guia iso 27001

segons les normes internacionals

ISO 27001 i ISO 27002

Com implantar un sistema de seguretat

de la informació


de la informació segons les normes internacionals

ISO 27001 i ISO 27002

1209-51168-52172 Guia ISO 27001.indd 31209-51168-52172 Guia ISO 27001.indd 3 30/09/10 10:1030/09/10 10:10

5

Una aposta pel futur

La introducció de la informàtica i de les noves tecnologies en tots els àmbits, incloent-hi el món empresa-

rial, és tant una realitat com una necessitat per a tot projecte empresarial que vulgui ser competitiu. La in-

formatització de la informació i l’ús de les tecnologies de la informació i de la comunicació (TIC) ofereixen

grans avantatges a les empreses, que poden augmentar la seva productivitat i els seus serveis, però que

també han de saber com afrontar els riscos: com assegurar la confi dencialitat de la informació, la seva in-

tegritat i la seva disponibilitat.

Per això, em complau presentar aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dóna

suport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les Illes

Balears (IDI). Amb un format divulgatiu i senzill, explica com qualsevol empresa pot optar per introduir un

sistema de gestió de la seguretat de la informació, aplicant uns estàndards reconeguts internacionalment

com són els de les normes ISO. Així com la ISO 9001 és una bona referència de qualitat a l’empresa, la

27001 vol ser un referent idèntic en el camp de la seguretat.

Una bona gestió en aquest camp reporta benefi cis evidents. Des de la diferenciació de la competència a

una reducció dels riscos que pot generar la pèrdua o el robatori d’informació vital per a l’empresa. Una em-

presa atenta a tots els detalls és una empresa ben gestionada. I una empresa ben gestionada és garan-

tia d’èxit i de futur.

Francesca Vives i AmerConsellera de Comerç, Indústria i Energia


7

Coordinació del projecteInstitut d’Innovació Empresarial de les Illes BalearsServei d’Informació i Formació Empresarial

AutorJosé María Gilgado

EdicióInstitut d’Innovació Empresarialde les Illes Balears

Ha coordinat la guiaPilar Jordi i Antònia Fullana

ImpressióGràfi ques Planisi

Dipòsit legal: PM 1168 - 2010

1a edició: octubre 2010


índex Pròleg de l’autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Introducció . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Sistema de gestió de la seguretat de la informació . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.1 Què és un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2 Què inclou un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.3 Com s’implanta un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.4 Quina responsabilitat té la direcció en un SGSI?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.5 S’integra un SGSI en altres sistemes de gestió? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2.6 Benefi cis d’implantar un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.7 Aspectes clau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3 Exemples pràctics de procediments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.1 Gestió d’incidents de seguretat de la informació i millores . . . . . . . . . . . . . . . . . . . . 33 3.2 Còpies de seguretat i recuperació d’arxius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.3 Seguretat en els accessos de tercers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.4 Gestió d’accessos, privilegis i contrasenyes d’usuaris . . . . . . . . . . . . . . . . . . . . . . . 36 3.5 Instal·lació i protecció d’equips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.6 Inventari d’actius, classifi cació i tractament de la informació . . . . . . . . . . . . . . . . . . 39 3.7 Acabament en el lloc de feina i eliminació de suports . . . . . . . . . . . . . . . . . . . . . . . 41 3.8 Gestió i avaluació de riscs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

4 Exemples pràctics de documentació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.1 Exemple d’un índex de polítiques de seguretat de la informació . . . . . . . . . . . . . . . 45 4.2 Exemple d’un índex de manual de seguretat física i de l’entorn . . . . . . . . . . . . . . . . 46 4.3 Pla de continuïtat del negoci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.4 Exemple d’inventari d’actius, classifi cació i tractament . . . . . . . . . . . . . . . . . . . . . . 50 4.5 Selecció de controls (declaració d’aplicabilitat) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 4.6 Informe d’anàlisi de riscs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

5 Certifi cació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.1 Auditoria i certifi cació. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.2 L’entitat de certifi cació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 5.3 L’auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

6 Eines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 6.1 Normes, guies i bones pràctiques generals. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Glossari . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63


11

PRÒLEG DE L’AUTOR

Gràcies a l’interès recent de les organitzacions tant públiques com privades del teixit empresarial

balear per les normes ISO 27001 i ISO 27002 sobre seguretat de la informació, l’Institut d’Innovació

Empresarial de les Illes Balears, un organisme públic adscrit a la Conselleria de Comerç, Indústria

i Energia del Govern de les Illes Balears, ha decidit publicar, amb l’ajuda d’una empresa consultora

amb experiència en el disseny de sistemes de gestió, aquesta guia tècnica.

L’objectiu d’aquesta guia és donar una orientació pràctica respecte al tema de la seguretat de la

informació amb procediments i casos reals, així com exemples d’alguns documents típics que es

generen habitualment en el procés d’implantació.

Aquesta guia està dirigida a empresaris, directius, consultors i responsables de qualitat i d’informàtica

d’empreses i institucions per als quals la informació sigui un factor rellevant en la seva activitat.

José María Gilgado Tanco

Consultor de gestió


13

1. INTRODUCCIÓ

La informació, juntament amb els processos i els sistemes que en fan ús, són actius molt

importants d’una organització. La confi dencialitat, la integritat i la disponibilitat d’informació

sensible poden arribar a ser essencials per mantenir els nivells de competitivitat, rendibilitat,

conformitat legal i imatge empresarial necessaris per aconseguir els objectius de l’organització

i assegurar benefi cis econòmics.

Les organitzacions i els seus sistemes d’informació estan exposats a un nombre cada vegada

més elevat d’amenaces que, aprofi tant qualsevol de les vulnerabilitats que hi ha, poden sotmetre

actius crítics d’informació a diverses formes de frau, espionatge, sabotatge o vandalisme.

Els virus informàtics, els hacking o els atacs de denegació de servei són alguns exemples

comuns i coneguts, però també s’han de considerar els riscs de patir incidents de seguretat

causats voluntàriament o involuntàriament des de dins l’organització mateixa o els provocats

accidentalment per catàstrofes naturals i fallades tècniques.

El compliment de la legalitat, l’adaptació dinàmica i puntual a les condicions variables de l’entorn,

la protecció adequada dels objectius de negoci per assegurar el màxim benefi ci o l’aprofi tament

de noves oportunitats de negoci, són alguns dels aspectes fonamentals en els quals un sistema

de gestió de la seguretat de la informació (SGSI) és una eina de gran utilitat i de gran ajuda per

gestionar les organitzacions.

El nivell de seguretat aconseguit per mitjans tècnics és limitat i insufi cient per si mateix. En la gestió

efectiva de la seguretat, ha de prendre part activa tota l’organització, amb la gerència al capdavant, i

cal tenir en consideració també els clients i els proveïdors de béns i serveis. El model de gestió de la

seguretat ha de preveure uns procediments adequats i la planifi cació i la implantació de controls de

seguretat basats en una avaluació de riscs i en un mesurament de l’efi càcia d’aquests.


14

L’SGSI ajuda a establir aquestes polítiques i procediments en relació amb els objectius de

negoci de l’organització, a fi de mantenir un nivell d’exposició sempre menor al nivell de risc que

l’organització mateixa ha decidit assumir.

Amb un SGSI, l’organització coneix els riscs a què està sotmesa la seva informació, i els assumeix,

els minimitza, els transfereix o els controla mitjançant una sistemàtica defi nida, documentada i

coneguda per tothom que es revisa i es millora constantment.

Alguns dels textos que s’esmentaran a continuació han estat cedits pel portal www.iso27000.es.

2. SISTEMA DE GESTIÓ DE LA SEGURETAT DE LA INFORMACIÓ

L’SGSI (sistema de gestió de la seguretat de la informació) és el concepte central sobre el qual

es construeix la norma ISO 27001.

La gestió de la seguretat de la informació s’ha de fer mitjançant un procés sistemàtic, documentat

i conegut per tota l’organització.

Aquest procés és el que constitueix un SGSI, que podria considerar-se, per analogia amb una

norma tan coneguda com la norma ISO 9001, com el sistema de qualitat per a la seguretat de

la informació.

Garantir un nivell de protecció total és virtualment impossible, fi ns i tot en el cas de disposar d’un

pressupost il·limitat.

El propòsit d’un sistema de gestió de la seguretat de la informació és, per tant, garantir que els

riscs de la seguretat de la informació siguin coneguts, assumits, gestionats i minimitzats per

l’organització d’una forma documentada, sistemàtica, estructurada, repetible, efi cient i adaptada

als canvis que es produeixin en els riscs, l’entorn i les tecnologies.


15

En les seccions següents es desenvoluparan els conceptes fonamentals d’un SGSI segons la

norma ISO 27001.

2.1 Què és un SGSI?

SGSI es l’abreviatura utilitzada per referir-se a un sistema de gestió de la seguretat de la

informació, ISMS són les sigles que corresponen a l’anglès information security management

system.

En aquest context s’entén per informació tot el conjunt de dades organitzades en poder

d’una entitat que tinguin valor per a si mateixa, independentment de la forma en què es

guardin o es transmetin (per escrit, en imatges, oralment, en paper, emmagatzemades

electrònicament, projectades, enviades per correu ordinari, fax o correu electrònic,

transmeses en converses, etc.), de l’origen que tinguin (de l’organització mateixa i de fonts

externes) o de la data d’elaboració.

La seguretat de la informació, segons la norma ISO 27001, consisteix a preservar-ne

la confi dencialitat, la integritat i la disponibilitat, així com els sistemes implicats en el

tractament, dins una organització. Així, aquests tres termes constitueixen la base sobre la

qual es fonamenta tot l’edifi ci de la seguretat de la informació:

• Confi dencialitat: La informació no es posa a disposició ni es revela a individus, entitats ni

processos no autoritzats.

• Integritat: Manteniment de l’exactitud i la completesa de la informació i els seus mètodes

de procediment.

• Disponibilitat: Accés i utilització de la informació i els sistemes de tractament d’aquesta per

part dels individus, les entitats o els processos autoritzats quan ho requereixin.


16

Per garantir que la seguretat de la informació és gestionada correctament, s’ha d’usar un

procés sistemàtic, documentat i conegut per tota l’organització, des d’un enfocament de

risc empresarial. Aquest procés és el que constitueix un SGSI.

2.2 Què inclou un SGSI?

En l’àmbit de la gestió de la qualitat segons la norma ISO 9001, sempre s’ha mostrat

gràfi cament la documentació del sistema com una piràmide de quatre nivells. És possible

traslladar aquest model a un sistema de gestió de la seguretat de la informació basat en la

norma ISO 27001 de la manera següent:

Documents de nivell 1

Manual de seguretat: La denominació és per analogia amb el manual de qualitat, encara

que el terme s’usa també en altres àmbits. Seria el document que inspira i dirigeix tot el


17

sistema, el que exposa i determina les intencions, l’abast, els objectius, les responsabilitats,

les polítiques, les directrius principals, etc., de l’SGSI.


Procediments: Documents en el nivell operatiu que asseguren que es fan de forma efi caç la

planifi cació, la gestió i el control dels processos de seguretat de la informació.


Instruccions, llistes de control (checklists) i formularis: Documents en què descriuen com es

fan les tasques i les activitats específi ques relacionades amb la seguretat de la informació.


Registres: Documents que proporcionen una evidència objectiva del compliment dels

requisits de l’SGSI. Estan associats a documents dels altres tres nivells com a output, que

demostra que s’ha complit allò que s’hi ha indicat.

De manera específi ca, la norma ISO 27001 indica que un SGSI ha d’estar format pels

documents següents (en qualsevol format o tipus de mitjà):

• Abast de l’SGSI: Àmbit de l’organització que queda sotmès a l’SGSI. Inclou una identifi cació

clara de les dependències, les relacions i els límits que hi ha entre l’abast i les parts que

no hagin estat considerades (en els casos en què l’àmbit d’infl uència de l’SGSI consideri

un subconjunt de l’organització com a delegacions, divisions, àrees, processos, sistemes o

tasques concretes).

• Política i objectius de seguretat: Document de contingut genèric que estableix el

compromís de la direcció i l’enfocament de l’organització en la gestió de la seguretat

de la informació.


18

• Enfocament d’avaluació de riscs: Descripció de la metodologia que s’emprarà (com es farà

l’avaluació de les amenaces, les vulnerabilitats, les probabilitats que ocorrin i els impactes en

relació amb els actius d’informació continguts dins l’abast seleccionat), el desenvolupament

de criteris d’acceptació de risc i la fi xació de nivells de risc acceptables.

• Informe d’avaluació de riscs: Estudi que resulta d’aplicar la metodologia d’avaluació

anteriorment esmentada als actius d’informació de l’organització.

• Pla de tractament de riscs: Document en què fi guren les accions de la direcció, els recursos,

les responsabilitats i les prioritats per gestionar els riscs de seguretat de la informació segons

les conclusions obtingudes de l’avaluació de riscs, dels objectius de control identifi cats,

dels recursos disponibles, etc.

• Procediments documentats: Tots els necessaris per assegurar la planifi cació, la gestió i el

control dels processos de seguretat de la informació, així com per mesurar l’efi càcia dels

controls implantats.

• Registres: Documents que proporcionen evidències de la conformitat amb els requisits i del

funcionament efi caç de l’SGSI.

• Declaració d’aplicabilitat (SOA, statement of applicability, en les sigles angleses): Document

que conté els objectius de control i els controls prevists en l’SGSI que es basa en els resultats

dels processos d’avaluació i tractament de riscs i en què es justifi quen les inclusions i les

exclusions.

Control de la documentació

Pel que fa als documents generats, s’ha d’establir, documentar, implantar i mantenir un

procediment que defi neixi les accions de gestió necessàries per dur a terme les accions

següents:


19

• Aprovar documents apropiats abans d’emetre’ls.

• Revisar i actualitzar documents quan sigui necessari i renovar-ne la validesa.

• Garantir que els canvis i l’estat actual de revisió dels documents estan identifi cats.

• Garantir que les versions rellevants de documents vigents estan disponibles als llocs en què s’han d’emprar.

• Garantir que els documents es mantenen llegibles i fàcilment identifi cables.

