seguridad de la información

CESSER organiza el Seminario sobre Seguridad de Sistemasde Información con el obejtivo de presentar las líneas de Consultoría y Auditoría de Sistemas que se han

incorporado al catálogo de productos y servicios de la Empresa.

Seguridad de la Información

Sistemas de Gestión deSeguridad de la Información


CESSER Informática y Organización S.L. organiza el Seminario sobreSeguridad de Sistemas de Información con el objetivo de presentar laslíneas de Consultoría y Auditoría de Sistemas que se han incorporado alcatálogo de productos y servicios de la Empresa.

Estas nuevas líneas actuación vienen motivadas por varios factoresprincipales:1.El indudable valor de los “Activos de Información” para cualquier Empresau Organismo.2.La dependencia que toda Empresa u Organismo, sea cual sea su sectory tamaño, tiene de los “Activos de Información” para su desempeño denegocio, su posicionamiento en el Mercado, su competitividad en el mismoy los planteamientos estratégicos que aplica para su consolidación ycrecimiento. Actualmente, no se concibe la gestión de ninguna Organizaciónsin el soporte de los Sistemas de Información, y esta importancia debetraducirse en las medidas de seguridad adecuadas a la misma.3.La globalización en su más amplio sentido, incluyendo la necesidad deofrecer transacciones de negocio sin fronteras ni horarios, pero con lasgarantías necesarias para que sean utilizadas en un mercado global yaceptadas sus medidas de seguridad como equivalentes o mejoradasrespecto a los medios tradicionales.4.El concepto de “Sociedad de la Información” y las iniciativas que desdelas Administraciones Públicas se están fomentando para incorporar elmundo de las “Nuevas Tecnologías” a todos los ciudadanos, debiendoconseguir la percepción de seguridad por parte todos los actores de formaque dicho concepto no se restrinja sólo a transacciones informativas o deconocimiento sino también a las operativas.5.Los Marcos Legislativos, en continua evolución, donde se pretende porparte de los Gobiernos (Local, Autonómico, Nacional, Comunitario, Global)dotar de mecanismos de seguridad jurídica todo el nuevo universo demedios de interacción y negocio que se ha abierto en los últimos 10 años,en especial con la adopción “de facto” de Internet como medio universal.Estos Marcos Legislativos actúan como grandes facilitadores de los proyectosinnovadores en este entorno, ofreciendo las garantías jurídicas a todos losactores (y muy especialmente a los consumidores) con la intención de que,en el corto y medio plazo, las cifras de e-negocio sigan su continuocrecimiento.6.Las acreditaciones (ISO 27001) que pueden ser obtenidas por las Empresas

y Organismos respecto al cumplimiento de lasNormas de “Buenas Prácticas” en la protección delos “Activos de Información”, las cuales puedentener la misma valoración en los entornos deprocesos colaborativos como las aceptadas respectoa la Calidad de los productos y servicios en losentornos comerciales y productivos (ISO 9001:2000).De hecho, dichas certificaciones de los SGSI actúancomo garantes de la “Calidad de la Informacióny sus procesos de Obtención, Custodia yDisposición”.7.La responsabilidad de los SI en la obtención deinformación relevante. Aun cuando no es deaplicación directa en la Comunidad Europea, esmuy significativo el caso de la Ley Sarbanes-Oaxley(SOX) en USA, la cual nació como consecuencia delos fraudes en los informes contables relacionadoscon las quiebras de importantes Empresas. Así, seha instituido la obligación (adoptada como normade “buena práctica” a nivel general) de asegurarque los SI desde los que se extrae informaciónpara la auditoría financiera de una Organizacióndeban ofrecer garantías respecto a la fiabilidadde la misma, y es práctica cada vez más frecuenteque se realice una auditoría previa del/los SI fuentepara verificar estos puntos.

Todas las Normativas sobre SGSI parten de unapremisa fundamental, y es la existencia de unaPolítica de Seguridad en la Organización. En casode no existir, la primera actividad a desarrollar es,precisamente, definirla y garantizar que laDirección la asume, fomenta y mantiene.

Las Normativas existentes sobre SGSI pueden tenerlos enfoques:

1.Buenas Prácticas. Definen un amplio conjuntode directrices que “deberían” (should) sercumplidas por las Organizaciones.

2.Certificación. Definen el conjunto de controlesque se “deberán” (shall) evidenciar comoimplementados y operativos para poder optar auna certificación.

