Professional Documents
Culture Documents
28 de Junio de 2007
Introduccin
Esto es un documento colaborativo creado por implantadores de ISO/IEC 27001 y 27002 pertenecientes al ISO27k implementers' forum. Queramos documentar
y compartir algunas recomendaciones pragmticas para implantar los estndares de gestin de seguridad de la informacin, adems de potenciales mtricas
para medir y reportar el estado de la seguridad de la informacin, referenciadas en ambos casos a los estndares ISO/IEC.
Alcance
Esta gua cubre todos los 39 objetivos de control listados en las secciones 5 a 15 de ISO/IEC 27002, adems de la seccin 4 de evaluacin y tratamiento de
riesgos que les precede.
Objetivo
Este documento pretende ayudar a otros que estn implantando o planeando implantar los estndares ISO/IEC de gestin de seguridad de la informacin. Al
igual que los propios estndares ISO/IEC, se trata de un documento genrico y necesita ser adaptado a las necesidades especficas de cada uno.
Copyright
Este trabajo tiene copyright 2007, ISO27k implementers' forum, algunos derechos reservados. Est licenciado bajo licencia Creative Commons
Attribution-Noncommercial-Share Alike 3.0. Vd. puede reproducir, distribuir, usar y crear trabajos derivados de este, siempre y cuando (a) no
sean vendidos o incorporados en ningn producto comercial, (b) sean correctamente atribuidos al ISO27k implementers forum
(www.ISO27001security.com), y (c) sean compartidos bajo los mismos trminos que este.
Ref.
Objetivo
Consejos de implementacin
Posibles mtricas
4.1
4.2
Se puede usar cualquier mtodo de gestin de riesgos de seguridad de la informacin, con preferencia por mtodos docu- Porcentaje de riesgos identificados evaluados como de
mentados, estructurados y generalmente aceptados como OCTAVE, MEHARI, ISO TR 13335 BS 7799 Parte 3 (y, en su importancia alta, media o baja, ms "no evaluados".
momento, ISO/IEC 27005).
La gerencia (especficamente, los propietarios de activos de informacin) necesita evaluar los riesgos y decidir qu hacer con
ellos. Tales decisiones deben documentarse en un Plan de Tratamiento de Riesgos (PTR). Es aceptable que la direccin decida explcitamente no hacer nada con ciertos riesgos de seguridad de la informacin que se estiman dentro de la "tolerancia al
riesgo" de la organizacin, sin que sea ste el enfoque por defecto.
5. Poltica de seguridad
Ref.
5.1
Objetivo
Consejos de implementacin
Posibles mtricas
Piense en trminos de un manual o wiki de polticas de seguridad de la informacin que contenga un conjunto coherente e in- Cobertura de la poltica (es decir, porcentaje de secciones
ternamente consistente de polticas, normas, procedimientos y de ISO/IEC 27001/2 para las cuales se han especificado,
directrices.
escrito, aprobado y publicado polticas y sus normas, procedimientos y directrices asociadas.
Determine la frecuencia de revisin de la poltica de seguridad Grado de despliegue y adopcin de la poltica en la orgade la informacin y las formas de comunicacin a toda la organizacin (medido por auditora, gerencia o auto-evaluanizacin. La revisin de la idoneidad y adecuacin de la poltica
de seguridad de la informacin puede ser incluida en las revi- cin).
siones de la direccin.
6.1
6.2
Organizacin interna
Terceros
7. Gestin de activos
Pgina 3 de 16
Ref.
7.1
7.2
Objetivo
Consejos de implementacin
Elabore y mantenga un inventario de activos de informacin (similar al preparado en su da para el Efecto 2000), mostrando
los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes (p. ej.,
ubicacin, n de serie, n de versin, estado de desarrollo /
pruebas / produccin, etc.).
Clasificacin de la
informacin
Posibles mtricas
Porcentaje de activos de informacin en cada fase del proceso de clasificacin (identificado / inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).
Porcentaje de activos de informacin claves para los cuales se ha implantado una estrategia global para mitigar
Use cdigos de barras para facilitar las tareas de realizacin de riesgos de seguridad de la informacin segn sea necesainventario y para vincular equipos de TI que entran y salen de rio y para mantener dichos riesgos en niveles aceptables.
las instalaciones con empleados.