• Garantir que els documents estan disponibles per a les persones que els necessitin i que són transmesos, emmagatzemats i fi nalment destruïts d’acord amb els procediments aplicables segons la seva classifi cació.

• Garantir que els documents procedents de l’exterior estan identifi cats.

• Garantir que la distribució de documents està controlada.

• Prevenir la utilització de documents obsolets.

• Aplicar la identifi cació apropiada a documents que són retinguts amb algun propòsit.

2.3 Com s’implanta un SGSI?

Per establir i gestionar un sistema de gestió de la seguretat de la informació basant-se en la

norma ISO 27001, s’utilitza el cicle de millora contínua o PDCA, tradicional en els sistemes

de gestió de la qualitat, que signifi ca:

• Plan (‘planifi car’): establir l’SGSI.

• Do (‘fer’): implantar i utilitzar l’SGSI.

• Check (‘verifi car’): monitorar i revisar l’SGSI.

• Act (‘actuar’): mantenir i millorar l’SGSI.


20

Plan: Establir l’SGSI

• Defi nir l’abast de l’SGSI en termes del negoci, l’organització, la localització, els actius i les

tecnologies, inclosos els detalls i la justifi cació de qualsevol exclusió.

• Defi nir una política de seguretat que:

- Inclogui el marc general i els objectius de seguretat de la informació de l’organització.

- Consideri requeriments legals o contractuals relatius a la seguretat de la informació.

- Estigui alineada amb el context estratègic de gestió de riscs de l’organització en què

s’establirà i es mantindrà l’SGSI.

- Estableixi els criteris amb què s’avaluarà el risc.

- Estigui aprovada per la direcció.

• Defi nir una metodologia d’avaluació del risc apropiada per a l’SGSI i els requeriments del

negoci, a més d’establir els criteris d’acceptació del risc i especifi car els nivells de risc

acceptable. Allò primordial d’aquesta metodologia és que els resultats obtinguts siguin

comparables i repetibles (hi ha nombroses metodologies estandarditzades per avaluar els

riscs, encara que és perfectament acceptable defi nir-ne una de pròpia).

• Identifi car els riscs:

- Identifi car els actius que estan dins l’abast de l’SGSI i els responsables directes, denominats

propietaris.

- Identifi car les amenaces en relació amb els actius.

- Identifi car les vulnerabilitats que puguin ser aprofi tades per aquestes amenaces.

- Identifi car els impactes en la confi dencialitat, la integritat i la disponibilitat dels actius.

• Analitzar i avaluar els riscs:

- Avaluar l’impacte en el negoci d’un fallada de seguretat que suposi la pèrdua de

confi dencialitat, integritat o disponibilitat d’un actiu d’informació.

- Avaluar de forma realista la probabilitat que ocorri una fallada de seguretat en relació amb


21

les amenaces, les vulnerabilitats, els impactes en els actius i els controls que ja estiguin

implantats.

- Estimar els nivells de risc.

- Determinar, segons els criteris d’acceptació de risc prèviament establerts, si el risc és

acceptable o necessita ser tractat.

• Identifi car i avaluar les distintes opcions de tractament dels riscs per:

- Aplicar controls adequats.

- Acceptar el risc, sempre que es continuïn complint les polítiques i els criteris establerts per

acceptar-los.

- Evitar el risc, per exemple, mitjançant el cessament de les activitats que l’originin.

- Transferir el risc a tercers, per exemple, companyies asseguradores o proveïdors

d’outsourcing.

• Seleccionar els objectius de control i els controls de l’annex A de la norma ISO 27001, que corresponen amb la norma ISO 27002, per al tractament del risc que compleixin els

requeriments identifi cats en el procés d’avaluació del risc.

• Aprovar per part de la direcció tant els riscs residuals com la implantació i l’ús de l’SGSI.

• Defi nir una declaració d’aplicabilitat que inclogui:

- Els objectius de control, els controls seleccionats i els motius de triar-los.

- Els objectius de control i els controls que ja estan implantats.

- Els objectius de control i els controls de l’annex A exclosos i els motius d’excloure’ls. Aquest

és un mecanisme que permet, a més, detectar possibles omissions involuntàries.

En relació amb els controls de seguretat, l’estàndard ISO 27002 (antiga ISO 17799)

proporciona una guia d’implantació completa que conté 133 controls, segons 39 objectius

de control agrupats en 11 dominis. Aquesta norma és referenciada en la norma ISO 27001,

en la segona clàusula, en termes de «document indispensable per a l’aplicació d’aquest


22

document» i deixa oberta la possibilitat d’incloure controls addicionals en el cas que la guia

no prevegi totes les necessitats particulars.

Do: Implantar i utilitzar l’SGSI

• Defi nir un pla de tractament de riscs que identifi qui les accions, els recursos, les

responsabilitats i les prioritats en la gestió dels riscs de seguretat de la informació.

• Implantar el pla de tractament de riscs, a fi d’assolir els objectius de control identifi cats, que

inclogui l’assignació de recursos, les responsabilitats i les prioritats.

• Implantar els controls anteriorment seleccionats que portin als objectius de control.

• Defi nir un sistema de mètriques que permeti obtenir resultats reproduïbles i comparables

per mesurar l’efi càcia dels controls o dels grups de controls.

• Procurar programes de formació i conscienciació en relació amb la seguretat de la informació

a tot el personal.

• Gestionar les operacions de l’SGSI.

• Gestionar els recursos necessaris assignats a l’SGSI per mantenir la seguretat de la

informació.

• Implantar procediments i controls que permetin una detecció i una resposta ràpides als

incidents de seguretat.

Check: Monitorar i revisar l’SGSI

L’organització ha de fer les tasques següents:

• Executar procediments de monitoratge i revisió per:

- Detectar a temps els errors en els resultats generats pel processament de la informació.

- Identifi car forats i incidents de seguretat.

- Ajudar la direcció a determinar si les activitats exercides per les persones i els dispositius


23

tecnològics per garantir la seguretat de la informació es desenvolupen d’acord amb el que

es preveu.

- Detectar i prevenir esdeveniments i incidents de seguretat mitjançant l’ús d’indicadors.

- Determinar si les accions fetes per resoldre forats de seguretat han estat efectives.

• Revisar regularment l’efectivitat de l’SGSI, atenent el compliment de la política i dels objectius

de l’SGSI, els resultats d’auditories de seguretat, els incidents, els resultats dels mesuraments

d’efi càcia, els suggeriments i les observacions de totes les parts implicades.

• Mesurar l’efectivitat dels controls per verifi car que es compleixen els requisits de seguretat.

• Revisar regularment en intervals planifi cats les avaluacions de risc, els riscs residuals i els

seus nivells acceptables, tenint en compte els possibles canvis que hagin pogut produir-se

en l’organització, la tecnologia, els objectius i els processos de negoci, les amenaces

identifi cades, l’efectivitat dels controls implantats i l’entorn exterior —requeriments legals,

obligacions contractuals, etc.

• Periòdicament, dur a terme auditories internes de l’SGSI en intervals planifi cats.

• Periòdicament, la direcció ha de revisar l’SGSI per garantir que l’abast defi nit continua

essent l’adequat i que les millores en el procés de l’SGSI són evidents.

• Actualitzar els plans de seguretat segons les conclusions i les noves troballes fetes durant

les activitats de monitoratge i revisió.

• Registrar accions i esdeveniments que puguin haver impactat en l’efectivitat o el rendiment

de l’SGSI.

Act: Mantenir i millorar l’SGSI

Regularment, l’organització ha de fer les tasques següents:

• Implantar en l’SGSI les millores identifi cades.


PLAN

Missió

Visió

Valors

Defi nició

de la política,

els objectius

i l’abast

Política,

objectius

i abast

PDCA

Entrades

Procès

Sortides

PLAN

Informe de l’anàlisi

Controls de l’annex A

Altres controls

Anàlisi

de

riscs

Inventari

d’actius

Informe de

l’anàlisi

PLAN

Controls del pla

de tractament

de risc

Tractament

de

risc

SOA

PLa de

tractament

de risc

DO

Auditoríes

Registres

Revisió de sistema

Indicadors

Implantació i

operació

de l’SGSI

Procediments

Polítiques

Instruccions

CHECK

Accions correctives

Accions preventives

Monitorització

i revisió

de l’SGSI

Pla de

millora

ACT

Informe de l’anàlisi

Controls de l’annex A

Altres controls

Manteniment

i millora

de l’SGSI

Millora

contínua

Dibuix 2: Cicle PDCA d’un SGSI


25

• Fer les accions preventives i correctives adequades en relació amb la clàusula 8 de la

norma ISO 27001 i les lliçons apreses de les experiències pròpies i d’altres organitzacions.

• Comunicar les acciones i les millores a totes les parts interessades amb el nivell de detall

adequat i decidir, si és pertinent, la forma d’actuar.

• Assegurar-se que les millores introduïdes assoleixen els objectius prevists.

El PDCA és un cicle de vida continu, la qual cosa vol dir que la fase act porta de nou a la fase

de plan per iniciar un nou cicle de les quatre fases. Cal tenir en compte que no hi ha d’haver una

seqüència estricta de les fases, sinó que, per exemple, hi pot haver activitats d’implantació que

es duguin a terme quan altres de planifi cació encara no han acabat, o que es monitorin controls

que encara no estan totalment implantats.

2.4 Quina responsabilitat té la direcció en un SGSI?

Un dels components primordials perquè tingui èxit la implantació d’un sistema de gestió de

seguretat de la informació és la implicació de la direcció.

No es tracta d’una expressió retòrica, sinó que ha d’assumir-se des d’un principi que un SGSI

afecta fonamentalment la gestió del negoci, i requereix, per tant, que hi hagi decisions i accions

que només pot prendre la gerència de l’organització. No s’ha de caure en l’error de considerar

un SGSI una mera qüestió tècnica o tecnològica relegada a nivells inferiors de l’organigrama;

s’estan gestionant riscs i impactes de negoci que són responsabilitat i decisió de la direcció.

El terme direcció s’ha de considerar sempre des del punt de vista de l’abast de l’SGSI. És a dir,

es refereix al nivell més alt de gerència de l’organització afectada per l’SGSI (cal recordar que

l’abast no té per què ser tota l’organització).

Algunes de les tasques fonamentals de l’SGSI que la norma ISO 27001 assigna a la direcció es


26

detallen en els punts següents:

Compromís de la direcció

La direcció de l’organització ha de comprometre’s amb l’establiment, la implantació, la gestió,

el monitoratge, la revisió, el manteniment i la millora de l’SGSI. Per això, ha de prendre les

iniciatives següents:

• Establir una política de seguretat de la informació.

• Assegurar-se que s’estableixen objectius i plans de l’SGSI.

• Establir rols i responsabilitats de seguretat de la informació.

• Comunicar a l’organització tant la importància d’aconseguir els objectius de seguretat de la

informació i de complir la política de seguretat, com les seves responsabilitats legals i

la necessitat de millora contínua.

• Assignar prou recursos a l’SGSI en totes les fases.

• Decidir els criteris d’acceptació de riscs i els nivells corresponents.

• Assegurar que es facin auditories internes.

• Revisar l’SGSI, com es detalla més endavant.

Assignació de recursos

Per a un desenvolupament correcte de totes les activitats relacionades amb l’SGSI, és

imprescindible assignar recursos. És responsabilitat de la direcció garantir que s’assignen prou

recursos a:

• Establir, implantar, gestionar, monitorar, revisar, mantenir i millorar l’SGSI.

• Garantir que els procediments de seguretat de la informació donen suport als requeriments

de negoci.


27

• Identifi car i tractar tots els requeriments legals i normatius, així com les obligacions

contractuals de seguretat.

• Aplicar correctament tots els controls implantats i mantenir d’aquest forma la seguretat

adequada.

• Fer revisions quan sigui necessari i actuar adequadament segons els resultats que hi hagi.

• Millorar l’efi càcia de l’SGSI on sigui necessari.

Formació i conscienciació

La formació i la conscienciació en seguretat de la informació són elements bàsics perquè tingui

èxit un SGSI. Per això, la direcció ha d’aconseguir que tot el personal de l’organització al qual

s’assignen responsabilitats defi nides en l’SGSI estigui prou capacitat:

• Ha de determinar les competències necessàries per al personal que fa tasques en l’aplicació

de l’SGSI.

• Ha de satisfer aquestes necessitats per mitjà de formació o d’altres accions, com, per

exemple, contractació de personal ja format.

• Ha d’avaluar l’efi càcia de les accions dutes a terme.

• Ha de mantenir registres d’estudis, formació, habilitats, experiència i qualifi cació.

A més, la direcció ha de fer que tot el personal rellevant estigui conscienciat de la importància

que tenen les seves activitats de seguretat de la informació i de com contribueix a la consecució

dels objectius de l’SGSI.

Revisió de l’SGSI

A la direcció de l’organització se li assigna també la tasca de, almenys una vegada a l’any,

revisar l’SGSI, per assegurar-se que continua essent adequat i efi caç. Per fer-ho, ha de rebre una

sèrie d’informacions que l’ajudin a prendre decisions, entre les quals hi pot haver les següents:

• Resultats d’auditories i revisions de l’SGSI.


28

• Observacions de totes les parts interessades.

• Tècniques, productes o procediments que puguin ser útils per millorar el rendiment i l’efi càcia de l’SGSI.

• Informació sobre l’estat d’accions preventives i correctives.

• Vulnerabilitats o amenaces que no siguin tractades adequadament en avaluacions de riscs anteriors.

• Resultats dels mesuraments d’efi càcia.

• Estat de les accions iniciades arran de revisions anteriors de la direcció.

• Qualsevol canvi que pugui afectar l’SGSI.

• Recomanacions de millora.

Basant-se en totes aquestes informacions, la direcció ha de revisar l’SGSI i prendre decisions i

accions relatives a:

• Millora de l’efi càcia de l’SGSI.

• Actualització de l’avaluació de riscs i del pla de tractament de riscs.

• Modifi cació dels procediments i dels controls que afectin la seguretat de la informació, en

resposta a canvis interns o externs en els requisits de negoci, requeriments de seguretat,

processos de negoci, marc legal, obligacions contractuals, nivells de risc i criteris

d’acceptació de riscs.