Las Normativas, de forma independiente a suprocedencia y grado de vigencia, se centranbásicamente en estos aspectos de los Sistemas deInformación (SI en adelante):

1.Privacidad. Los SI (y sus datos asociados) debenser accesibles únicamente a los usuariosdebidamente autorizados, los cuales podránobtener las interfaces de usuario y funcionalidadesadecuadas a su perfil y responsabilidad dentro dela Organización bajo el criterio general de “aquelloque necesita para su trabajo” (“need to know”).

2.Confidencialidad. Los datos que fluyen desde yhacia los SI deben estar debidamente protegidoscontra su lectura y/o manipulación indebida,teniendo para ello en cuenta su naturaleza, valorpara la Organización y las obligaciones respectoa los Marcos Legislativos vigentes.

3.Disponibilidad. Los SI deben ofrecer sus datos yfuncionalidades durante todos los periodos detiempo en que la Organización los necesite,debiendo adoptarse las medidas necesarias paracumplir los niveles de servicio requeridos.

4.Continuidad. Los SI deben estar protegidos contralos eventos que puedan provocar su inoperatividad

Normativas sobre SGSIConceptoscaracterísticas generales


total o parcial, debiendo disponer de entornosoperativos y/o medidas que mitiguen o eliminenlas amenazas que la Organización catalogue comoinasumibles en su anális is de r iesgoscorrespondiente.

5.Adecuación. Los SI deben estar alineados conlos objetivos de negocio o servicio de lasOrganizaciones, a los que deben dar un soportedirecto, tanto en el presente como en el futuro.

6.Conformidad. Los SI deben ser conformes conlos Marcos Legislativos de los países donde serealizan sus transacciones, así como con las Normasde Buenas Prácticas aceptadas como estándares,máxime con aquéllas para las cuales haya obtenidola acreditación correspondiente.

Las Normativas relacionadas con los SGSI tienenen común su aproximación a la “Gestión delRiesgo”. No se exige ninguna metodologíaconcreta al respecto, aun cuando, dentro del lafamilia ISO 2700x está en proceso de desarrollola Norma ISO 27005, la cual pretende unificar loscriterios de evaluación de riesgos. Actualmente,las más utilizadas son MAGERIT del Ministerio deAdministraciones Públicas y CRAMM. En todasellas se distingue:

1.Identificación de activos de información y suclasificación según los niveles de criticidadpreviamente definidos.

2.Identificación de amenazas que puedenimpactar sobre los activos del punto 1. Para cadauna de ellas se determinará el riesgo de que dichaamenaza se tangibilice y el impacto que ellotendría en la Organización.

3.Determinación de controles preventivos,correctivos y compensatorios para eliminar, mitigaro derivar los impactos del punto 2. Debenestimarse los costes de cada uno de éstos con elfin de verificar que dicho coste no es superior alimpacto que pretende eliminar.

4.Determinación del riesgo asumible. LaOrganización debe evaluar los impactos y loscostes de los controles con el fin de determinarlos riesgos que considera asumibles.

Gestión de Riesgos


Organismos

Las Normas relacionadas con los SGSI, yreconocidas universalmente, son publicadasfundamentalmente por:1.International Standards Organization (ISO),2.International Electrotechnical Comission (IEC).Muchas de las Normas son precedidas por el prefijoISO/IEC indicando que ambos Organismos lasadoptan. Las Normas ISO/IEC pueden, a su vez,adoptar las provenientes de otros Organismos,tal como ha ocurrido con ISO/IEC 17799 en susdiferentes versiones, derivadas de las emanadasdesde el Organismo BSI (British Standards Institute)bajo el código BS-7799.En Estados Unidos existen otros Organismos (P.Ej.NIST, National Institute of Standards andTechnology) que también publican Normas alrespecto, aun cuando su aplicación se circunscribegeneralmente a dicho país.A nivel de España, AENOR (Asociación Españolade Normalización, www.aenor.es) es la encargadade elaborar y adaptar las Normas a lascaracterísticas nacionales, dando lugar así a lasNormas UNE, las cuales pueden ser propias ocomplementar las anteriores, dando lugar aprefijos codificados como UNE-ISO/IEC.La actividad de AENOR comenzó en el año 1986cuando, mediante una Orden Ministerial quedesarrollaba el Real Decreto 1614/1985, fuereconocida como la única entidad aprobada paradesarrollar las tareas de normalización ycertificación.

Posteriormente, el Real Decreto 2200/1995 de 28de diciembre que aprobaba el Reglamento de laInfraestructura para la Calidad y la SeguridadIndustrial en España, ratificó el nombramientode AENOR como responsable de la elaboraciónde las normas españolas (Normas UNE).No obstante, el campo de actuación de laasociación no se limita a España; AENOR esmiembro de pleno derecho, y representa a España,en los organismos internacionales, europeos yregionales de normalización (ISO, IEC, CEN,CENELEC, ETSI, COPANT), posibilitando laparticipación activa de expertos españoles entodos estos foros.

