Como introducción al tema se puede decir que esta Norma Internacional ha sido preparada para proporcionar un modelo para implementar y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Esta Norma Internacional puede ser utilizada con el fin de evaluar la conformidad por las partes interesadas internas y externas. Una organización debe identificar y gestionar numerosas actividades con el fin de funcionar eficazmente.
El diseño y la implementación de un SGSI organización está influida por sus necesidades y objetivos además de sus requisitos de seguridad y la estructura de la organización. Se espera que la implementación del SGSI se incremente de acuerdo con las necesidades de la organización, por ejemplo, una situación simple SGSI requiere una solución sencilla.
Cualquier actividad utilizando los recursos y gestión a fin de permitir la transformación de insumos en productos puede ser considerado como un proceso. A menudo el resultado de un proceso de forma directa la entrada del siguiente proceso. La aplicación de un sistema de procesos dentro de una organización, junto con la identificación y interacciones de estos procesos, y su gestión, puede ser denominado un "enfoque de proceso".
Esta Norma Internacional adopta el "Plan-Do-Check-Act" (PDCA) modelo, que se aplica a la estructura de todos los procesos de SGSI. Plan de (establecer el SGSI), hacer (ejecutar y operar el ISMS), Check (controlar y revisar el SGSI) y Ley (mantener y mejorar el SGSI). Esta norma está diseñada para permitir a una organización alinear o integrar su SGSI con los requisitos del sistema relacionados con la gestión.
Esta norma cubre todos los tipos de organizaciones y especifica los requisitos para la aplicación de controles de seguridad adaptados a las necesidades de las mismas o partes de ellas. Además está diseñado para garantizar la selección de los controles de seguridad adecuadas y proporcionadas para proteger los activos de información y dar confianza a las partes interesadas.
Los requisitos establecidos en esta norma internacional son genéricos y se pretende que sean aplicables a todas las organizaciones, independientemente del tipo, tamaño y la naturaleza.
Cualquier exclusión de los controles que se estime necesaria para satisfacer los criterios de aceptación de riesgo tiene que estar justificada y la evidencia debe ser siempre que los riesgos asociados han sido aceptados por las personas responsables.
A los efectos del documento, los siguientes términos y definiciones aplicables: seguridad de la información , caso de seguridad de la información , incidente de seguridad de la información , la seguridad del sistema de información de gestión , riesgo residual, análisis de riesgos , evaluación de riesgos , gestión de riesgos , tratamiento del riesgo, declaración de aplicabilidad, etc.
La organización debe establecer, mantener y mejorar un SGSI documentado dentro del contexto de las actividades de negocios global de la organización y los riesgos que enfrenta. A los efectos de esta norma internacional, el proceso utilizado se basa en el modelo PDCA.
La organización deberá hacer lo siguiente para su implantación:
a) Definir el alcance y los límites del SGSI en función de las características de la empresa.
b) Definir una política de SGSI en función de las características de la empresa.
c) Definir el enfoque de evaluación de riesgos de la organización.
d) Identificar los riesgos.
e) Analizar y evaluar los riesgos.
f) Identificar y evaluar opciones para el tratamiento de los riesgos.
g) Seleccionar objetivos de control y controles para el tratamiento de los riesgos.
h) Obtener la aprobación de la gestión de los riesgos residuales propuestos.
i) la gestión de obtener la autorización para ejecutar y operar el SGSI.
j) Preparar una declaración de aplicabilidad.
Implementar y operar el SGSI
La organización debe realizar un plan de tratamiento de riesgos que identifique la administración, recursos, responsabilidades y prioridades del manejo de los riesgos de seguridad de la información.
Este plan debe ser implementado y al mismo tiempo establecer los controles más adecuados para su control y evaluación de los resultados que produce el mismo.
Monitorear y revisar el SGSI
Un adecuado monitoreo ayuda a establecer patrones normales de comportamiento que permitan detectar errores en el sistema y juzgar si estos se encuentran dentro de una valoración de riesgos que pueda ser considerada aceptable en función de factores como la organización, la tecnología utilizada, el tipo de negocio, las amenazas la efectividad de los controles y eventos externos como cambios en la legislación etc. con el fin de actualizar adecuadamente los planes de seguridad.
Documentación
General
Debe incluir:
- Las políticas, el objetivo del sistema
- Procedimientos de control y mantenimiento
- Metodologías de acción frente a ataques
Todo basado en los literales correspondientes del estándar
Control de documentos
Estos documentos deben estar controlados de manera que soporten una adecuada revisión y actualización y que estén disponibles para todos los que lo necesiten de acuerdo a parámetros de transferencia, almacenamiento y eliminación de ser necesario en el marco de de las normas legales y que sean estrictamente usados para el apoyo de la efectividad del funcionamiento del sistema.