• Necessitats de recursos.

• Millora de la forma de mesurar l’efectivitat dels controls.

2.5 S’integra un SGSI en altres sistemes de gestió?

Un SGSI és bàsicament un sistema de gestió, és a dir, una eina de la qual disposa la gerència

per dirigir i controlar un determinat àmbit, en aquest cas la seguretat de la informació.


29

La gestió de les activitats de les organitzacions es du a terme cada vegada més sovint segons

sistemes de gestió basats en estàndards internacionals: es gestiona la qualitat segons la

norma ISO 9001, l’impacte mediambiental segons la norma ISO 14001 o la prevenció de riscs

laborals segons l’OHSAS 18001. Ara, s’hi afegeix la norma ISO 27001 com a estàndard de

gestió de seguretat de la informació.

Les empreses tenen la possibilitat d’implantar un nombre variable d’aquests sistemes de gestió

per millorar l’organització i els benefi cis sense imposar una càrrega a l’organització.

L’objectiu darrer hauria de ser arribar a un únic sistema de gestió que prevegi tots els aspectes

necessaris per a l’organització basant-se en el cicle PDCA de millora contínua comú a tots aquests

estàndards. Les facilitats per integrar les normes ISO són evidents si se’n consulten els annexos.

La norma ISO 27001 detalla en l’annex C la correspondència entre aquesta norma i les normes

ISO 9001 i ISO 14001. S’hi observa la gran correlació que hi ha i es pot intuir la possibilitat

d’integrar el sistema de gestió de seguretat de la informació en els sistemes de gestió que ja hi

hagi en l’organització. Alguns punts que suposen una novetat en la norma ISO 27001 enfront

d’altres estàndards són l’avaluació de riscs i l’establiment d’una declaració d’aplicabilitat (SOA),

encara que ja es planteja incorporar aquests a la resta de normes en un futur.

2.6 Benefi cis d’implantar un SGSI

• Establiment d’una metodologia de gestió de la seguretat clara i estructurada.

• Reducció del risc de pèrdua, robatori o corrupció d’informació.

• Els clients tenen accés a la informació mitjançant mesures de seguretat.

• Els riscs i els controls d’aquests riscs són revisats contínuament.

• Confi ança de clients i socis estratègics per la garantia de qualitat i confi dencialitat comercial que s’ofereix.

• Les auditories externes ajuden cíclicament a identifi car les debilitats del sistema i les àrees que cal millorar.


30

• Possibilitat d’integrar-se amb altres sistemes de gestió (ISO 9001, ISO 14001, OHSAS 18001…).

• Continuïtat de les operacions necessàries de negoci després d’incidents de gravetat.

• Conformitat amb la legislació vigent sobre informació personal, propietat intel·lectual i d’altres.

• Imatge d’empresa en l’àmbit internacional i element diferenciador de la competència.

• Confi ança i regles clares per a les persones de l’organització.

• Reducció de costs i millora dels processos i servei.

• Augment de la motivació i satisfacció del personal.

• Augment de la seguretat basada en la gestió de processos i no en la compra sistemàtica de productes i tecnologies.

2.7 Aspectes clau

Fonamentals

• Compromís i suport de la direcció de l’organització.

• Defi nició clara d’un abast apropiat.

• Conscienciació i formació del personal.

• Avaluació de riscs exhaustiva i adequada a l’organització.

• Compromís de millora contínua.

• Establiment de polítiques i normes.

• Organització i comunicació.

• Integració de l’SGSI en l’organització.

Factors d’èxit

• La conscienciació de l’empleat vers la seguretat. Aquest és el principal objectiu que s’ha

d’aconseguir.


31

• Creació de comitès de direcció amb descobriment continu de no-conformitats o accions de millora.

• Creació d’un sistema de gestió d’incidències que reculli notifi cacions contínues dels usuaris (els incidents de seguretat han de ser reportats i analitzats).

• La seguretat absoluta no existeix, es tracta de reduir el risc a nivells assumibles.

• La seguretat no és un producte, és un procés.

• La seguretat no és un projecte, és una activitat contínua, i el programa de protecció necessita el suport de l’organització perquè tingui èxit.

• La seguretat ha de ser inherent als processos d’informació i del negoci.

Riscs

• Excés de temps d’implantació: amb els consegüents costs descontrolats, desmotivació, allunyament dels objectius inicials, etc.

• Temor davant el canvi: resistència de les persones.

• Discrepàncies en el comitès de direcció.

• Delegació de totes les responsabilitats en departaments tècnics.

• No assumpció que la seguretat de la informació és inherent als processos de negoci.

• Plans de formació i conscienciació inadequats.

• Calendari de revisions que no es puguin complir.

• Defi nició poc clara de l’abast.

• Excés de mesures tècniques en detriment de la formació, la conscienciació i les mesures de tipus organitzatiu.

• Falta de comunicació dels progressos al personal de l’organització.

Consells bàsics

• Mantenir la senzillesa i restringir-se a un abast manejable i reduït: un centre de treball, un procés de negoci clau, un sol centre de procés de dades o una àrea sensible concreta.


32

Una vegada aconseguit l’èxit i observats els benefi cis, s’hauria d’ampliar gradualment l’abast en fases successives.

• Comprendre detalladament el procés d’implantació: no s’ha d’iniciar basant-se en qüestions exclusivament tècniques, ja que és un error freqüent que ràpidament sobrecarrega de problemes la implantació, s’ha d’adquirir experiència d’altres implantacions i cal assistir a cursos de formació o disposar de l’assessorament de consultors externs especialitzats.

• Gestionar el projecte fi xant les diferents fi tes amb objectius i resultats.

• L’autoritat i el compromís decidit de la direcció de l’empresa —fi ns i tot si a l’inici es restringeix a un abast reduït— evitaran moltes d’excuses per desenvolupar les bones pràctiques, a més de ser un dels punts fonamentals de la norma.

• La certifi cació com a objectiu: encara que es pot aconseguir la conformitat amb la norma sense certifi car-se, la certifi cació d’un tercer assegura un millor enfocament, un objectiu més clar i tangible i, per tant, millors opcions d’aconseguir l’èxit.

• No reinventar la roda: encara que l’objectiu sigui la norma ISO 27001, és bo obtenir informació relativa a la gestió de la seguretat de la informació d’altres mètodes i marcs reconeguts.

• Servir-se del sistema ja implantat: altres estàndards com la norma ISO 9001 són útils com a estructura de treball, estalvien temps i esforç i creen sinergies; és convenient demanar ajuda i implicar-hi auditors interns i responsables d’altres sistemes de gestió.

• Reservar la dedicació necessària diària o setmanal: el personal involucrat en el projecte ha de ser capaç de treballar amb continuïtat en el projecte.

• Registrar evidències: han de recollir-se evidències almenys tres mesos abans de l’intent de certifi cació per demostrar que l’SGSI funciona adequadament.

3. EXEMPLES PRÀCTICS DE PROCEDIMENTS

A continuació, es presenten una sèrie de procediments de seguretat de la informació, els quals

asseguren que es fa de forma efi caç la planifi cació, la gestió i el control dels processos de

seguretat de la informació. Són procediments implantats en diferents organitzacions i que han

superat amb èxit les auditories de distintes entitats certifi cadores


Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina

PG 32 Gestió d’incidents de seguretat de la informació i millores Compatibilitat i Informàtica

Compatibilitat i Informàtica

Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 d’1

Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior

Minimitzar els danys provocats per incidències de seguretat i pel mal funcionament, controlar-los i aprendre’n 01 02 / 07 Edició inicial

Qualsevol usuari Personal d’IT Empresa externa demanteniment

Entrades: documentsde referència, dades,

materials, etc.Informació complementària / observacions

Sortides: resultatsparcials o fi nals

*Registres per archivar

1. Qualsevol persona de l’organització que tingui una incidència de tipus informàtic (tant de maquinari com de programari) i no la pugui resoldre per mitjans propis pot fer arribar al responsable de manteniment informàtic la incidència per correu electrònic, SMS, telèfon, o qualsevol altre canal que consideri adequat. Quan la comunicació és per fallades del programari., s’han d’anotar els símptomes del problema i tots els missatges que apareguin en pantalla.

2. Cal avaluar la incidència segons el criteri del responsable de manteniment d’IT, el qual li donarà una prioritat (des d’immediata a uns quants dies) per resoldre-la.Si la incidència és molt greu o es repeteix diverses vegades (entre 3 i 5 vegades), el responsable d’IT podria considerar oportú obrir una no conformitat segons el procés PG no conformitats, accions correctores i preventives.Cal recopilar totes les proves necessàries per resoldre la incidència.

4. S’ha d’avisar una empresa externa de manteniment informàtic que estigui dins la llista de proveïdors aprovats (vegeu el procediment d’avaluació) i amb la qual es tingui un contracte de confi dencialitat (vegeu el procediment PE-03-INF seguretat en els accessos de terceres parts).

5. S’han de recopilar les proves que es consi-derin oportunes per resoldre la incidència

Nota: Tots els empleats han de conèixer els procediments per informar dels distints tipus d’incidències (fallada de seguretat, amenaça, debilitat o mal funcionament) que puguin tenir impacte en la seguretat dels actius de l’organització.

Cal informar el departament d’informàtica de qualsevol incidència observada o sospitada tan aviat com sigui possible.

Els empleats que cometin infraccions en matèria de seguretat han de ser amonestats segons decideixi el comitè de direcció o de seguretat de la informació.

1. Noconformitat

6. Albarà

12. pessuposts

Comunicar laincidència

mitjançant NC1

Compatibilitat i Informàtica 2

Hi ha contracte?

Resoldre laincidència 5

No

No

No

No

Sí

Sí

Sí

Sí

Signar albarà iquedarse-se’n

una còpia6

Avisar l’empresa externa

4

Fi del procés 7Resoldre

la incidència 16

Cal ajuda externa?

3

Cal material?

10

Calenpressuposts

11

Demanar tres pressupots12

Rebre autorització de direcció 13

Comprar material14

Desplaçar-se al lloc de la incidència 15

3.1 Gestió d’incidents de seguretat de la informació i millores

Es potsolucionaren remot?

8

Resoldrela incidència 9



PG 33 Còpies de seguretat i recuperació d’arxius Compatibilitat i Informàtica




Mantenir la integritat i la disponibilitat dels serveis de tractament de la informació i la comunicació 01 02 / 07 Edició inicial

Usuaris Responsable del manteniment informàticEntrades: documentsde referència, dades,




1. Reglament de mesures de seguretat dels fi txers automatitzats que continguin dades de caràcter personal

2. Cinta del dia anterior

1. La informació de la qual es fa còpies a les cintes de seguretat és la del servidor principal, que és la que s’ha considerat que té importància per al negoci.

3. Cada dia es comprova que el programa s’ha executat correctament i s’anota a mà la comprovació.

5. Qualsevol persona de l’organització que tingui una incidència sobre recuperació d’algun arxiu eliminat accidentalment pot fer arribar al responsable de manteniment informàtic la incidència segons allò que s’ha descrit en el procés PTI-01-INF de resposta davant incidències i mals funcionaments de la seguretat.

11. Les ajudes de suports s’han de prova manualment quan sigui factible, a fi d’asse-gurar que són fi ables quan sigui necessari usar-los en cas d’emergència. També s’han de comprovar regularment els procediments de recuperació per assegurar que són efi caços i que poden complir-se en el temps establert en els procediments operatius de recuperació.

3. Cinta del dia en curs

5. No conformitat

11. Registre de comprovacions

Guardar la cinta a lacaixa forta

4

No

Sí

Sol·licitut aldepartament deTI mitjançant NC

Fi del procés 10Fer comprovacions

mensuals 11

3.2 Còpies de seguretat i recuperació d’arxius

Necessitat de fercòpies de seguretat 1

Cada matí, llevar la cintadel dia anterior

2

Introduir la cinta del dia encurs i fer la comprovació

3

Cercar la cinta del dia anterior

6

Introduir la cinta en el servidos

7

Comprovar la fi abilitat delfi txer de la cinta

8

Restablir el fi txer sol·licitat9

Cal restablircap fitxer?

5



PG 34 Seguretat en els accessos de terceres parts Compatibilitat i Informàtica




Mantenir la seguretat que terceres parts puguin accedir als recursos de tractament de la informació i dels actius d’informació de l’organització 01 02 / 07 Edició inicial

Personal d’empreses col·laboradores i visitants Director d’TI

Entrades: documentsde referència, dades,




9. Contracte tipus

1. Els tercers que treballen en l’organització de forma temporal també poden augmentar les debilitats de la seguretat. Exemples de tercers serien:a) El personal de manteniment i suport de maquinari i programari.b) Els serveis de suport externalitzats de neteja, vigilància i d’altres.c) Els estudiants en pràctiques o amb altres contractats per temps limitat.

5. Es consideren aquests tipus d’accés:a) Accés físic, per exemple, a despatxos, magatzem, etc.b) Accés lògic, per exemple, a bases de dades o a sistemes d’informació de l’orga-nització.

Motius d’accés. Hi ha tercers que han de tenir accés físic i lògic perquè donen servei a l’empresa, sense estar-hi instal·lats, per exemple:a) El personal de suport al maquinari i al programari requereix accés en el nivell del sistema o de les funcionalitats de baix nivell de les aplicacions.b) Els associats o partícips en el negoci que han d’intercanviar informació, accedir als sistemes d’informació o compartir bases de dades.

2 i 5. Identifi cació i avaluació de riscs relatius a parts externes

8. Clàusules establertes en les ofertes

8. Contracte signat

No

Sí

Sí

3.3 Seguretat en els accessos de tercers

Identifi car el tipus d’accés4

Avaluar el riscs4

Implantar els controls8

Té dret d’accés? 2

Cal aplicar controls? 6

Identifi car els controlsque cal aplicar

7

Accedir a lainformació 3

Accedir a lainformació 9

1Necessitat d’accedir

fisicament o lògicament a la informació

No



PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat i Informàtica


Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 de 2


Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial

Tot el pesonal Responsable del manteniment informàticEntrades: documentsde referència, dades,




2. L’àlies de l’usuari es construeix utilitzant els criteris següents:

Grandària mínima: 3 caràcters. Grandària màxima: 14 caràcters. Primera inicial del nom. Primera inicial del segon nom (si és compost). Primer cognom complet. Els caràcters amb accent són substituïts pel mateix caràcter sense accent. El caràcter ñ és substituït per la lletra n. No es consideren els enllaços, per exemple, en el nom Maria dels Horts no es té en compte dels.Si dues o més persones tenen el mateix identifi cador d’usuari, cal afegir a la segona persona i següents un dígit diferenciador: 2, 3, 4, etc.