La certificación de los SGSI (o de cualquier otrosistema objeto de este proceso) puede serrealizado por cualquier Organismo acreditadopara hacerlo. El Organismo “acreditador deacreditadores” en España es ENAC (EntidadNacional de Acreditación, ). En Abril de 2007,ENAC ha emitido las primeras acreditaciones deEmpresas españolas habilitándolas en la emisiónde certificaciones ISO 27001.

Organismos.Certificación

Organismos.Publicación


Las Normativas sobre SGSI han ido evolucionandoen varios sentidos:

1. Actualización tecnológica. Se han incorporadocriterios y objetivos de control que reflejan losnuevos entornos de los SI.

2.Homogeneización de procedimientos.Progresivamente se han ido adaptando lasNormas relacionadas con los SGSI a las yaexistentes respecto a Calidad, siendo muysignificativo el hecho de compartir el enfoquePDCA (Plan-Do-Check-Act, Planificar-Ejecutar-Verificar-Actuar) que sirve de base, entre otras,a ISO 9001:2000 y a que exista propiamente unaadaptación de ésta a la Ingeniería de Software(UNE-ISO/IEC 90003:2004).

3. Implicación de la Dirección. El papel de laDirección de las Organizaciones en cuanto a sucapacidad de impulsar y mantener estasNormativas como un elemento base de su políticaestá reflejado cada vez en mayor grado en lasmismas, tanto a nivel de definición como demantenimiento y seguimiento, debiendoacreditarse esta implicación en varias fases de suimplementación.

BS 7799-1.No certificable, código de “buenas prácticas”.

Primera versión publicada en 1995. Revisión significativa en 1999. Se deriva de ella la Norma ISO/IEC

17799:2000

BS 7799-2.Certificable. Sistema de Gestión de Seguridadde la Información. Especificaciones y guía deuso. En España las certificaciones suelen realizarsemediante acreditadores externos.

Primera publicación en 1998. Revisión significativa en 2002 BS 7799-

2:2002. Se deriva de ella la Norma ISO/IEC

27001:2005.

Evolución

Normativas SGSI.Enumeración


UNE-ISO/IEC 17799.No certificable. Código de “buenas prácticas”.

Primera publicación en el año 2000. Revisión significativa en 2005 ISO/IEC

17799:2005. En 2007 se ha convertido en ISO/IEC 27002.

UNE-ISO/IEC 71502:2004.Certificable. Disponible certificación en España.Muy pocas Organizaciones certificadas, la mayoríaen espera de hacerlo bajo ISO/IEC 27001:2005.

Base de consultoría para certificación = ISO/IEC 17799:2002 y posteriores.

Familia ISO/IEC 2700x. El presente y futuroinmediato.ISO/IEC 27000. Fundamentos y Vocabulario.ISO/IEC 27001:2005.

Publicada en su versión final en Octubre de 2005.

Certificable. Derivada de BS 7799-2:2002. Mejora

enfoque PDCA y orientación a procesos. Base de consultoría para certificación =

ISO 27002 ISO 17799-2005.

ISO 27002.Disponible. Directamente derivada, y básicamenteidéntica, de la ISO 17799-2005.

No certificable. Código de “buenas prácticas”.

ISO/IEC 27003. Guía de Implementación de un SGSI. En desarrollo.

ISO/IEC 27004.Métricas de gestión de la Seguridad de la

Información. En desarrollo.

ISO/IEC 27005.Gestión de Riesgos en Seguridad de la

Información. En desarrollo.

Transición. Ante las previsiones de adopción del conjunto

de Normas 2700x como estándares universalmenteaceptados, se prevé un periodo de transición delas certificaciones desde las basadas en BS 7799hacia las 2700x, pero con la perspectiva clara dela caducidad de aquellas y la vigencia de éstas.

Es conveniente anticipar este hecho y prepararla certificación hacia las 2700x tomando comobase las Normas de “buenas prácticas” que, yahoy en día, se asumen como base para conseguirdichas certificaciones.


Ley Orgánica de Protección de Datos deCarácter Personal (LOPD).

Publicada en 1999. Reglamento publicado en 1999, pero realmente

referido a la LORTAD de 1982. Reglamento “verdadero” de la LOPD en la

actualidad en fase previa a su trámiteparlamentario. Si se aprueba el texto presentadocomo Borrador, se incorporan novedades muysignificativas en los requerimientos de todoslos niveles, bien por desarrollo de los actualeso bien porque se trata ya de una forma directalos documentos en papel.

