos los procedimientos necesarios para gestionar el ciclo de vida de la información especialmente en lo relativo a la denominada sobre-clasificación o clasificación por exceso de información que con el tiempo o por cambios legales pasó a tener niveles inferiores. Igualmente se considerarán el número de categorías de clasificación adecuadas en función de la problemática legal, organizativa y técnica de la compañía. Normalmente se contemplarán los siguientes niveles:
· Desclasificado, considerado público y sin requisitos de control de acceso y confidencialidad
· Compartido, recursos que son compartidos entre grupos o personas no pertenecientes a la organización
· Sólo compañía, acceso restringido a los empleados de la organización
· Confidencial, acceso restringido a una lista específica de personas
Si el proyecto lo requiere procederá a desarrollarse las Listas de Control de Acceso de información que especificará quién puede acceder a qué.
La Guía de Clasificación contendrá los procedimientos de marcado y tratado de la información de acuerdo con el esquema definido durante el proyecto y adoptado por la Organización. Los procedimientos cubrirán actividades como copia, almacenamiento, transmisión electrónica de documentos, transmisión oral (telefonía móvil, transmisión de voz, máquinas de respuesta automática) y destrucción. El marcado reflejará la clasificación de acuerdo con las reglas establecidas en elementos como informes impresos, pantallas, medios de almacenamiento, mensajes electrónicos y transferencias de ficheros.
Capítulo 7: Identificar y valorar riesgos /Plan de gestión de riesgo
Procederá a efectuarse un análisis de riesgo de los activos identificados (o deseados) anteriormente siguiendo.
El plan de Gestión del Riesgo es un documento en el que se definirán las acciones coordinadas y se seleccionarán los controles adecuados para implantarlos durante la Fase de Implantación del SGSI. Este plan debe contener las acciones a ejecutar a corto, medio y largo plazo; los costes asociados en términos de inversiones, costes operativos, cargas de trabajo y un calendario de implantación. Debería incluir:
· Diseño y una arquitectura global de seguridad
· Identificación de los controles establecidos en la norma ISO 17799 en respuesta a las amenazas evaluadas.
· Identificación de los controles de la norma ISO 17799 excluidos en función el análisis de riesgo y a la naturaleza de la Organización y su actividad
· Valoración del nivel actual de confianza de los controles o salvaguardas, que incluye la determinación de su eficacia
· Una visión general de la valoración de los riesgos residuales en el contexto del sistema o aplicación. Los riesgos residuales resultantes deberán ser aprobados por Dirección.
· La identificación y definición de acciones con su prioridad respectiva con objeto de implantar salvaguardas
· Un plan de trabajo detallado para la implantación de los controles, incluyendo prioridades, presupuesto y calendarios
· Actividades de control del proyecto incluyendo el compromiso de recursos, asignación de responsabilidades y la definición de procedimientos para el seguimiento del progreso
· La concienciación en la seguridad y los requisitos de formación para la plantilla de Sistemas de Información y los usuarios finales
· Los requisitos para el desarrollo de los procedimientos de operación y administración de la seguridad
El plan debe incluir los procedimientos que definen las condiciones y acciones para la validación de cada uno de los puntos arriba expuestos, incluyendo la modificación del propio plan.
Capítulo 8: Definición de procedimientos
Siguiendo el modelo proporcionado por la ISO 71502 y la legislación aplicable como mínimo van a revisarse o estudiar la conveniencia de crear (y en ese caso crearlos) los siguientes procedimientos organizativos, jurídicos y técnicos circunscritos a los siguientes grupos:
- Política de seguridad
Revisión y evaluación periódica de la política de seguridad
Control y gestión de la documentación
- Aspectos organizativos de la seguridad
Asignación de responsabilidades para la seguridad de la información
- Clasificación y control de activos
Inventario de activos
Clasificación de activos
Clasificación de la información
Revisión y clasificación periódica de activos
Revisión periódica del análisis de riesgos
Marcado y tratamiento de la información
- Seguridad ligada al personal
Contratación del personal
Formación
Comunicación de las incidencias de seguridad
- Seguridad física y del entorno
Instalación y protección de equipos
Mantenimiento de los equipos
- Gestión de comunicaciones y operaciones
Procesos operacionales
Control de cambios operacionales
Gestión de incidencias
Medidas y controles contra software malicioso
Recuperación de la información
Gestión de soportes extraíbles
Eliminación de soportes
Análisis y gestión de riesgos
Planificación de la capacidad del sistema
Autorización de salida de material y/o información
Copias de respaldo y restauración
- Desarrollo y mantenimiento de sistemas
Identificación y autenticación de usuarios
Restricción de acceso a la información
Control de acceso a la red
Control de acceso al sistema operativo
Control de acceso lógico a la información
Sistema de gestión - Gestión de contraseñas
Control de cambios de sistema operativo
Selección, control y aprobación de software externo
Especificación de los requerimientos de seguridad
Control de software en operación
- Gestión de continuidad de negocio
Gestión de la continuidad del negocio
Mantenimiento y evaluación de los planes de continuidad
- Conformidad legal
Identificación de la legislación aplicable
Revisión de cumplimiento de la legislación
Auditorías internas
- Procedimientos legales
Procedimiento de actuación ante una inspección de la Agencia de Protección de Datos
Procedimiento para el registro de nombres de dominio
Procedimiento para proteger una oferta comercial en Internet
Procedimiento para las acciones de marketing digital y relacional
Procedimiento de publicidad y acciones de promoción
Procedimiento de uso de derechos exclusivos de terceros
Procedimiento para la validez de la contratación on line
Procedimiento para la protección al consumidor en las ventas y servicios vía Internet