Els confl ictes no aclarits per les regles anteriors seran resolts a criteri de la persona que sol·licita el compte o dels serveis infor-màtics. En cas de combinacions que derivin en paraules malsonants, es pot sol·licitar el canvi d’identifi cador d’usuari.

4. Hi ha diversos tipus de privilegis, els més habituals són el d’administrador per a personal d’IT i usuaris per a tots els altres treballadors i directius.

6. Se’ls proporciona inicialment una contra-senya temporal segura que forçosament hagin de canviar immediatament després.

S’ha d’establir un conducte segur per fer arribar les contrasenyes temporals als usuaris. S’hauria d’evitar enviar-les mitjançant tercers o missatges no xifrats de correu electrònic.

10. Per mantenir un control efectiu de l’accés a les dades i als serveis d’informació, s’ha de fer una revisió periòdica dels drets d’accés dels usuaris. a) Revisar els drets d’accés dels usuaris a intervals de temps regulars (es recomana cada sis mesos). b) Revisar més sovint (es recomana cada tres mesos) les autoritzacions de drets d’accés amb privilegis especials.c) Comprovar les assignacions de privi-legis a intervals de temps regulars per assegurar que no s’han obtingut privilegis no autoritzats.

4 i 12. Gestió de drets d’accés d’usuaris

8 i 16. Lliurament de la política, les contrasenyes i el compromís de secret

Modificació

Alta de nou usuari

3.4 Gestió d’accessos, privilegis i contrasenyes d’usuaris

Assignar contrasenyatemporal

5

Assignar contrasenyatemporal

6

Entregar documentde drets d’accés,

lliurament de contrasenyai compromís de secret

7

Signar el justifi cant derecepció de drets d’accés,

lliurament de la contrasenya i compromís de secret

8

Canviar la contrasenya9

Eliminar permisosd’usuari

12

Modifi car el registre dedrets d’accés 10

Revisar periòdicamentels drets d’accés

11

1Necessitat de gestionar

altes i modificacionsd’accessos, privilegis i/o

contrasenyes

Proporcionar àlies de nou usuari

3

Assignar privilegis ianotar-ho en el registre

4

Quina gestió és?2

A

Baixa d’usuari



PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat i Informàtica




Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial

Tot el pesonal Responsable del manteniment informàticEntrades: documentsde referència, dades,




15. També es proporcionen contrasenyes temporals quan un usuari oblida la seva, però només després d’haver-ne fet una identifi cació positiva.

17. Gestió de drets d’accés d’usuaris

Contrasenya

Privilegis

Revisar periòdicamentels drets d’accés

18

De quinamodificació es

tracta?

A

Permisos d’accés

12

Assignar privilegis14

Assignar permisosd’accés

13

Modifi car el registrede drets d’accés

17

Assignar una contrasenya temporal

15

Canviar la contrasenya16



PG 36 Instal·lació i protecció d’equips Compatibilitat i Informàtica




Evitar pèrdues i danys, comprometre els actius o interrompre les activitats, i protegir la integritat del programari i de la informació 01 02 / 07 Edició inicial

Responsable del manteniment informàticEntrades: documentsde referència, dades,




1. Manual per instal·lar un ordinador nou

5. Política sobre les llicències de programari i copyrights

1. L’equip hauria de col·locar-se i protegir-se de manera que es redueixi el risc d’ame-naces de l’entorn, així com les oportunitats d’accessos no autoritzats. S’haurien de considerar els controls següents:

a) Els equips s’haurien de situar on es minimitzin els accessos innecessaris a les àrees de feina.

b) Els equips de tractament i emmagatze-matge d’informació que manegen dades sensibles s’han d’instal·lar on es redueixi el risc que altres vegin els processos mentre s’usen.

c) Els elements que requereixin protecció especial s’han d’aïllar per reduir el nivell general de protecció requerit.

d) S’han d’adoptar mesures per minimitzar els riscs de possibles amenaces, com ara: robatori, incendi, explosius, fum, aigua (o fallada de subministrament), pols, vibra-cions, agents químics, interferències en el subministrament elèctric i radiacions electromagnètiques.

5. S’ha d’instal·lar la darrera actualització de Windows juntament amb totes les actua-litzacions de seguretat disponibles en el moment en el servidor de Microsoft. (Vegeu la política sobre les llicències de programari i copyrights.)

11. La llista de programes que s’instal·len comunament són els que estan descrits en el document gestió d’usuraris i privilegis.

Tot programari que s’usa a l’empresa per a fi ns administratius o comercials té llicència. El nombre de llicències es correspon amb el nombre d’usuaris simultanis.

Per descomptat, pot usar-se en equips programari lliure (Open Source, Freeware, etc.).

5. Llicències de programari i copyrights

3.5 Instal·lació i protecció d’equips

Fi del procés 11

1Necessitat de donar

d’alta un lloc de feina

Comprovar si els discs durstenen particions

2

Instal·lar componentsnecessaris per al funcionament

3

Instal·lar impressores4

Instal·lar programesinformàtics

5

Instal·lar el sistema operatiui les actualitzacions

6

Instal·lar la xarxa interna7

Fer petició d’entrada de domini i d’antivirus

8

És unnou usuari? 9

Activar el PTI-04-INFde gestió d’accessos,

privilegis i contrasenyesd’usuaris

10

No

Sí



PG 37 Inventari d’actius, classifi cació i tractament de la informació Compatibilitat i Informàtica




Mantenir una protecció adequada sobre els actius i la informació 01 02 / 07 Edició inicial

Coordinador de l’SGSIEntrades: documentsde referència, dades,




1. ISO 17799:2005

1. ISO 27.001:2005

5, 6 i 7. Annex 1 sobre valoració d’actius

1. S’han categoritzat 6 tipus d’actius:

1. Tangibles-maquinari (actius físics): equip de tractament (processadors, monitors, portàtils, mòdems), equips de comunica-cions (routers, centrals digitals, màquines de fax), mitjans magnètics (discs i cintes), etc.2. Programari: programari d’aplicació, programari del sistema, eines i programes de desenvolupament.3. Persones: personal de l’organització (tot el personal implicat i proveïdors).4. Informació: actius de dades i informació, documentació pública, arxius per custodiar.5. Subministraments (Internet, llum, telefonia, etc.).6. Altres (reputació, web, etc.).

2. La responsabilitat sobre els actius ajuda a assegurar que es manté la protecció adequada. S’identifi quen els propietaris (responsables) de tots els actius importants.

Per conèixer els drets d’accés als actius que es refereixen a dades, vegeu: Paper: vegeu el registre de llista de registres.Electrònic: vegeu el registre de gestió de drets d’accés d’usuaris.

8. La llista d’actius l’ha de revisar en la reunió de revisió la direcció.

Actius organitzatius: qualsevol element que representi un valor per a l’empresa.

6. Inventari d’actius, classifi cació i tractament de la informació

3.6 Inventari d’actius, classifi cació i tractament de la informació

1Identificar un possibleactiu de l’organització

Asignar un responsablea aquest actiu

2

No

Sí

Valorar l’impacte enl’organització i/o el valor d’ús

3

Valorar el cost de reposicióde l’actiu

4

Calcular la qualifi cació5

Es modifical’avaluació de risc? 6

Activar/revisar el procés PTI-04-INF

de gestió iavaluació de riscs

7

Revisar periòdicamentla classificació

8



PG 37 Inventari d’actius, classifi cació i tractament de la informació Compatibilitat i Informàtica




Mantenir una protecció adequada sobre els actius i la informació 01 02 / 07 Edició inicial

Valoració d’actius

Subestat: Impacte en l’organització i/o valor d’ús: d’1 a 5 (de molt baix a molt alt)Subestat: Cost de reposició de l’actiu: d’1 a 5 (de menys de 100 euros a més de 1000.000 euros)A continuació, hi ha una taula amb el resum de les mètriques utilitzades:

Resum i nivell de criticitat fi nal

Escala Valor de l’actiu Nivell de criticitat fi nal

1-3 Molt baix 1

4-5 Baix 2

6-10 Mitjà 3

11-19 Alt 4

20-25 Molt alt 5

Cost de reposició (en euros)

<100De 100a 1.000

De 1.000a 10.000

De 10.000a 100.000

>100.000

Escala 1 2 3 4 5

Imp

acte

i/o

val

or

d’ú

s Molt baix 1 1 1 3 4 5

Baix 2 2 4 6 8 10

Mitjà 3 3 6 9 12 15

Alt 4 4 8 12 16 20

Molt alt 5 5 10 15 20 25



PG 38 Acabament del lloc de feina i eliminació de suports Compatibilitat i Informàtica




Assegurar que els empleats, contratistes i usuaris de tercera part surtin de l’organització o caviïn de lloc de feina d’una manera ordenada 01 02 / 07 Edició inicial

Personal InformàticEntrades: documentsde referència, dades,




6. Lliurament de la política, les contrasenyes i el compromís de secret

5. S’han d’utilitzar procediments formals per desfer-se d’una manera segura dels suports (discs durs de PC i portàtils, memòries USB, CD, etc.) i s’ha de tractar de minimitzar el risc de perdre informació sensible a la qual puguin accedir persones no autoritzades.Abans d’eliminar tots els elements de l’equip que continguin mitjans d’emmagatzematge, s’ha de comprovar que totes les dades sensibles i el programari amb llicència s’ha esborrat o sobreescrit. Els dispositius que continguin informació han de ser destruïts físicament o bé la informació ha de ser destruïda, esborrada o sobreescrita mitjançant tècniques que no facin possible recuperar la informació original, en comptes d’utilitzar un esborrat normal o un formatat.

6. La llista d’actius per tornar pot incloure:Claus d’accésMòbil d’empresaPortàtilsManuals i documentacióEtc.

Nota: Els drets d’accés als actius d’infor-mació i als recursos de tractament de la informació haurien de ser reduïts o retirats abans d’acabar o canviar la contractació, depenent de l’avaluació de factors de risc, com ara:

a) Si l’acabament o el canvi és d’iniciativa de l’empleat, el contractista o l’usuari de tercera part, o d’iniciativa de la direcció, així com la raó de l’acabament.

b) Les responsabilitats que té l’empleat, el contractista o qualsevol altre usuari.

c) El valor dels actius accessibles en el moment.

6. Lliurament de la política, les contrasenyes i el compromís de secret

3.7 Acabament del lloc de feina i eliminació de suports

Acabament o canvid’un lloc de feina

1

Tomar els actius quesiguin necessaris

4

Emplenar l’imprèsde devolució d’actius i

de compromís de secret5

Activar el PTI-04-INF degestió d’accessos, privilegis

i contrasenyes d’usuaris3

És unabaixa d’usuari?

Hi ha pecesreutilitzables?

És un disc peremmagatzemar

dades?

És unacomiadament?

Signar la cartad’acomiadament

2

Emmagatzemarles peces

8

Formatar el disc7

Modificar l’inventari 9

Destruir-lo en unpunt ecològic

6

Hi ha unabaixa d’un

equip?

Fi del procés 10

No

No

No

No

No

Sí

Sí

Sí

Sí

Sí



PG 39 Gestió i avaluació de riscs Compatibilitat i Informàtica




Analitzar, avaluar i tractar els riscs de seguretat de la informació de l’organització 01 02 / 07 Edició inicial

Comitè de seguretat de la informació DireccióEntrades: documentsde referència, dades,




1. PTI-07-INF d’inventari d’actius, classifi cació i tractament de la informació

4, 5, 6. Annex 1: Criteris d’acceptació dels riscs i identifi cació dels nivells acceptables per al risc

11. ISO 17799:2005

1. S’han identifi cat 6 categories d’actius:• Tangibles• Persones• Serveis• Programari• Informació• Altres

2. Les amenaces són els esdeveniments que poden desencadenar un incident en l’orga-nització i produir danys materials o pèrdues immaterials en els seus actius. La conse-qüència de l’amenaça, si es materialitza, és un incident que modifi ca l’estat de seguretat dels actius amenaçats. És a dir, fa passar l’actiu d’un estat inicial anterior conegut a un altre de posterior que pot ser no desitjable.

3. La vulnerabilitat d’un actiu és la potenci-alitat o la possibilitat que es materialitzi una amenaça sobre l’actiu. Una vulnerabilitat és una debilitat o un forat en la seguretat de la informació d’una amenaça. En si mateixa no causa cap dany, sinó que és una condició o un conjunt de condicions que poden permetre que una amenaça afecti un actiu. Es tracta d’una propietat de la relació entre un actiu i una amenaça que si no es gestiona adequadament permet que l’amenaça es materialitzi.

Nota: Per fer l’avaluació, s’ha utilitzat la llista de vulnerabilitats (i amenaces) típiques segons la norma UNE71501-3:2001 IN.

4, 5, 6. Per avaluar el risc, vegeu l’annex 1: Criteris d’acceptació dels riscs i identifi cació dels nivells acceptables per al risc.

8. Els objectius del control i els controls llistats en l’annex A de la norma ISO 27001 han de ser seleccionats com a part d’aquest procés i d’una manera adequada per cobrir els requisits identifi cats. L’annex A conté una llista dels objectius del control i els controls que en general han estat trobats importants en les organitzacions.

1. Inventari d’actius

3.8 Gestió i avaluació de riscs

Identificar els actius 1

Avaluar l’actiu següent 7

El nivell derisc és acceptable?

Quin tractamentde risc aplicam?