Se estima que sólo un 23% de las Organizaciones han realizado dicha auditoría, y se prevé que, con la llegada del nuevo Reglamento, se inicie una campaña de “concienciación” en este sentido.

Ley de Servicios de la Sociedad de laInformación y Comercio Electrónico (LSSI/ CE). Publicada en 2002. Ley polémica desde su planteamiento, dado

que pretende controlar tráficos y contenidos de las actividades en la Red y eliminar el anonimato en el que se estaban desarrollando tradicionalmente las mismas.

Define roles y responsabilidades de los actores.Declaraciones obligatorias de contenidos y

actividades.Retención obligatoria de datos del tráfico por

parte de los proveedores.

Ley 59/2003 de Firma Electrónica. Publicada en Diciembre de 2003. Despliegue del DNIe ya iniciado, se prevé el

despliegue masivo en 2008. Será un gran dinamizador del e-negocio al ser un documento de obligada aceptación en las transacciones electrónicas, tanto para las Administraciones Públicas como para Empresas que impulsen estas líneas de negocio.

Previsible incremento exponencial de la demanda de “transacción electrónica” tras dicho despliegue. Es muy importante anticipar la adecuación técnica y normativa.

Ley de Impulso de la Sociedad de laInformación. Aprobada en Consejo de Ministros en Abril de

2007. Gran facilitadora de la adopción de la “Nuevas

Tecnologías”, y sobre todo el universo de Internet,por parte de personas físicas, jurídicas yAdministración Pública.

Desarrolla los mecanismos de protección de losconsumidores.

Clarifica las reglas de gestión de transaccionesfirmadas electrónicamente, ratificando el DNIecomo documento de obligada aceptación en todoel territorio nacional.

Contempla las infraestructuras detelecomunicaciones como elementos a contemplaren Urbanismo, Obras Públicas, etc.

Asegura por Ley el despliegue y disponibilidadde acceso a Internet para el conjunto de laciudadanía y, particularmente, para personas condiscapacidad.

Marcos Legislativos.Novedades


En los puntos anteriores se han expuesto unaserie de Normas y Marcos Legislativos en los quetodos los temas relacionados con los Sistemasde Información y sus implicaciones en laSeguridad quedan encuadrados. Es un hechoque toda Organización, en el corto/medio plazo,deberá acreditar el cumplimiento de una o variasde estas Normas y, siempre, el cumplimiento delos Marcos Legislativos que apliquen.

Es un hecho también que, entre el “bosquenormativo”, existe una gran cantidad de códigoscomunes y cruzados. A menos que se tenga unavisión clara del alcance y de los objetivos de cadaOrganización respecto a su SGSI, existen unosprimeros niveles de riesgo consistentes en:

Desproporción entre el valor del SI y susmedidas de seguridad.

Redundancia de controles bajo diferentesNormativas.

Implementac ión práct i ca comple ja .

Seguimiento y mantenimiento problemáticos.

El planteamiento de proyectos SGSI en CESSERse basa en una serie de metodologías estándaresmediante las cuales se pretende obtener losniveles de seguridad planteados como objetivo,ofrecer a las Organizaciones (si así lo desean) lascertificaciones y acreditaciones que puedanconseguir sobre ellos y realizar todas lasactividades necesarias para su implementaciónefectiva y eficiente, su seguimiento,mantenimiento y evolución.

Alcance y Objetivos corporativos del SGSI.

Alcance.Normativas a aplicar.Certificaciones (a conseguir / posibles). Si así se

lo plantea la Organización.

Políticas de Seguridad de Sistemas deInformación.

Diseño de Políticas corporativas.Estudio y adecuación de Políticas existentes.Alineación con objetivos y estrategias de la

Organización.

Adecuación a Normas y Marcos Legislativos.

Análisis de la Organización bajo las Normasaplicables al SGSI, determinando las diferencias(gap análisis) entre la situación analizada y loexigible o recomendable en las Normas.

Propuesta de medidas correctoras. Seguimiento de la adaptación. Auditoría previa. Propuesta (en su caso) para certificación.

Proceso de certificación. Opcional.

Seguimiento del proceso de certificación conEntidad Certificadora.

Mantenimiento del certificado (según lascaracterísticas de cada uno de ellos).

Planificación de cambios por modificacionesen Normas, Leyes u otros conceptos.