Administración
La administración del sistema debe estar enfocada al establecimiento de políticas, roles y seguridad , comunicar a la organización la importancia de los sistemas de seguridad para su normal desenvolvimiento además de asegurar la adecuada operación y mantenimiento del sistema.
Administración de recursos: Enfocar los recursos adecuadamente en función de los requerimientos, el marco legal y la efectividad producida por su uso.
Capacitación: Para áreas específicas se debe contratar el personal más adecuado valorando tanto su educación como sus capacidades y habilidades así como mantenerlos constantemente capacitados
Auditorias del sistema:
Realizar auditorias periódicas de todo el sistema realizando un análisis de los requerimientos, el nivel de riesgos así como de la frecuencia y los objetivos que se quieren conseguir en cada área de manera independiente.
Además los auditores no pueden realizarse auditorias a ellos mismos.
Revisión de la administración
Se debe realizar al menos una vez al año y en base a las auditorias realizadas y la realimentación dada por los usuarios debe ser capaz de arrojar decisiones y técnicas para el mejoramiento, actualización y necesidades de cada una de las áreas involucradas a fin de tomar medidas tanto preventivas como correctivas para los riesgos que se pudieran presentar.
Se plantea objetivos de Objetivos de control y controles de acuerdo a las normas ISO / IEC, de esta manera se establece:
Políticas de seguridad
Se basa en el control de la seguridad de la información así como su gestionamiento pero de acuerdo a las políticas de la empresa. Para esto se debe generar un documento de seguridad el cual debe ser comunicado a todos los empleados, y debe tener continuidad se establece ciclos para las posibles modificaciones. Otro punto importante es la seguridad dentro de la organización para esto se debe especificar claramente roles y responsabilidades dentro de la organización. Se controla cada acción referente a la seguridad de información, es decir se crea procesos de autorización, acuerdos de confidencialidad, identificación de participantes externos en caso de requerir algún soporte, por último se debe asegurar la información antes de que esta sea comunicada a los clientes.
Se crea normas referentes a la gestión de activos como es conocer con lo que cuenta la empresa y que papel ocupa dentro de ella cada activo con la finalidad de clasificarlos de acuerdo a su importancia. Se debe clasificar y etiquetar esta información de acuerdo a ciertos términos como lo son: jurídicos, sensibilidad y criticidad.
Recursos humanos de seguridad
Se debe garantizar que los empleados, contratistas y terceros usuarios conozcan sus responsabilidades y funciones de acuerdo con la seguridad de la organización política de información, así como la verificación de los datos de los candidatos para reducir el riesgo de robo, fraude o uso indebido de las instalaciones. Además deberán recibir una formación adecuada para las actualizaciones periódicas de las políticas de organización y procedimientos pertinentes para su función de trabajo. Se debe crear normas de disciplina para los empleados que cometan errores, de esta manera se intenta que la salida de los empleados sean ordenada y además se debe borrar todos los accesos de la persona y este debe devolver todos los activos que se le haya otorgado al ingresar al trabajo.
Seguridad física y ambiental Se debe asegurar la información impidiendo el acceso físico no autorizado, daño e interferencia a los locales también debe existir protección física contra daños ocasionados por incendio, inundación, terremoto. Los puntos de acceso tales como la entrega y las zonas de carga y otros puntos el sitio debe ser aislado del procesamiento de la información.
Los equipos deben estar en un lugar seguro y ser protegidos de problemas físicos, además ningún equipo debe estar fuera del lugar previsto para este.
comunicaciones y gestión de operaciones
Se debe garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Los procedimientos operativos deberán documentarse, mantenerse, y ser
disponibles para todos los usuarios que los necesitan.
Las funciones y áreas de responsabilidad deben estar separadas para reducir oportunidades para la modificación no autorizada o accidental o el uso indebido de los activos de la organización.
Los cambios en la prestación de servicios, incluido el mantenimiento y la mejora de las políticas de seguridad de la información existentes, los procedimientos y los controles deben ser administrados, teniendo en cuenta la criticidad de los sistemas y procesos involucrados y la evaluación de riesgos.
Además se debe realizar copias de seguridad de la información y el software se tomarán y serán probados periódicamente de acuerdo con la política de copia de seguridad de acuerdo.
La administración de la seguridad de red es importante y por ello se debe asegurar la protección de la red mediante un adecuado manejo y control de la redes para mantener la seguridad en las distintas aplicaciones de la red que incluyen el tránsito de información, además los servicios a ser montados en la red deberán ser identificados si son para usuarios internos o externos a la red LAN.
La divulgación de la información, así como la modificación puede crear una interrupción de las actividades realizadas por la institución a vigilar, es por ello que se debe realizar el control de los dispositivos removibles, la documentación del sistema de seguridad aseguraran un adecuado manejo de la información.