Identifi car les amenacesdels actius

2

Valorar la probabilitatd’ocurrència

4

Valorar l’impacte enl’organització

5

Calcular el nivell de risc6

Implantar controls8

Trac

tam

ent d

el r

isc

Ava

luac

ió d

el r

isc

Anà

lisi d

el r

isc

Evitar el risc9

Identifi car lesvulnerabilitats

d’aquests actius 3

Transferir el risc10

Acceptar el risc 11

Planifi car controls12

A








Comitè de seguretat informàtica DireccióEntrades: documentsde referència, dades,




17. Formular un pla de tractament del risc que identifi qui les accions de gestió apropiades, els recursos, les responsabilitats i les prioritats per gestionar els riscs de seguretat de la informació.

18. Cal mesurar l’efi càcia dels controls per comprovar que s’han complert els requisits de seguretat.

19. Es farà o s’actualitzarà la declaració d’aplicabilitat, que inclou el següent:a) Els objectius de control i els controls seleccionats i les raons d’aquesta selecció.b) Els objectius de control i els controls implantats en el seu moment.c) L’exclusió de qualsevol control objectiu del control i de qualsevol control, i la justifi cació de l’exclusió.

20. Cal revisar les anàlisis del risc i els riscs residuals així com els nivells acceptables del risc en la revisió anual del sistema, tenint en compte canvis en:a) L’organitzaciób) La tecnologiac) Els objectius i els processos del negocid) Les amenaces identifi cadese) L’efi càcia dels controls implantats

15. Informe de l’anàlisi del risc

16. Pla de tractament de riscs

20. Selecció de controls ISO 27.001 (SOA)

Rev

isió

del

ris

cTr

acta

men

t del

ris

c

Valorar la probabilitatd’ocurrència

12

Valorar l’impacte enl’organització

13

Fer/actualitzar el pla detractament de riscs

17

Planifi car els indicadors per

mesurar els controls 18

Fer/actualitzar eldocument d’aplicació

de controls 19

Identifi car altrespossibles controls

per implantar 16

Calcular el risc residual14

Aprovar elrisc residual

15

Fer revisionsperiòdiques 20

A








ANNEX 1: Criteris d’acceptació dels riscs i identifi cació dels nivells acceptables per al risc

a) Mètrica de probabilitat

Cal tenir en compte dos tipus de repeticions, quan es manifesta l’amenaça i quan l’amenaça pot aprofi tar una vulnerabilitat.

c) Nivells de risc acceptables

Probabilitat Repetició Puntuació

Ínfi ma Un cop en la vida 1

Poc probable Cada any 2

Probable Cada mes 3

Bastant probable Cada setmana 4

Molt probable Cada dia 5

1-5 Tolerable No fa falta aplicar-hi tractament n fer-ne un seguiment

6-10Tolerableamb reserves

Cal aplicar-hi tractament

11-25 Intolerable Cal aplicar-hi tractament de risc i fer-ne un seguiment

Impacte i/o valor d’ús Cost de reposició Puntuació

Molt baix Menys de 100 € 1

Baix Entre 100 € i 1.000 € 2

Mitjà Entre 1.000 € i 10.000 € 3

Alt Entre 10.000 € i 100.000 € 4

Molt alt Més de 100.000 € 5

Probabilitat

ïnfi maPoc

probableBastant

probableProbable

Moltprobable

1 2 3 4 5

Impacte Molt baix 1 1 1 3 4 5

Baix 2 2 4 6 8 10

Mitjà 3 3 6 9 12 15

Alt 4 4 8 12 16 20

Molt alt 5 5 10 15 20 25

b) Mètrica de l’impacte

En té en compte intrínsicament la valoració del temps de reposició, pèrdua de reputació, etc.

d) Tractament del risc• Implantar controls• Evitar el risc• Transferir el risc• Acceptar el risc

e) Resum de la valoració del risc


45

4. EXEMPLES PRÀCTICS DE DOCUMENTACIÓ

4.1 Exemple d’un índex de polítiques de seguretat de la informació

Les polítiques de seguretat de la informació són una sèrie de normes i recomanacions que

pretenen regular el bon ús, la disponibilitat i el nivell de servei dels recursos informàtics d’una

organització. S’apliquen a totes les persones que hi estan vinculades, tant si és personal

de suport, personal d’administració, equip directiu, becaris, etc., com si és qualsevol altra

entitat externa que utilitzi els recursos de l’empresa (proveïdors informàtics, consultors,

auditors, etc.). S’haurien d’entregar a totes aquestes persones, que les haurien de signar

com a prova que n’accepten el contingut. A continuació, hi ha un exemple d’un índex típic

de polítiques de seguretat de la informació.

1 Índex

2 Objectiu

3 Àmbit d’aplicació

3.1 Agents als quals s’aplica aquesta política

3.2 Recursos als quals es refereix aquesta política

3.3 Aspectes normatius i reglamentaris

4 Justifi cació

4.1 Què és la seguretat de la informació?

4.2 Per què és necessària la seguretat de la informació?

5 Polítiques de bones pràctiques de seguretat de la informació

5.1 Procés d’autorització de recursos per al tractament de la informació (6.1.4)

5.2 Ús acceptable dels actius (7.1.3)

5.3 Extracció de pertinences (9.2.7)

5.4 Drets de propietat intel·lectual (IPR) (15.1.2)


46

5.5 Controls contra el codi maliciós (10.4)

5.6 Correu electrònic i enviament de missatges (10.8.4)

5.7 Sistemes d’informació del negoci (10.8.5)

5.8 Política de pantalles i taules d’escriptori netes o «sense papers» (11.3.3)

5.9 Política d’ús dels serveis de xarxa (11.4.1)

5.10 Sistema de gestió de contrasenyes (11.5.3)

5.11 Ordinadors i comunicacions mòbils (11.7.1)

5.12 Teletreball (11.7.2)

5.13 Procés disciplinari (8.2.3)

5.14 Seguretat dels equips fora dels locals de l’organització (9.2.5)

6 Altres polítiques de seguretat de la informació (16.1.1)

4.2 Exemple d’un índex de manual de seguretat física i de l’entorn

L’objectiu del manual és evitar accessos no autoritzats, danys i interferències contra els

locals i la informació de l’organització

Es tracta de complir, entre d’altres, els dominis de control A.9.1 Àrees segures, A.9.2

Seguretat dels equips i altres controls derivats del Codi de bones pràctiques per a la gestió

de la seguretat de la informació (ISO 27002)

El manual de seguretat física i de l’entorn és un tutorial dedicat a la seguretat física de

sistemes que intenta aclarir termes i tècniques en aquesta àrea de la seguretat informàtica

i de la informació.

El manual tracta de la seguretat física dels sistemes informàtics (ordinadors, maquinari

de xarxa, dispositius electrònics, etc.), de tot l’entorn que els envolta al lloc on es troben

ubicats (edifi ci, sistemes elèctrics, seguretat dels panys, etc.) i de les persones que estan


47

encarregades de vigilar-los o de vigilar l’accés a aquests sistemes informàtics (administradors,

personal extern, vigilants, etc.). Tot aquest entorn confi gura la seguretat física.

S’han posat entre parèntesis els punts de la norma ISO 27002.

1 Índex

2 Objectiu

3 Abast

3.1 Introducció

3.1.1 Descripció de l’edifi ci

3.1.2 Descripció de la xarxa i dels sistemes

4 Àrees segures (9.1)

4.1 Perímetre de seguretat física (9.1.1)

4.1.1 Accessos físics a la nau

4.2 Controls físics d’entrada (9.1.2)

4.2.1 Càmeres de vigilància

4.2.2 Instal·lació i control de recepció d’alarmes

4.3 Seguretat de les ofi cines, els despatxos i els recursos (9.1.3)

4.3.1 Accés al magatzem

4.4 Protecció contra les amenaces externes i de l’entorn (9.1.4)

4.4.1 Seguretat contra incendis

4.4.2 Plans d’emergència i evacuació del personal

4.5 Treball en àrees segures (9.1.5)

4.6 Àrees d’accés públic, de càrrega i descàrrega (9.1.6)

5 Seguretats dels equips (9.2)

5.1 Instal·lació i protecció d’equips (9.2.1)

5.1.1 Condicions ambientals


48

5.1.2 Accés als servidors

5.2 Instal·lacions de subministrament (9.2.2)

5.2.1 Subministraments d’energia de l’edifi ci

5.2.2 Sistema d’alimentació ininterrompuda (SAI)

5.3 Seguretat del cablejat (9.2.3)

6 Altres controls voluntaris (16.1)

6.1 Assegurances (16.2.1)

7 Annex 1 (plànols de les ofi cines)

4.3 Pla de continuïtat del negoci

L’objectiu del pla de continuïtat del negoci és reaccionar a la interrupció de les activitats

empresarials i protegir els processos crítics de negoci dels efectes de catàstrofes o de fallades

importants dels sistemes d’informació, així com garantir-ne la represa.

S’implanta un procés de gestió de la continuïtat del negoci per minimitzar els efectes sobre

l’organització i poder recuperar-se de pèrdues d’actius d’informació (com a resultat, per

exemple, de catàstrofes naturals, accidents, fallades dels equips i accions intencionades) fi ns a

un nivell acceptable mitjançant una combinació de controls preventius i de recuperació.

El procés ha d’identifi car els processos crítics de negoci i integrar els requisits de gestió de

seguretat de la informació per a la continuïtat del negoci amb altres requisits de continuïtat

relacionats amb aspectes com ara les activitats, el personal, els materials, el transport i les

instal·lacions.

La gestió de la continuïtat del negoci inclou controls preventius per identifi car i reduir els riscs, a

més del procés general d’avaluació de riscs; limitar les conseqüències d’incidents danyosos, i

garantir que la informació necessària per als processos empresarials estigui disponible.


49

Camp Explicació

1 Succés Nom del succés o esdeveniment

2 Propietari de gestió del pla Responsable de la documentació, implantació, revisió i millora del pla

3 Condicions per activar-loCriteris que determinaran quan és apropiat posar en funcionament el pla o procediment de recuperació

4 Controls preventiusControls tècnics o organitzatius o mitjans humans que s’hi destinaran per evitar que es produeixi el succés o per pal·liar-ne les conseqüències.

5 Pla de contingències

Procediments que permeten la recuperació i la represa de les activitats empresarials, i també la disponibilitat de la informació en les escales temporals requerides.

6 Elements que cal comprovar Vegeu l’apartat «Proves, manteniment i reavaluació dels plans».

Estructura i explicació

Proves, manteniment i reavaluació dels plans

Els plans de continuïtat del negoci han de provar-se i actualitzar-se periòdicament per garantir

que estan al dia i que són efectius.

Els plans de continuïtat del negoci han de garantir que tots els membres de l’equip de recuperació,

així com qualsevol altra persona rellevant, coneixen els plans i la seva responsabilitat per a la

continuïtat del negoci i la seguretat de la informació, i que coneixen les seves funcions quan es

recorre a un pla.


50

La programació de les proves del pla o els plans de continuïtat del negoci indiquen quan i com

ha de provar-se cada element del pla. Tots els elements del pla o els plans han de provar-se

amb la freqüència estipulada.

4.4 Exemple d’inventari d’actius, classifi cació i tractament

Segons s’estableix en el punt 4.2.1 d) (1) de la norma ISO 27001 i el punt 7 de la norma 27002,

a continuació es presenta un exemple d’inventari dels actius d’una organització. A cada un s’ha

assignat un responsable i un valor de la manera següent:

Subestat «Valor d’ús»: d’1 a 5 (de molt baix a molt alt)

Prova d’escenari núm. 4 sobre talls de subministrament elèctric

Què cal comprovar Com Qui Quan

Simulacres de talls de subministrament

Pitjar el botó de «Tester» del quadre elèctric.

Comprovar que el SAIS i els equips funcionen.

Comprovar quins elements estan connectats als endolls vermells.

Comprovar que les centraletes de telèfon i d’alarma continuen actives.

Comprovar els llums d’emergència.

Responsablede

mantenimentSemestral

Data Resultats Firma Observacions


51

Subestat «Cost de reposició de l’actiu»: d’1 a 5 (de menys de 100 euros a més de 100.000 euros)

A continuació, hi ha una taula amb el resum de les mètriques utilitzades:

Com a actiu, s’entén qualsevol cosa que té valor per a l’organització (ISO/IEC 13335-1:2004). Els

hem classifi cat en sis grups: 1. Tangibles-maquinari, 2. Programari, 3. Persones, 4. Informació,

5. Subministraments i 6. Altres.

Abreviatures utilitzades

Cost de reposició (en euros)

<100De 100a 1.000

De 1.000a 10.000

De 10.000a 100.000

>100.000

Escala 1 2 3 4 5

Valord’ús

Molt baix 1 1 1 3 4 5

Baix 2 2 4 6 8 10

Mitjà 3 3 6 9 12 15

Alt 4 4 8 12 16 20

Molt alt 5 5 10 15 20 25

Impacte l’organització i/o valor d’ús IO

Cost de reposició de l’actiu CR

Qualifi cació QA


52

Rev. N Nom de l’actiu Responsable IO CR QA Observacions

01 l1 Documents 5 4 20

01 l2 Documentació pública 2 2 4

01 l3 Documentació reservada i confi dencial (paper) 3 3 9

01 l4 Documentació reservada i confi dencial (digital) 4 3 12

Rev. N Nom de l’actiu Responsable Temps dereposició IO CR QA Observacions

01 S1 Telefonia mòbil 2 1 2

01 S2 Telefonia fi xa 2 1 2

01 S3 Accés a xarxa privada virtual (VPN) 2 2 4

01 S4 ADSL 2 2 4

01 S5 Subministrament elèctric 4 2 8

Rev. N Nom de l’actiu Departament IO CR QA Observacions

01 P1 Persona 1 Departament 1 4 3 12




1. Inventari d’informació

2. Inventari de subministrament

3. Inventari de persones


53

Rev. N Nom del’actiu Responsable Quantitat Cost

unitariCosttotal

Temps dereposició IO CR QA Observacions

01 T1 Servidor 5 3 15

01 T2 Servidor 5 3 15

01 T3 Equip delloc de feina 3 2 6

02 T4 Portàtil 2 2 4

01 T5 PDAS 1 1 1

Rev. N Nom de l’actiu Responsablede departament Proveïdor IO CR QA Observacions

01 S1 Programari d’aplicacióde servidor 4 2 8

01 S2 Antivirus 5 3 15

01 S3 Opera 5 3 15

01 S4 Paquet ofi màtic 3 2 6

Rev. N Nom de l’actiu Responsable IO CR QA Observacions

01 O1 Marca i reputació 5 3 15

01 O2 Pàgina web 4 3 12

4. Inventari de tangibles-maquinari

5. Inventari de programari

6. Inventari d’altres


54

4.5 Selecció de controls (declaració d’aplicabilitat)

La declaració d’aplicabilitat o selecció de controls és una declaració documentada que descriu

els objectius del control i els controls que són rellevants i aplicables a l’SGSI de l’organització.