Características

Proyectos SGSI Fases


Optimización y Seguimiento del SGSI

Monitorización permanente. Reutilización de controles para nuevas Normas

a aplicar. Reutilización de documentos para nuevas

Normas a aplicar. Cruce de requerimientos entre Normas y Marcos

Legislativos. Asesoramiento permanente sobre nuevas

certificaciones y/o actividades a desarrollar sobreel SGSI.

Mantenimiento global del SGSI. Alineamiento permanente con objetivos de la

Organización y su Plan de Sistemas.

Los Sistemas de Información deben ser tratadoscomo activos críticos de cualquier Organizacióny así lo entienden todas las instancias, tantoNormativas como las Legislativas, desde las cualesse han lanzado numerosas iniciativas regulandoy fomentando los cauces jurídicos y metodológicosdonde establecer las nuevas reglas de servicio ynegocio que se han abierto en la “Sociedad de laInformación”.

Esta consideración, y el hecho de que los SIinteractúan entre ellos, obliga a que seimplementen las medidas de seguridad necesariaspara garantizar la confianza interna y externa ensus parámetros de funcionamiento ydisponibilidad. Esta tendencia va a experimentarun gran crecimiento en el corto y medio plazoprovocado por factores tan evidentes como el DNIelectrónico, mediante el cual se extiende a todala población el mecanismo legal de autenticaciónpara las transacciones electrónicas, y, a un nivelmás técnico, a la disponibilidad de interconectaresentre aplicaciones (P.Ej. web services estándares)que permiten tangibilizar el paradigma de“procesos colaborativos”.

Todo ello necesita del cumplimiento de reglasdiversas, enmarcadas en numerosas (y a vecesconfusas y redundantes) Normativas pero que,una vez acreditadas, posicionan a sus poseedoresen la vanguardia de las Organizaciones por sucapacidad operativa y por la percepción que dela misma obtiene del Mercado en caso de Empresasy del conjunto de Ciudadanos e Instituciones enel caso de las Administraciones Públicas.

Desde CESSER ofrecemos todo el potencial denuestra Empresa como un equipo coordinado ycon la capacidad de asesorar, diseñar, implementar,mantener y evolucionar los SGSI por parte depersonal especializado en todas y cada una de lasfases del proyecto, quedando a su enteradisposición para toda consulta o ampliación deinformación que Vdes. soliciten.

Conclusiones


Es importante reseñar que, aun cuandola Organización no tenga como objetivoprimordial obtener una certificación deseguridad sobre sus sistemas, las Normasde “buenas prácticas” y de cumplimientode Legislación aplicadas por CESSER ensus proyectos son las mismas que, en unfuturo, pueden permit i r d ichacertificación. Con ello, la inversiónrealizada no solo permite implementarlas medidas de seguridad necesarias sinotambién proyectarlas hacia unaacreditación cuyo valor está en continuocrecimiento.

Es objetivo de CESSER desarrollar sesionesespecíficas sobre Normas y/o Marcos Legislativosconcretos, en los que se entrará más enprofundidad en sus aspectos precisos, y para loscuales se les remitirá la convocatoriacorrespondiente.

Renato Aquilino Pujol

Director Técnico Gran Cuenta – CESSER Informáticay Organización S.L. -

Licenciado en Informática

CISA (Certified Information Systems Auditor) porISACA

CISM (Certified Information Security Manager)por ISACA

ISO 9001:2000 Chief Auditor por IRCA-SGS


Red de Oficinas

Central de llamadas:Tel. 902 506 100Fax 902 506 200

www.cesser.com

AlbaceteC/ Rosario 6. 2º pta.10

02001 [email protected]

AlicanteC/ De la Libra, R51-54Pol. Ind. Las Atalayas.


AlmeríaC/ Méndez Núñez 8. 2º-1

04001 Almerí[email protected]

CastellónC/ Salvador de Madariaga 7, Bajo.

12003 Castelló[email protected]

CataluñaC/ Narcis Monturiol 2, 4ª- 6ª

Ed. Monitor 2.08960 Sant Just Desvern. Barcelona

[email protected]

MadridC/ Velázquez,158 1ºDcha


MurciaAvda. Juan Carlos I s/n

Edif. Torre Cristal30100 Murcia

[email protected]

SevillaEd. 3 Centro Comercial y de

Servicios. Pol. Ind. La Isla.41703 Dos Hermanas. Sevilla

[email protected]

ValenciaC/ Juan de la Cierva 27.

Edif. Wellness II, 3ª plantaParque Tecnológico de Valencia.

46980 Paterna. [email protected]

seguridad de la información

Documents