Mantenga la sencillez! Distinga los requisitos de seguridad bsicos (globales) de los avanzados, de acuerdo con el riesgo.
Porcentaje de activos de informacin en cada categora de
clasificacin (incluida la de "an sin clasificar").
Comience quizs con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.
8.1
8.2
Antes de la contratacin
Durante la contratacin
La responsabilidad con respecto a la proteccin de la informacin no finaliza cuando un empleado se va a casa o abandona
la organizacin. Asegure que esto se documenta claramente en
Respuesta a las actividades de concienciacin en segurimateriales de concienciacin, contratos de empleo, etc.
dad medidas por, p. ej., el nmero de e-mails y llamadas
Contemple la posibilidad de una revisin anual por RRHH de relativas a iniciativas de concienciacin individuales.
los contratos junto con los empleados para refrescar las expectativas expuestas en los trminos y condiciones de empleo, incluyendo su compromiso con la seguridad de la informacin.
Ref.
Objetivo
Consejos de implementacin
Posibles mtricas
Vase Seccin 7.1. La devolucin de los activos de la organizacin cuando un empleado se marcha sera mucho ms sencilla de verificar si el inventario de activos ha sido actualizado y
verificado regularmente.
8.3
Cese o cambio de
puesto de trabajo
9.1
reas seguras
Pgina 5 de 16
Ref.
9.2
Objetivo
Consejos de implementacin
Posibles mtricas
Seguridad de los
equipos
Haga que los vigilantes de seguridad impidan a cualquiera (empleados, visitas, personas de soporte TI, mensajeros, personal
de mudanzas, etc.) sacar equipos informticos de las instalaciones sin autorizacin escrita. Convirtalo en un elemento disuasorio visible mediante chequeos aleatorios (o, incluso, arcos
de deteccin de metales). Est especialmente atento a puertas
traseras, rampas de carga, salidas para fumadores, etc. Tome
en consideracin el uso de cdigos de barras para hacer los
chequeos ms eficientes.
Nmero de chequeos (a personas a la salida y a existencias en stock) realizados en el ltimo mes y porcentaje de
chequeos que evidenciaron movimientos no autorizados
de equipos o soportes informticos u otras cuestiones de
seguridad.
10.1
10.2
10.3
Responsabilidades y
procedimientos de
operacin
Adopte procesos estructurados de planificacin de capacidad Porcentaje de cambios de riesgo bajo, medio, alto y de
TI, desarrollo seguro, pruebas de seguridad, etc., usando es- emergencia.
Ref.
10.4
10.5
Objetivo
Proteccin contra
cdigo malicioso y
mvil
Copias de seguridad
Consejos de implementacin
Posibles mtricas
Porcentaje de sistemas (a) que deberan cumplir con estndares de seguridad bsica o similares y (b) cuya conformidad con dichos estndares ha sido comprobada mediante benchmarking o pruebas.
Implante procedimientos de backup y recuperacin que satisfagan no slo requisitos contractuales sino tambin requisitos de
negocio "internos" de la organizacin. Bsese en la evaluacin
de riesgos realizada para determinar cules son los activos de
informacin ms importantes y use esta informacin para crear
su estrategia de backup y recuperacin. Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicacin
de backup, frecuencia de copia y prueba de soportes.
Encripte copias de seguridad y archivos que contengan datos Porcentaje de backups y archivos con datos sensibles o
sensibles o valiosos (en realidad, sern prcticamente todos valiosos que estn encriptados.
porque, si no, para qu hacer copias de seguridad?).
10.6
10.7
Asegure los soportes y la informacin en trnsito no solo fsico Porcentaje de soportes de backup o archivo que estn tosino electrnico (a travs de las redes).
talmente encriptados.
Pgina 7 de 16
Ref.
Objetivo
Consejos de implementacin
Posibles mtricas
10.8
10.9
10.10
Intercambio de informacin
Estudie canales de comunicaciones alternativos y "pre-autorizaPorcentaje de enlaces de terceras partes para los cuales
dos", en especial direcciones de e-mail secundarias por si fallan
las primarias o el servidor de correo, y comunicaciones offline se han (a) definido y (b) implementado satisfactoriamente
por si caen las redes. El verificar canales de comunicacin al- los requisitos de seguridad de la informacin.
ternativos reducir el estrs en caso de un incidente real.