El intercambio de la información de una organización suele realizarse de manera constante sea al interior como al exterior de la misma, por ello se debe manejar el trasporte deforma seguro para evitar una manipulación de la información en el transcurso en el que cruza la información de un sitio a otro, sea este por la utilización de la red o por la utilización de algún otro dispositivo de almacenamiento. Además resulta importante garantizar el intercambio de información que se puede dar en transacciones on-line o mediante comercio electrónico, por lo que se debe garantizar que la información no sea manipulada o divulgada, así como prevenir las transacciones incompletas y la alteración de mensajes y la duplicación de la información enviada.
La monitorización es una parte fundamental ya que se puede realizar políticas de seguridad pero no se vigilan de manera correcta el cumplimiento de las mismas por lo que se debe realizar una auditoría de todos los log o actividades realizadas con la información que se va a proteger. Para la monitorización se puede usar un sistema que facilite el trabajo de un administrador, las actividades realizadas por el administrador y los operadores deberán también ser documentadas y esa documentación deberá ser protegida para evitar manipulación de la información.
El acceso a la información deberá ser controlado mediante el establecimiento de políticas de acceso basándose en los requerimientos de la organización. Entre las principales políticas o pasos de seguridad están los registros de los usuarios, las contraseñas de los usuarios y la correcta administración de las mismas, los privilegios de acceso de los usuarios, y los usuarios deberían poder conocer los derechos de acceso que tienen. Entonces resulta importante describir de forma adecuada las responsabilidades de los usuarios en el manejo de contraseñas o en el manejo de los documentos en su escritorio así como el uso del equipo.
El acceso a la red deberá ser controlado mediante la política de uso de red y de esta manera prevenir un acceso desautorizado. Si existen usuarios externos se debe realizar una adecuada autenticación, una segregación en redes, identificación de los equipos y la localización de estos en control en la conexión y los puertos que se utilizan para el trasporte de información. En el caso de que se tenga un sistema que maneje toda la información, se deberá realizar un control en el acceso a este sistema, ya sea este mediante el uso de passwords, identificación de usuarios por medio de autenticación, entre otras. Se debería manejar la limitación en tiempo de una sesión para que luego de trascurrido cierto tiempo el usuario tenga que acceder de nuevo. Los controles de seguridad también se deber realizar en las computadoras móviles y comunicaciones que se realizan a larga distancia, evaluando los riesgos que existen.
Como se mencionó para el control de la seguridad se debe evaluar los riegos y de esta manera obtener los requerimientos y la especificación de la información a proteger. Suele ser necesario realizar la validación en el procesamiento de la información y de esta manera comprobarla validez de la información antes de ser protegida. Se debe realizar un control en la Criptografía para proteger la confidencialidad, autenticidad o integridad de la información, mediante un correcto control en el mantenimiento de llaves y las políticas de uso de la criptografía
El sistema de archivos es también importante por lo que se necesita realizar un adecuado control de la protección de archivos mediante el uso de test de archivos o datos, el control operacional del software y el control de acceso al código fuente del software utilizado en la organización. La seguridad en las aplicaciones resulta importante ya que ciertas aplicaciones manejan información valiosa para la empresa.
• Adquisición, desarrollo y mantenimiento de los sistemas de información: requisitos de seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica.
• Gestión de incidentes de seguridad de la información: notificación de eventos y puntos débiles de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras.
• Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la continuidad del negocio.
• Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.
ANEXO B
El anexo B, que es informativo, a su vez proporciona una breve guía de los principios de OECD(guía de administración de riesgos de sistemas de información y redes - París, Julio del 2002, “www.oecd.org”) y su correspondencia con el modelo PDCA.
Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos.
Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.
Aceptación de riesgo: Decisión de aceptar un riesgo.
Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar riesgos.
Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo.
Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de riesgo establecidos o dados, para determinar el grado de significativo del riesgo.
ACLARACIÓN AJENA A LA NORMA: En definitiva la “Evaluación del riesgo”, es el resultado final de esta actividad, pero no debe ser pensada únicamente con relación a “Análisis y Valoración”, sino también a los criterios de riesgo que la organización haya definido a lo largo de toda su política empresarial.
Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas necesarias para la observación del riesgo dentro de la organización.
Tratamiento del riesgo: Proceso de selección e implementación de mediciones para modificar el riesgo.
Nota:el término “control” en esta norma es empleado como sinónimo de “Medida o medición”.
Declaración de aplicabilidad: Documento que describe los objetivos del control, y los controles que son relevantes y aplicables a la organización del ISMS.
Nota:Estos controles están basados en los resultados y conclusiones de la valoración y los procesos de tratamiento de riesgo, los requerimientos y regulaciones legales, las obligaciones contractuales y los requerimientos de negocio para la seguridad de la información que defina la organización.
Hoy habia 10 visitantes (13 clics a subpáginas) ¡Aqui en esta página!