Procedimiento para el uso de Intranet, Extranet, y red corporativa
Procedimiento para el uso corporativo desde el punto de vista legal del correo electrónico y aplicaciones de Internet
Procedimiento para la adquisición y uso de programas de ordenador
Procedimiento de atención a los derechos de acceso, rectificación, oposición y cancelación de los afectados
Procedimiento de creación, modificación y supresión de los ficheros de datos personales
Procedimiento de actualización y mantenimiento de la calidad de ficheros de datos personales
Procedimiento de validación de la cesión o comunicación de datos
Procedimiento de validación de transferencias internacionales de datos
Procedimiento de utilización de técnicas electrónicas, informáticas y telemáticas por la organización
Procedimiento de uso de infraestructuras de clave pública
Procedimiento para la contratación con prestadores de servicios de Internet y Telecomunicaciones
Con carácter condicional se estudiará la conveniencia de crear procedimientos relativos a:
Identificación de riesgos por el acceso de terceros
Contratación de servicios
Externalización
Contratación de empresas colaboradoras
Seguridad del correo electrónico
Sistemas públicamente disponibles
Control de entrada, almacenamiento y salida de la información
Intercambio físico de información
Intercambio lógico de información
Gestión remota de equipos
Control del paso de desarrollo a pruebas
Control del paso de pruebas a producción
Control de cambios de software
Control del diseño de aplicaciones
Capítulo 9: Documentación requerida
La norma ISO 71502 exige una serie de documentación que deberá ser desarrollada o no en función de las necesidades del cliente como por ejemplo certificación, etc.:
· Evidencia de las acciones llevadas a cabo para definir la Política de Seguridad, el alcance del SGSI, análisis de riesgos, aprobación por parte de Dirección de los riesgos residuales resultantes, selección y aplicabilidad de controles.
· Un resumen ejecutivo del entorno de gestión, incluyendo la política de seguridad de la información, los objetivos que se pretenden alcanzar por los controles y los controles implantados de acuerdo con lo especificado en el documento de selección de controles.
· Procedimientos adoptados para implantar los controles. En este punto se deben especificar las responsabilidades, así como cualquier acción relevante
· Los procedimientos, propios o relacionados, del SGSI para su gestión y operación. En este punto se deben especificar las responsabilidades, así como cualquier acción relevante
· El documento de selección de controles
Capítulo 10: Control documental y registros
Deberán desarrollarse y mantener las acciones y procedimientos necesarios para controlar la documentación requerida por la norma ISO 71502 a efectos de garantizar los siguientes aspectos con referencia a dicha documentación:
· Que se halle disponible y comprensible
· Se revise periódicamente según sea necesario y en línea con la política de la Organización
· Mantenida bajo control de versiones y disponible en los emplazamientos donde se lleven a cabo operaciones fundamentales para el funcionamiento eficiente del SGSI
· Retirada inmediata cuando se encuentre obsoleta
· Identificada y depositada cuando quede obsoleta y se requiera mantener por motivos legales
La documentación debe estar fechada (junto con las fechas de revisión) y debe ser identificable, mantenida de forma ordenada y conservada durante un tiempo determinado. Se establecerán y mantendrán procedimientos y responsabilidades para la creación y modificación de los diferentes tipos de documentos
Se establecerán y los procedimientos necesarios para identificar, mantener, conservar y destruir los registros que evidencien el cumplimiento del SGSI implantado con la norma ISO 71502.
Los registros deben ser legibles, identificables y trazables dentro de la actividad en la que están envueltos. Los registros deben almacenarse y mantenerse de forma que pueden recuperarse en un formato legible y que estén protegidos contra daños, deterioro pérdida y manipulación.
Capítulo 11: Entregables
La FASE A proveerá los siguientes entregables:
Perfil general de las unidades incluidas en el dominio del proyecto
Esquema del dominio y sus relaciones con el entorno
Lista del personal interno participante en el proyecto
Planificación final y detallada del proyecto
Cuestionarios adaptados
Evaluación de procesos críticos de negocio y de los Sistemas de Información
Informe de dependencias entre procesos de negocio e informáticos
Política de Seguridad
Estructura organizativa de seguridad
Informe de identificación y clasificación de activos
Informe de análisis de riesgo
Plan de Gestión de Riesgo y Documento Selección de Controles
Resumen ejecutivo del entorno de gestión, incluyendo la política de seguridad de la información, los objetivos cubiertos con los controles y los controles implantados junto con el documento de selección de controles
Procedimientos adoptados para implantar controles
Procedimientos del SGSI para su gestión y operación
Procedimientos de control documental del SGSI
Asimismo la fase proporcionará:
Disponibilidad del personal afectado en la participación del proyecto
Disponibilidad de la documentación, medios y recursos necesarios
Sensibilización al futuro personal entrevistado que les transmita qué, cuándo y dónde
Capítulo 12: Gestión del riesgo, implantación de los controles
La implantación del riesgo significa convertir todos los planes (especialmente de gestión de riesgo) diseñados en acciones. Esta tarea básicamente implantará los siguientes elementos definidos en la anterior fase:
· Políticas de seguridad
· Procedimientos y normas
· Nuevos productos de seguridad
· Mejoras de los recursos actuales
Como por ejemplo aplicación de parches, nuevas versiones de software etc.
Capítulo 13: Verificación de la eficacia de los controles
Donde sea posible se mantendrá un control sobre la eficacia con la que los controles implantados realizan su función.
Para ello será necesario que durante el diseño de cada control sean seleccionados indicadores adecuados para la evaluación de la eficacia del control una vez implantado. Estos indicadores se definirán, siempre que sea posible y que las evidencias sean fiables, objetivas y relevantes.