L’organització ha de seleccionar els objectius dels controls i els controls per al tractament

dels riscs.

Els objectius dels controls i els controls han de ser seleccionats i implantats per complir els

requisits identifi cats per l’anàlisi de risc i el procés de tractament del risc. Aquesta selecció

ha de tenir en compte el criteri d’acceptació de riscs, així com els requisits legals, regulatoris i

contractuals.

Els objectius del control i els controls llistats han de ser seleccionats com a part d’aquest procés

i d’una manera adequada per cobrir els requisits identifi cats.

Els objectius del control i els controls llistats no tenen caràcter exhaustiu, i es poden seleccionar

també altres objectius del control i altres controls.

S’ha afegit un camp al costat de cada control («estat») per conèixer-ne el grau d’implantació. Hi

ha quatre estats per a la implantació:

En el cas de controls en què l’estat és «programat», cal planifi car-ne la implantació en el document

del pla de tractament del risc, en el qual s’especifi quen els recursos, les responsabilitat i les

prioritats per gestionar els riscs de seguretat de la informació.

1 Implantat

2 Programat

3 No programat

4 No aplicat


A.5 Política de seguretat

A.5.1 Política de seguretat de la informació

OBJECTIU: Dirigir i donar suport a la gestió de la seguretat de la informació d’acord amb els requisits del negoci i amb la legislació i la regulació aplicables.

A.5.1.1 Document de política de seguretat de la informació

Control APLICATSI / NO

Document de referènciao justifi cació Estat

Un document de política de seguretat de la informació ha de ser aprovat per la direcció i ha de ser publicat i comunicat a tots els empleats i a terceres parts.

Sí Polítiques de seguretatde la informació Implantat

A.5.1.2 Revisió de la política de seguretat de la informació



La política de seguretat de la informació s’ha de revisar a intervals planifi cats o si s’hi produeixen canvis signifi catius, a fi d’assegurar-ne la idoneitat, l’adequació i l’efi càcia de la continuïtat.

Sí Revisió de la direcció Implantat

A.6 Organització de la seguretat de la informació

A.6.1 Organització interna

Objectiu: Gestionar la seguretat de la informació dins l’organització.

A.6.1.1 Comissió de gestió de la seguretat de la informació



La direcció ha de donar un suport actiu a la seguretat dins l’organització mitjançant directrius clares, compromís demostrat, assignació explícita i reconeixement de les responsabilitats de la seguretat de la informació.

Sí Hi ha una acta de constitució i regles d’actuació del comitè Implantat

A.6.1.2 Coordinació de la seguretat de la informació



Les activitats relatives a la seguretat de la infor-mació han de ser coordinades per representants de les diferents parts de l’organització amb els rols i les funcions de treball corresponents.

Sí Perfi ls dels llocsde feina Implantat

A.6.1.3 Assignació de responsabilitat sobre la seguretat de la informació



Cal defi nir clarament totes les responsabilitats sobre la seguretat de la informació. Sí Perfi ls dels llocs

de feina Implantat

A.6.1.4 Procés d’autorització de recursos per al tractament de la informació



Cal defi nir i implantar un procés d’autorització per gestionar cada nou recurs de tractament de la infor-mació.

Sí Segons el lloc de feina es tenen defi nits els recursos necessaris. Implantat

A.6.1.5 Acords de confi dencialitat



Cal identificar i revisar d’una manera regular els requisits dels acords de confidencialitat o de no-revelació que reflecteixin les necessitats de l’orga-nització respecte a la protecció de la informació.

Sí Acords de confi dencialitat en els contractes de treball Implantat

A.6.1.6 Contacte amb les autoritats



Cal mantenir contactes adequats amb les autoritats que corresponguin Sí

Directori de telèfons i adrecesd’emergències

(pla de continuïtat del negoci)Implantat

Selecció de controls


4.6 Informe d’anàlisi de riscs

En aquest exemple s’ha optat per una metodologia pròpia d’avaluació de riscs, fruit de recollir

algunes tècniques d’altres metodologies de prestigi reconegut (MAGERIT, etc.).

A més, per fer l’avaluació, s’ha utilitzat la llista de vulnerabilitats (i amenaces) típiques segons la

norma UNE71501-3:2001 IN.

Per conèixer-la amb profunditat, vegeu el procediment «Avaluació de riscs de seguretat de la

informació» descrit anteriorment.

Exemple d’avaluació de riscs de la informació del grup «Informació»:

Documents

Amenaça (Què) Vulnerabilitat (per què) P I VR Tractament Controls P I Valorresidual Observacions

Robatori personal intern mal intencionat (confi dencialitat)

Personal internmal intencionat 2 4 8 Implantar controls Assegurances 2 3 6

Robatori personal extern mal intencionat (confi dencialitat)

Emmagatzematgeno protegit 2 4 8 Implantar controls 9.1.2 Controls

físics d’entrada 1 4 4

Accés de persones no autoritzades(confi dencialitat)

Eliminació insufi cientde la documentació 2 5 10 Implantar controls

Eliminació a la paperera de documentacióconfi dencial

1 4 4

Accés de persones no autoritzades(confi dencialitat)

Personal internmal intencionat 2 4 8 Implantar controls 6.1.5 Acords de

confi dencialitat 1 4 4


57

5. CERTIFICACIÓ

La norma ISO 27001, igual que la seva antecessora BS 7799-2, és certifi cable. Això vol dir que

l’organització que tingui implantat un SGSI pot sol·licitar una auditoria a una entitat certifi cadora

acreditada i, si la supera amb èxit, pot obtenir un certifi cat del sistema segons la norma ISO 27001.

En les seccions següents, s’aborden diferents temes relacionats amb la certifi cació.

5.1 Auditoria i certifi cació

Una vegada implantat l’SGSI en l’organització, i amb un historial demostrable de com a

mínim 3 mesos, es pot passar a la fase d’auditoria i certifi cació, que es desenvolupa de la

manera següent:

• Sol·licitud de l’auditoria per part de l’entitat interessada a l’entitat de certifi cació i presa de

dades per part d’aquesta darrera.

• Resposta en forma d’oferta per part de l’entitat certifi cadora.

• Compromís.

• Designació d’auditors, determinació de dates i establiment conjunt del pla d’auditoria.

• Preauditoria: opcionalment, pot fer-se una auditoria prèvia que aporti informació sobre la

situació actual i orienti millor sobre les possibilitats de superar l’auditoria real.

• Fase 1 de l’auditoria: no necessàriament ha de ser in situ, ja que es tracta que l’auditor en

cap analitzi la documentació i prepari l’informe de la documentació bàsica de l’SGSI del

client en què destaqui els possibles incompliments de la norma que es verifi caran en la fase

2. Aquest informe s’envia al client juntament amb el pla d’auditoria. El període màxim entre

la fase 1 i fase 2 és de 6 mesos.


58

• Fase 2 de l’auditoria: és la fase de detall de l’auditoria, en la qual es revisen in situ les

polítiques, la implantació dels controls de seguretat i l’efi càcia del sistema en conjunt.

S’inicia amb una reunió d’obertura en què es revisa l’objecte, l’abast, el procés, el personal,

les instal·lacions i els recursos necessaris, així com possibles canvis d’última hora. Es fa

una revisió de les exclusions segons la declaració d’aplicabilitat (document SOA), de les

troballes de la fase 1, de la implantació de polítiques, procediments i controls, i de tots

els punts que l’auditor consideri d’interès. Acaba amb una reunió de tancament en què es

presenta l’informe d’auditoria.

• Certifi cació: en el cas que es descobreixin durant l’auditoria no-conformitats greus,

l’organització haurà d’implantar accions correctives; una vegada verifi cada aquesta

implantació o, directament, en el cas de no haver-hi hagut no-conformitats, l’auditor podrà

emetre un informe favorable i l’SGSI d’organització serà certifi cat segons la norma ISO

27001.

• Auditoria de seguiment: semestralment o, almenys, anualment, ha de fer-se una auditoria de

manteniment; aquesta auditoria se centra, generalment, en parts del sistema, atès que dura

menys, i té com a objectiu comprovar l’ús de l’SGSI i fomentar i verifi car la millora contínua.

• Auditoria de recertifi cació: cada tres anys, és necessari superar una auditoria de certifi cació

formal completa com la que s’ha descrit.

Les organitzacions certifi cades en l’àmbit mundial en la norma ISO 27001 (o, anteriorment, la

norma BS 7799-2) per entitats acreditades fi guren en la llista que es pot trobar a http://www.

iso27001certifi cates.com. Hi ha organitzacions que també han autoritzat que es publiqui

l’abast de la certifi cació.

Naturalment, l’organització que implanta un SGSI no té l’obligació de certifi car-ho. Això

no obstant, sí que és recomanable posar-se com a objectiu la certifi cació, perquè suposa

l’oportunitat de rebre la confi rmació per part d’un expert aliè a l’empresa que s’està gestionant


59

correctament la seguretat de la informació, afegeix un factor de tensió i de concentració en una

meta a tots els membres del projecte i a l’organització en general i envia un senyal al mercat que

es pot confi ar en l’empresa i que és gestionada de manera transparent.

5.2 L’entitat de certifi cació

Les entitats de certifi cació són organismes d’avaluació de la conformitat encarregats

d’avaluar i fer una declaració objectiva sobre el fet que els serveis i els productes compleixen

uns requisits específi cs. En el cas de la norma ISO 27001, certifi quen, mitjançant l’auditoria,

que l’SGSI d’una organització s’ha dissenyat, implantat, verifi cat i millorat de conformitat

amb allò que estableix la norma.

Hi ha nombroses entitats de certifi cació a cada país, ja que es tracta d’una activitat

empresarial privada amb un gran auge en les dues darreres dècades per l’estandardització

creixent i l’homologació de productes i sistemes a tot el món. L’organització que vulgui

rebre el certifi cat pot posar-se en contacte amb diverses entitats certifi cadores i sol·licitar

un pressupost per comparar-los i decidir quina entitat és més convenient, com es fa amb

qualsevol altre producte o servei.

Perquè les entitats de certifi cació puguin emetre certifi cats reconeguts, han d’estar

acreditades. Això vol dir que un tercer, anomenat organisme d’acreditació, comprova,

mitjançant avaluacions independents i imparcials, la competència de les entitats de

certifi cació per a l’activitat objecte d’acreditació. A cada país hi sol haver una sola entitat

d’acreditació (en alguns, n’hi ha més d’una) a la qual l’Administració encarrega aquesta

tasca. A Espanya, és l’ENAC (Entitat Nacional d’Acreditació).


60

5.3 L’auditor

L’auditor és la persona que comprova que l’SGSI d’una organització s’ha dissenyat,

implantat, verifi cat i millorat de conformitat amb allò que estableix la norma. En general, es

distingeixen tres classes d’auditors:

• De primera part: auditor intern, que audita l’organització en nom de si mateixa, normalment

amb l’objectiu de mantenir el sistema de gestió i de preparar l’auditoria de certifi cació.

• De segona part: auditor de client, és a dir, que audita una organització en nom d’un client

seu; per exemple, una empresa que audita el seu proveïdor subcontractat (outsourcing).

• De tercera part: auditor independent, que audita una organització com a tercera part

imparcial, normalment perquè l’organització té la intenció d’aconseguir el certifi cat i

contracta els serveis d’una entitat de certifi cació.

L’auditor, sobretot si actua com a auditor de tercera part, ha de disposar també d’un certifi cat

personal. Això vol dir que un tercer certifi ca que té les competències professionals i personals

necessàries per exercir la labor d’auditoria de la matèria per a la qual està certifi cat.

En aquest punt, hi ha petites diferències entre les entitats certifi cadores, que poden formular

requisits distints per homologar els seus auditors. Però, en general, la certifi cació d’auditors

se cenyeix a la norma ISO 19011 de directrius per a l’auditoria de sistemes de gestió, que

dedica el seu punt 7 a la competència i l’avaluació dels auditors. A l’auditor se li exigeixen

una sèrie d’atributs personals, coneixements, habilitats, educació formal, experiència laboral

i formació com a auditor.

Hi ha diverses organitzacions internacionals de certifi cació d’auditors, a fi de facilitar

l’estandardització de requeriments i garantir un alt nivell de professionalitat dels auditors,

a més d’homologar les institucions que ofereixen cursos de formació d’auditor. Algunes

d’aquestes organitzacions són IRCA, RABQSA o IATCA.


61

IRCA (International Register of Certifi cated Auditors) és l’organisme mundial més gran de

certifi cació d’auditors de sistemes de gestió. Té la seu al Regne Unit i, per això —a causa

de l’origen anglès de la norma BS 7799-2 i, per tant, de la norma ISO 27001—, té ja des

de fa anys un programa de certifi cació d’auditors de sistemes de gestió de seguretat de la

informació. El seu web, també en espanyol, és una bona font de consulta dels requisits i els

graus d’auditor.

Quant a la pràctica de l’auditoria, a l’auditor se li exigeix que es mostri ètic, amb mentalitat

oberta, diplomàtic, observador, perceptiu, versàtil, tenaç, decidit i segur de si mateix.

Aquestes actituds són les que haurien de crear un clima de confi ança i col·laboració entre

auditor i auditat. L’auditat ha de considerar el procés d’auditoria sempre des d’un punt de

vista constructiu i de millora contínua, i no de fi scalització de les seves activitats. Per això,

l’auditor ha de fomentar en tot moment un ambient de tranquil·litat, col·laboració, informació

i treball conjunt.

