Práctica 6: Sobre salvaguardas y medidas de seguridad de la información
Actividad 1:
La finalidad de esta primera tarea es conocer en detalle la norma ISO/IEC 27002. Para ello será necesario investigar sobre cuántas medidas de seguridad definen la norma, cuáles son y la diferencia que hay entre la versión de 2005 y la de 2013.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
Ahora bien, ¿para qué sirve esta norma?
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
Quizás la mayor diferencia entre el viejo estándar y el nuevo es la estructura.
Actividad 2:
A continuación voy a publicar una hoja de cálculo donde se muestra cada uno de los dominios de seguridad de la 27002 y su correspondiente ponderación de seguridad, el nivel de amenaza estimada cubierta, la probabilidad acierto en la protección y el riesgo cubierto de dominio.
Actividad 3:
En relación con la tabla anterior, he preparado un diagrama de sectores para mostrar el número medidas (en porcentaje total) de cada dominio. De esta forma es más fácil visualizar por cantidades las medidas que corresponden a cada activo.
Actividad 4:
Los resultados tras tomar el dominio de seguridad ligado a los recursos humanos, valorando el riesgo estimado cubierto, son los siguientes:
Actividad 5:
Elegir otro dominio según considere el alumno, preferentemente diferente del resto de alumnos y estudiar las medidas concretas que define la norma. Investigar y explicar cómo podría ser aplicado haciendo una entrada en el blog.
En este caso he escogido el dominio relativo al control de acceso. El control de acceso es una actividad técnica que tiene relación con la apertura de cuentas, contraseñas y cosas parecidas. El control de acceso incluye todas estas cosas, pero el control de acceso no comienza como algo técnico. Es una decisión de negocios.
La finalidad de esta primera tarea es conocer en detalle la norma ISO/IEC 27002. Para ello será necesario investigar sobre cuántas medidas de seguridad definen la norma, cuáles son y la diferencia que hay entre la versión de 2005 y la de 2013.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
Ahora bien, ¿para qué sirve esta norma?
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
No podemos hablar de seguridad de la información, sin hablar de legislación, normas y políticas aplicables que se encuentre relacionadas con este campo y con las que conviven en las organizaciones. Debemos tener presente que ocupan un enorme lugar en cualquier sistema de gestión y deben garantizar que se cumple y que están actualizados con los últimos cambios.
DIFERENCIAS ENTRE ISO/IEC 27002:2005 E
ISO/IEC 27002:2013
Quizás la mayor diferencia entre el viejo estándar y el nuevo es la estructura.
ISO/IEC 27002:2005 tenía 11 secciones principales mientras que ISO/IEC 27002:2013 ahora tiene 14. Estas nuevas secciones analizan la criptografía, la seguridad de las comunicaciones y las relaciones con los proveedores (secciones 10, 13 y 15, respectivamente).
Sin embargo, mientras que el nuevo estándar tiene tres secciones más, de hecho es más corto y más centrado que el anterior. El antiguo estándar tenía 106 páginas de contenido, mientras que el nuevo solo tiene 78.
ISO IEC 27002 2013 también tiene varias subsecciones nuevas. Estas nuevas
subsecciones discuten seguridad de gestión de proyectos , gestión de activos , instalación de software , desarrollo seguro (, principios de ingeniería de sistemas seguros , entornos de desarrollo seguros , pruebas de seguridad del sistema, seguridad del proveedor...
Además, la mayoría de las secciones se han reescrito, al menos hasta cierto punto, y algunas secciones se han dividido o trasladado a otras secciones.
ISO IEC 27002 2013 también tiene varias subsecciones nuevas. Estas nuevas
subsecciones discuten seguridad de gestión de proyectos , gestión de activos , instalación de software , desarrollo seguro (, principios de ingeniería de sistemas seguros , entornos de desarrollo seguros , pruebas de seguridad del sistema, seguridad del proveedor...
Además, la mayoría de las secciones se han reescrito, al menos hasta cierto punto, y algunas secciones se han dividido o trasladado a otras secciones.
Finalmente, aludir a diferencias en la terminología de algunos conceptos.
A continuación voy a publicar una hoja de cálculo donde se muestra cada uno de los dominios de seguridad de la 27002 y su correspondiente ponderación de seguridad, el nivel de amenaza estimada cubierta, la probabilidad acierto en la protección y el riesgo cubierto de dominio.
Actividad 3:
En relación con la tabla anterior, he preparado un diagrama de sectores para mostrar el número medidas (en porcentaje total) de cada dominio. De esta forma es más fácil visualizar por cantidades las medidas que corresponden a cada activo.
Actividad 4:
Los resultados tras tomar el dominio de seguridad ligado a los recursos humanos, valorando el riesgo estimado cubierto, son los siguientes:
Actividad 5:
Elegir otro dominio según considere el alumno, preferentemente diferente del resto de alumnos y estudiar las medidas concretas que define la norma. Investigar y explicar cómo podría ser aplicado haciendo una entrada en el blog.
En este caso he escogido el dominio relativo al control de acceso. El control de acceso es una actividad técnica que tiene relación con la apertura de cuentas, contraseñas y cosas parecidas. El control de acceso incluye todas estas cosas, pero el control de acceso no comienza como algo técnico. Es una decisión de negocios.
La norma ISO 27001 requiere:
-Definir el control de acceso en la sección A.9 del Anexo A.
-Contar con un total de 14 control
Se debe establecer una política de control de acceso, y definir qué usuarios tendrán acceso a las redes y servicios. Esto supone que se deben establecer las reglas en primer lugar, y entonces dar permiso a los usuarios. En este caso lo lógico sería establecer perfiles de usuario correspondientes a cada función. Por ejemplo, un usuario que pueda acceder a todo, y el resto de usuarios solo a la parte que les corresponda para el normal funcionamiento.
Así mismo, se tendrá que instruir a los usuarios para que asuman una responsabilidad individual, y han de seguir las siguientes pautas comunes: no revelo de la contraseña, usar contraseñas diferentes en diferentes sitios...
Y eso es todo por hoy, ¡hasta la próxima!
Comentarios
Publicar un comentario