6. EINES

Aquesta secció inclou enllaços a diferents eines i recursos relacionats amb sistemes de gestió de

seguretat de la informació. Alguns estan en espanyol i d’altres en anglès. Una bona part són gratuïts.

6.1 Normes, guies i bones pràctiques generals

www.iso27001certifi cates.com

Base de dades amb totes les empreses certifi cades segons les normes BS 7799-2 i ISO 27001.

www.iso.org

Normes ISO de descàrrega gratuïta relatives a tecnologies de la informació.

www.aenor.esCompra de normes UNE/ISO.


62

www.iso27000.es/download/ControlesISO27002-2005.pdfLlista en espanyol dels controls de la norma ISO 27002:2005.

www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001-V2.pdfNorma tècnica peruana NTP-ISO/IEC 17799:2007, traducció a l’espanyol de la norma ISO/IEC 27002:2005.

www.praxiom.com/iso-17799-objectives.htmResum en anglès dels objectius de control de la norma ISO 27002:2005.

www.bsigroup.com/upload/Standards%20&%20Publications/shop.htmlCompra de normes de la British Standards Institution.

www.oecd.org/dataoecd/15/29/34912912.pdfDirectrius de l’OCDE per a la seguretat de sistemes i xarxes d’informació: cap a una cultura de la seguretat. En espanyol.

www.ism3.comISM3 (ISM Cubo) és un estàndard de maduresa de la seguretat de la informació compatible amb la implantació de la norma ISO 27001, CobiT, ITIL i ISO 9001 desenvolupat per l’espanyol Vicente Aceituno.

www.bsi.de/english/gshb/guidelines/guidelines.pdfGuia en anglès de bones pràctiques en la seguretat de la informació del Bundesamt für Sicherheit in der Informationstechnik d’Alemanya.

www.bsi.de/english/gshb/manual/index.htmIT-Grundschutz: manual de més de 2.300 pàgines sobre gestió de la seguretat de la informació editat pel Bundesamt für Sicherheit in der Informationstechnik d’Alemanya. Harmonitzat amb la norma ISO 27001, entre altres normes.

www.isfsecuritystandard.comEstàndard de seguretat de la informació: Information Security Forum.

www.isaca.org/cobit

CobiT (Control Objectives for Information and Related Technology): marc per al bon govern de les tecnologies de la informació. Versions en diversos idiomes, inclòs l’espanyol.


63

7. GLOSSARI

Llista de termes relacionats amb la sèrie ISO 27000 i la seguretat de la informació defi nits segons el context d’aquestes. S’hi inclou el terme corresponent en anglès.

A

Abast(Anglès: scope). Àmbit de l’organització que queda sotmès a l’SGSI. Ha d’incloure la identifi cació clara de les dependències, les interfícies i els límits amb l’entorn, sobretot si només inclou una part de l’organització.

Acceptació del risc(Anglès: risk acceptance). Segons la norma ISO/IEC Guia 73:2002, decisió d’acceptar un risc.

Acció correctiva(Anglès: corrective action). Mesura de tipus reactiu orientada a eliminar la causa d’una no-conformitat associada a la implantació i la gestió de l’SGSI a fi de prevenir-ne la repetició.

Acció preventiva(Anglès: preventive action). Mesura de tipus proactiu orientada a prevenir potencials no-conformitats associades a la implantació i la gestió de l’SGSI.

Accreditation bodyVegeu: entitat d’acreditació.

Actiu(Anglès: asset). En relació amb la seguretat de la informació, es refereix a qualsevol informació o sistema relacionat amb el tractament d’aquesta que tingui valor per a l’organització. Segons la norma ISO/IEC 13335-1:2004: qualsevol cosa que té valor per a l’organització.

AlertVegeu: alerta.


64

Alerta(Anglès: alert). Una notifi cació formal que s’ha produït un incident relacionat amb la seguretat de la informació que pot evolucionar fi ns a convertir-se en catàstrofe.

Amenaça(Anglès: threat). Segons la norma ISO/IEC 13335-1:2004, causa potencial d’un incident no desitjat que pot causar el dany a un sistema o a l’organització.

Anàlisi de riscs(Anglès: risk analysis). Segons la norma ISO/IEC Guia 73:2002, ús sistemàtic de la informació per identifi car fonts i estimar el risc.

Anàlisi qualitativa de riscs (Anglès: qualitative risk analysis). Anàlisi de riscs en què s’usa una escala de puntuacions per defi nir la gravetat de l’impacte.

Anàlisi quantitativa de riscs (Anglès: quantitative risk analysis). Anàlisi de riscs segons les pèrdues fi nanceres que causaria l’impacte.

AssetVegeu: actiu.

Assets inventoryVegeu: inventari d’actius.

AuditVegeu: auditoria.

Auditor(Anglès: auditor). Persona encarregada de comprovar, de manera independent, la qualitat i la integritat del treball que s’ha fet en una àrea particular.

Auditor de primera part(Anglès: fi rst party auditor). Auditor intern, és a dir que audita l’organització en nom de si mateixa.


65

En general, es fa com a manteniment del sistema de gestió i com a preparació per a l’auditoria de certifi cació.

Auditor de segona part(Anglès: second party auditor). Auditor de client, és a dir que audita una organització en nom d’un client d’aquesta. Per exemple, una empresa que audita el seu proveïdor de subcontractes (outsourcing).

Auditor de tercera part(Anglès: third party auditor). Auditor independent, és a dir que audita una organització com a tercera part independent, normalment perquè l’organització té la intenció d’aconseguir la certifi cació.

Auditor en cap(Anglès: lead auditor). Auditor responsable d’assegurar la conducció i la realització efi cient i efectiva de l’auditoria segons l’abast i el pla d’auditoria aprovat pel client.

Auditoria(Anglès: audit). Procés planifi cat i sistemàtic en el qual un auditor obté evidències objectives que li permeten emetre un judici informat sobre l’estat i l’efectivitat de l’SGSI d’una organització.

Autenticació(Anglès: authentication). Procés que té per objectiu assegurar la identifi cació d’una persona o sistema.

AuthenticationVegeu: autenticació.

AvailabilityVegeu: disponibilitat.

Avaluació de riscs(Anglès: risk evaluation). Segons la norma ISO/IEC Guia 73:2002, procés de comparar el risc estimat contra un criteri de risc amb l’objectiu de determinar la importància del risc.


66

B

BS 7799Estàndard britànic de seguretat de la informació publicat per primera vegada el 1995. El 1998, en va ser pvublicada la segona part. La primera part és un conjunt de bones pràctiques per gestionar la seguretat de la informació —no és certifi cable— i la segona part especifi ca el sistema de gestió de seguretat de la informació —és certifi cable. La primera part és l’origen de la norma ISO 17799 i la norma ISO 27002, i la segona part és l’origen de la norma ISO 27001. Com a estàndard, ja ha estat derogat per l’aparició d’aquests darrers.

BSIBritish Estàndards Institution. Comparable a l’AENOR espanyol, és l’organització que ha publicat la sèrie de normes BS 7799, a més d’altres milers de normes d’àmbits molt diferents.

Business continuity planVegeu: pla de continuïtat del negoci.

C

Catàstrofe(Anglès: disaster). Qualsevol esdeveniment accidental, natural o malintencionat que interromp les operacions o serveis habituals d’una organització durant el temps sufi cient perquè l’afecti de manera signifi cativa.

Certifi cation bodyVegeu: entitat de certifi cació.

CIAAcrònim anglès de confi dencialitat, integritat i disponibilitat, els paràmetres bàsics de la seguretat de la informació.

CIDAcrònim espanyol de confi dencialitat, integritat i disponibilitat, els paràmetres bàsics de la seguretat de la informació.


67

CISACertifi ed Information Systems Auditor. És una acreditació oferida per la ISACA.

CISMCertifi ed Information Systems Manager. És una acreditació oferida per la ISACA.

CISSPCertifi ed Information Systems Security Professional. És una acreditació oferida per l’ISC2.

CCEBCriteri comú per a la seguretat de tecnologia d’informació.

ChecklistVegeu: llista de control.

Clear desk policyVegeu: política d’escriptori net o «sense papers».

COBITControl Objectives for Information and Related Technology. Publicats i mantinguts per la ISACA, la missió que tenen és investigar, desenvolupar, publicar i promoure un conjunt d’objectius de control de la tecnologia de la informació rectors, actualitzats, internacionals i generalment acceptats per ser emprats per gerents d’empreses i auditors.

Compromís de la direcció(Anglès: management commitment). Alineament ferm de la direcció de l’organització amb l’establiment, la implantació, la gestió, el monitoratge, la revisió, el manteniment i la millora de l’SGSI.

Confi dencialitat(Anglès: confi denciality). Accés a la informació per part únicament dels qui hi estan autoritzats. Segons la norma ISO/IEC 13335-1:2004, característica o propietat per la qual la informació no està disponible o no és revelada a individus, entitats o processos no autoritzats.

Confi dencialityVegeu: confi dencialitat.


68

Contramesura(Anglès: countermeasure). Vegeu: control.

Control

Les polítiques, els procediments, les pràctiques i les estructures organitzatives concebudes per

mantenir els riscs de seguretat de la informació per sota del nivell de risc assumit. (Nota: el terme

control també és utilitzat com a sinònim de salvaguarda o contramesura.)

Control correctiu

(Anglès: corrective control). Control que corregeix un risc, un error, una omissió o un acte deliberat

abans que produeixi pèrdues. Suposa que l’amenaça ja s’ha materialitzat, però es corregeix.

Control detector

(Anglès: detective control). Control que detecta l’aparició d’un risc, un error, una omissió o un acte

deliberat. Suposa que l’amenaça ja s’ha materialitzat, però per si mateix no la corregeix.

Control dissuasori(Anglès: deterrent control). Control que redueix la possibilitat que es materialitzi una amenaça, per exemple, amb avisos dissuasoris.

Control preventiu

(Anglès: preventive control). Control que evita que es produeixi un risc, un error, una omissió o un

acte deliberat. Impedeix que una amenaça arribi ni tan sols a materialitzar-se.

Control selectionVegeu: selecció de controls.

Corrective actionVegeu: acció correctiva.

Corrective controlVegeu: control correctiu.


69

COSOCommittee of Sponsoring Organizations of the Treadway Commission. Comitè d’Organitzacions Patrocinadores de la Comissió Treadway. Se centra en el control intern, especialment el fi nancer.

CountermeasureContramesura. Vegeu: control.

D

Declaració d’aplicabilitat(Anglès: statement of applicability - SOA). Document en què s’enumeren els controls aplicats per l’SGSI de l’organització després del resultat dels processos d’avaluació i tractament de riscs, a més de la justifi cació tant de la selecció com de l’exclusió de controls inclosos en l’annex A de la norma.

Detective controlVegeu: control detector.

Deterrent controlVegeu: control dissuasori.

Directiva(Anglès: guideline). Segons la norma ISO/IEC 13335-1:2004, una descripció que aclareix què s’ha de fer i com, amb el propòsit d’assolir els objectius establerts en les polítiques.

DisasterVegeu: catàstrofe.

Disponibilitat(Anglès: availability). Accés a la informació i els sistemes de tractament d’aquesta per part dels usuaris autoritzats quan ho requereixin. Segons la norma ISO/IEC 13335-1:2004, característica o propietat d’estar accessible i disponible per usar quan ho requereixi una entitat autoritzada.

DRIIInstitut Internacional de Recuperació de Catàstrofes.


70

DTISecretaria d’Indústria i Comerç del Regne Unit. Edita moltes guies pràctiques en l’àmbit de la seguretat de la informació.

E

EDPAFFundació d’Auditors del Processament Electrònic de Dades (actualment, ISACF).

ENACEntitat Nacional d’Acreditació. És l’organisme espanyol d’acreditació, patrocinat per l’Administració, que acredita organismes que duen a terme activitats d’avaluació de la conformitat, sigui quin sigui el sector en què desenvolupin l’activitat. A més de laboratoris, entitats d’inspecció, etc., també acredita les entitats de certifi cació, que són les que a més certifi caran les empreses segons les diverses normes.

Entitat d’acreditació(Anglès: accreditation body). Un organisme ofi cial que acredita les entitats certifi cadores com a aptes per certifi car segons diverses normes. Sol haver-n’hi una per país. Són exemples d’entitats d’acreditació: ENAC (Espanya), UKAS (Regne Unit), EMA (Mèxic), OAA (Argentina)...

Entitat de certifi cació(Anglès: certifi cation body). Una empresa o organisme acreditat per una entitat d’acreditació per auditar i certifi car segons diverses normes (ISO 27000, ISO 9000, ISO 14000, etc.) empreses usuàries de sistemes de gestió.

Esdeveniment(Anglès: event). Segons la norma ISO/IEC TR 18044:2004, succés identifi cat en un sistema, servei o estat de la xarxa que indica un possible forat de seguretat en la política de seguretat de la informació o fallada de les salvaguardes, o una situació anterior desconeguda que podria ser rellevant per a la seguretat.

ESFFòrum Europeu de Seguretat, en el qual cooperen més de 70 multinacionals fonamentalment


71

europees a fi de dur a terme investigacions relatives als problemes comuns de seguretat i control en tecnologies de la informació.

EventVegeu: esdeveniment.

Evidència objectiva(Anglès: objective evidence). Informació, registre o declaració de fets, qualitativa o quantitativa, verifi cable i basada en una observació, una mesura o un test, sobre aspectes relacionats amb la confi dencialitat, la integritat o la disponibilitat d’un procés o servei o amb l’existència i la implantació d’un element del sistema de seguretat de la informació.

F

Fase 1 de l’auditoriaFase en què, fonamentalment mitjançant la revisió de documentació, s’analitza l’SGSI en el context de la política de seguretat de l’organització, els objectius, l’abast, l’avaluació de riscs, la declaració d’aplicabilitat i els documents principals, i s’estableix un marc per planifi car la fase 2.

Fase 2 de l’auditoriaFase en què es comprova que l’organització s’ajusta a les seves pròpies polítiques, objectius i procediments, que l’SGSI compleix els requisits de la norma ISO 27001 i que és efectiu.

First party auditorVegeu: Auditor de primera part.

G

Gestió de claus(Anglès: key management). Controls referits a la gestió de claus criptogràfi ques.

Gestió de riscs(Anglès: risk management). Procés d’identifi cació, control i minimització o eliminació, a un cost


72

acceptable, dels riscs que afecten la informació de l’organització. Inclou la valoració i el tractament de riscs. Segons la norma ISO/IEC Guia 73:2002, activitats coordinades per dirigir i controlar una organització respecte al risc.

GuidelineVegeu: directiva.

H

Humphreys, TedExpert en seguretat de la informació i gestió del risc, considerat el pare de les normes BS 7799 i ISO 17799 i, per tant, de les normes ISO 27001 i ISO 27002.

I

I4Institut Internacional per a la Integritat de la Informació. Associació semblant a l’ESF, amb metes anàlogues i amb seu principal als EUA. És manejat per l’Institut d’Investigació de Standford.

IBAGGrup Assessor d’Empreses d’Infosec, representants de la indústria que assessoren el comitè d’Infosec. Aquest comitè està integrat per funcionaris dels governs de la Comunitat Europea i ofereix assessorament a la Comissió Europea en assumptes relatius a la seguretat de les tecnologies de la informació.

IECInternational Electrotechnical Commission. Organització internacional que publica estàndards relacionats amb tot tipus de tecnologies elèctriques i electròniques.

IIAInstitut d’Auditors Interns.

Impacte(Anglès: impact). El cost per a l’empresa d’un incident —de l’escala que sigui— que pot ser mesurat


73

o no en termes estrictament fi nancer, per exemple, pèrdua de reputació, implicacions legals, etc.

ImpactVegeu: impacte.

IncidentSegons la norma ISO/IEC TR 18044:2004, esdeveniment únic o sèrie d’esdeveniments de seguretat de la informació inesperats o no desitjats que tenen una probabilitat signifi cativa de comprometre les operacions del negoci i amenaçar la seguretat de la informació.

Information processing facilitiesVegeu: serveis de tractament de la informació.

Information systems management systemVegeu: SGSI.

Information securityVegeu: seguretat de la informació.

INFOSECComitè assessor en assumptes relatius a la seguretat de les tecnologies de la informació de la Comissió Europea.

Integritat(Anglès: integrity). Manteniment de l’exactitud i la completesa de la informació i els seus mètodes de procés. Segons la norma ISO/IEC 13335-1:2004, propietat o característica de salvaguardar l’exactitud i la completesa dels actius.

IntegrityVegeu: integritat.

Inventari d’actius(Anglès: assets inventory). Llista de tots els recursos (físics, informació, programari, documents,


74

serveis, persones, reputació de l’organització, etc.) dins l’abast de l’SGSI que tinguin valor per a l’organització i necessitin per tant ser protegits de riscs potencials.

IRCAInternational Register of Certifi ed Auditors. Acredita els auditors respecte a diverses normes, entre les quals hi ha la norma ISO 27001.

ISACAInformation Systems Audit and Control Association. Publica els COBIT i emet diverses acreditacions en l’àmbit de la seguretat de la informació.

ISACFFundació d’Auditoria i Control de Sistemes d’Informació.

ISC2Information Systems Security Certifi cation Consortium, Inc. Organització sense ànim de lucre que emet diverses acreditacions en l’àmbit de la seguretat de la informació.

ISMSInformation systems management system. Vegeu: SGSI.

ISOOrganització Internacional de Normalització, amb seu a Ginebra (Suïssa). És una agrupació d’organitzacions nacionals de normalització l’objectiu de la qual és establir, promocionar i gestionar estàndards.

ISO 17799Codi de bones pràctiques en gestió de la seguretat de la informació adoptat per l’ISO en la transcripció de la primera part de la norma BS 7799. Al seu torn, dóna lloc a la norma ISO 27002 per canvi de nomenclatura l’1 de juliol de 2007. No és certifi cable.

ISO 19011Guidelines for quality and/or environmental management systems auditing. Guia d’utilitat per al desenvolupament de les funcions d’auditor intern per a un SGSI.


75

ISO 27001Estàndard per a sistemes de gestió de la seguretat de la informació adoptat per l’ISO en la transcripció de la segona part de la norma BS 7799. És certifi cable. La primera publicació és del 2005.

ISO 27002Codi de bones pràctiques en la gestió de la seguretat de la informació (transcripció de la norma ISO 17799). No és certifi cable. L’1 de juliol de 2007, canvi d’ofi cial de nomenclatura de la norma ISO 17799:2005 a la norma ISO 27002:2005.

ISO 9000Normes de gestió i garantia de qualitat defi nides per l’ISO.

ISO/IEC TR 13335-3Information technology. Guidelines for the management of it security.techniques for the management of IT security. Guia d’utilitat en l’aplicació de metodologies d’avaluació del risc.

ISO/IEC TR 18044Information technology. Security techniques. Information security incident management. Guia d’utilitat per a la gestió d’incidents de seguretat de la informació.

ISSAInformation Systems Security Association.

ISSAPInformation Systems Security Architecture Professional. Una acreditació de l’ISC2.

ISSEPInformation Systems Security Engineering Professional. Una acreditació de l’ISC2.

ISSMPInformation Systems Security Management Professional. Una acreditació de l’ISC2.

ITILIT Infrastructure Library. Un marc de gestió dels serveis de tecnologies de la informació.


76

ITSECCriteris d’avaluació de la seguretat de la tecnologia d’informació. Es tracta de criteris unifi cats adoptats per França, Alemanya, Holanda i el Regne Unit. També tenen el suport de la Comissió Europea. (Vegeu també TCSEC, l’equivalent als EUA.)

J

JTC1Joint Technical Committee. Comitè tècnic conjunt de l’ISO i l’IEC específi c per a les tecnologies de

la informació.

K

Key management

Vegeu: gestió de claus.

L

Lead auditor

Vegeu: auditor en cap.

Llista de control

(Anglès: checklist). Llista de suport per a l’auditor amb els punts que ha d’auditar. Ajuda a mantenir

clars els objectius de l’auditoria, serveix d’evidència del pla d’auditoria, n’assegura la continuïtat i

la profunditat, i redueix els prejudicis de l’auditor i la seva càrrega de treball. Aquest tipus de llistes

també es poden utilitzar durant la implantació de l’SGSI per facilitar-ne el desenvolupament.

M

Major nonconformity

Vegeu: No-conformitat greu.


77

Management commitment

Vegeu: Compromís de la direcció.

N

NBSOfi cina Nacional de Normes dels EUA.

NIST(Ex NBS) Institut Nacional de Normes i Tecnologia, amb seu a Washington, DC.

No-conformitat(Anglès: nonconformity). Situació aïllada que, basada en evidències objectives, demostra l’incompliment d’algun aspecte d’un requeriment de control que permet dubtar de l’adequació de les mesures per preservar la confi dencialitat, la integritat o la disponibilitat d’informació sensible, o que representa un risc menor.

No-conformitat greu(Anglès: major nonconformity). Absència o fallada d’un o més requeriments de la norma ISO 27001 que, basada en evidències objectives, permet dubtar seriosament de l’adequació de les mesures per preservar la confi dencialitat, la integritat o la disponibilitat d’informació sensible, o que representa un risc inacceptable.

Nonconformity

Vegeu: no-conformitat.

O

Objective evidence

Vegeu: evidència objectiva.

Objectiu

(Anglès: objective). Declaració del resultat o fi que es vol aconseguir mitjançant la implantació de

procediments de control en una activitat determinada de tecnologies de la informació.


78

OCDE

Organització de Cooperació i Desenvolupament Econòmic. Ha publicat unes guies per a la seguretat

de la informació.

P

PDCA

Plan-Do-Check-Act. Model de procés basat en un cicle continu de les activitats per planifi car (establir

l’SGSI), fer (implantar i gestionar l’SGSI), verifi car (monitorar i revisar l’SGSI) i actuar (mantenir i

millorar l’SGSI).

Pla de continuïtat del negoci

(Anglès: bussines continuity plan). Pla orientat a permetre la continuació de les principals funcions

del negoci en el cas d’un esdeveniment imprevist que les posi en perill.

Pla de tractament de riscs

(Anglès: risk treatment plan). Document de gestió en què es defi neixen les accions per reduir,

prevenir, transferir o assumir els riscs de seguretat de la informació inacceptables i implantar els

controls necessaris per protegir-la.

Política de seguretat

(Anglès: security policy). Document en què s’estableix el compromís de la direcció i l’enfocament de

l’organització en la gestió de la seguretat de la informació. Segons la norma ISO/IEC 27002:2005,

intenció i direcció general expressada formalment per la direcció.

Política d’escriptori net o «sense papers»

(Anglès: clear desk policy). La política de l’empresa que indica als empleats que en acabar el dia

han de deixar el seu escriptori lliure de qualsevol tipus d’informació susceptible de ser mal usat.

Preventive action

Vegeu: acció preventiva.


79

Preventive control

Vegeu: control preventiu.

Q

Qualitative risk analysis

Vegeu: Anàlisi qualitativa de riscs.

Quantitative risk analysis

Vegeu: Anàlisi quantitativa de riscs.

R

Residual risk

Vegeu: risc residual.

Risc

(Anglès: risk). Possibilitat que una amenaça concreta pugui fer esclatar una vulnerabilitat i causi una

pèrdua o un dany en un actiu d’informació. Segons la norma ISO Guia 73:2002, combinació de la

probabilitat d’un esdeveniment i les conseqüències que pot implicar.

Risc residual

(Anglès: residual risk). Segons la norma ISO/IEC Guia 73:2002, el risc que queda després del

tractament del risc.

Risk

Vegeu: risc.

Risk acceptance

Vegeu: acceptació del risc.

Risk analysis

Vegeu: anàlisi de riscs.


80

Risk assessment

Vegeu: valoració de riscs.

Risk evaluation

Vegeu: avaluació de riscs.

Risk management

Vegeu: gestió de riscs.

Risk treatment

Vegeu: tractament de riscs.

Risk treatment plan

Vegeu: pla de tractament de riscs.

S

Safeguard

Salvaguarda. Vegeu: control.

Salvaguarda

(Anglès: safeguard). Vegeu: control.

Sarbanes-Oxley

Llei de reforma de la comptabilitat de companyies públiques i protecció dels inversors aplicada

als EUA des del 2002. Crea un consell de supervisió independent per supervisar els auditors de

companyies públiques que estableix normes de comptabilitat i investiga i manté la disciplina dels

comptables. També obliga els responsables de les empreses a garantir la seguretat de la informació

fi nancera.

Scope

Vegeu: abast.


81

Second party auditor

Vegeu: auditor de segona part.

Security policy

Vegeu: política de seguretat.

Segregació de tasques

(Anglès: segregation of duties). Repartiment de tasques sensibles entre distints empleats per

reduir el risc d’un mal ús deliberat o per negligència dels sistemes i les informacions.

Segregation of duties

Vegeu: segregació de tasques.

Seguretat de la informació

(Anglès: information security). Segons la norma ISO/IEC 27002:2005, preservació de la

confi dencialitat, la integritat i la disponibilitat de la informació; a més, altres propietats com

l’autenticitat, la responsabilitat, el no-rebuig i la fi abilitat poden ser també considerades.

Selecció de controls

(Anglès: control selection). Procés d’elecció dels controls que assegurin la reducció dels riscs

a un nivell acceptable.

SGSI

(Anglès: ISMS). Sistema de gestió de la seguretat de la informació. Segons la norma ISO/IEC

27001:2005, la part d’un sistema global de gestió que, basat en l’anàlisi de riscs, estableix,

implanta, gestiona, monitora, revisa, manté i millora la seguretat de la informació. (Nota: el

sistema de gestió inclou una estructura d’organització, polítiques, planifi cació d’activitats,

responsabilitats, procediments, processos i recursos.)

Serveis de tractament d’informació

(Anglès: information processing facilities). Segons la norma ISO/IEC 27002:2005, qualsevol


82

sistema, servei o infraestructura de tractament d’informació o ubicacions físiques utilitzats per

allotjar-la.

Sistema de gestió de la seguretat de la informació

(Anglès: information systems management system). Vegeu: SGSI.

SOA

Statement of applicability. Vegeu: declaració d’aplicabilitat.

SSCP

Systems security certifi ed practitioner. Una acreditació de l’ISC2.

Statement of applicability

Vegeu: declaració d’aplicabilitat.

T

TCSEC

Criteris d’avaluació de la seguretat dels sistemes de computació, coneguts també amb el nom

d’Orange Book (Llibre taronja), defi nits originàriament pel Ministeri de Defensa dels EUA. Vegeu

també: ITSEC, l’equivalent europeu.

Third party auditor

Vegeu: auditor de tercera part.

Threat

Vegeu: amenaça.

TickIT

Guia per a la construcció i certifi cació del sistema d’administració de qualitat del programari.

Tractament de riscs

(Anglès: risk treatment). Segons la norma ISO/IEC Guia 73:2002, procés de selecció i implantació


83

de mesures per modifi car el risc.

U

UNE 71502

Norma espanyola d’àmbit local que és la versió adaptada de la norma BS 7799-2 (actual ISO

27001), que també té relació amb la UNE-ISO/IEC17799 mitjançant l’annex A.

V

Valoració de riscs

(Anglès: risk assessment). Segons la norma ISO/IEC Guia 73:2002, procés complet d’anàlisi i

avaluació de riscs.

Vulnerabilitat

(Anglès: vulnerability). Debilitat en la seguretat de la informació d’una organització que

potencialment permet que una amenaça afecti un actiu. Segons la norma ISO/IEC 13335-1:2004,

debilitat d’un actiu o conjunt d’actius que pot ser aprofi tada per una amenaça.

Vulnerability

Vegeu: vulnerabilitat.

W

WG1, WG2, WG3, WG4, WG5

WorkGroup 1, 2, 3, 4, 5. Grups de treball del subcomitè SC27 del JTC1 (Joint Technical

Committee) de l’ISO i l’IEC. Aquests grups de treball s’encarreguen de desenvolupar estàndards

relacionats amb tècniques de seguretat de la informació.


segons les normes internacionals

ISO 27001 i ISO 27002


de la informació