Trabaje estrechamente con las unidades de negocio para desarrollar un eBusiness seguro, incorporando requisitos de seguridad de la informacin en los proyectos, y con ello en los sistemas de eCommerce, desde el principio (tambin en cualquier
cambio/actualizacin posterior). Insista en el valor aadido de
la seguridad en la reduccin de riesgos comerciales, legales y
operativos asociados al eBusiness. Trabaje los 3 aspectos clave de la seguridad: confidencialidad, integridad y disponibilidad.
Supervisin
11.1
Los propietarios de activos de informacin que son responsables ante la direccin de la proteccin "sus" activos deberan teRequisitos de negoner la capacidad de definir y/o aprobar las reglas de control de
cio para el control de
acceso y otros controles de seguridad. Asegrese de que se
accesos
les responsabiliza de incumplimientos, no conformidades y
otros incidentes.
Ref.
11.2
11.3
11.4
11.5
Objetivo
Gestin de acceso
de usuario
Consejos de implementacin
Posibles mtricas
Tiempo medio transcurrido entre la solicitud y la realizacin de peticiones de cambio de accesos y nmero de solicitudes de cambio de acceso cursadas en el mes anterior
(con anlisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicacin fiInvierta en proporcionar al administrador de seguridad herrananciera este mes").
mientas para realizar sus tareas lo ms eficientemente posible.
Cree la funcin diferenciada de "administrador de seguridad",
con responsabilidades operativas para aplicar las reglas de
control de acceso definidas por los propietarios de las aplicaciones y la direccin de seguridad de la informacin.
Responsabilidades
del usuario
Asegrese de que se establecen las responsabilidades de seguridad y que son entendidas por el personal afectado. Una
buena estrategia es definir y documentar claramente las responsabilidades relativas a seguridad de la informacin en las
descripciones o perfiles de los puestos de trabajo. Son imprescindibles las revisiones peridicas para incluir cualquier cambio.
Comunique regularmente a los empleados los perfiles de sus
puestos (p. ej., en la revisin anual de objetivos), para recordarles sus responsabilidades y recoger cualquier cambio.
Control de acceso a
la red
Estadsticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p.
Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN), frente a controles de se- ej., intentos de acceso a pginas web prohibidas; nmero
de ataques potenciales de hacking repelidos, clasificados
guridad en aplicaciones (defensa en profundidad).
en insignificantes/preocupantes/crticos).
Control de acceso al
sistema operativo
Pgina 9 de 16
Ref.
11.6
11.7
Objetivo
Control de acceso a
la aplicacin y a la
informacin
Consejos de implementacin
Posibles mtricas
12.1
Involucre a los "propietarios de activos de informacin" en evaluaciones de riesgos a alto nivel y consiga su aprobacin de los
requisitos de seguridad que surjan. Si son realmente responsables de proteger sus activos, es en inters suyo el hacerlo bien.
Est al tanto de las novedades sobre vulnerabilidades comunes
o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientacin sobre la implementacin, como, p. ej.,
OWASP.
Ver 11.1
Ref.
Objetivo
Consejos de implementacin
Posibles mtricas
Para mayor confianza con datos vitales, construya e incorpore Porcentaje de sistemas para los cuales los controles de
funciones adicionales de validacin y chequeo cruzado (p. ej., validacin de datos se han (a) definido y (b) implementado
sumas totalizadas de control).
y demostrado eficaces mediante pruebas.
Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales
como desbordamientos de memoria, inyeccin SQL, etc.
12.3
12.4
12.5
Controles criptogrficos
Seguridad en los
procesos de desarrollo y soporte
Incorpore la seguridad de la informacin al ciclo de vida de desarrollo de sistemas en todas sus fases, desde la concepcin
hasta la desaparicin de un sistema, por medio de la inclusin "Estado de la seguridad en sistemas en desarrollo", es dede "recordatorios" sobre seguridad en los procedimientos y m- cir, un informe sobre el estado actual de la seguridad en
los procesos de desarrollo de software, con comentarios
todos de desarrollo, operaciones y gestin de cambios.
sobre incidentes recientes/actuales, vulnerabilidades acTrate el desarrollo e implementacin de software como un pro- tuales de seguridad conocidas y pronsticos sobre cualceso de cambio. Integre las mejoras de seguridad en las activi- quier riesgo creciente, etc.
dades de gestin de cambios (p. ej., documentacin y formacin procedimental para usuarios y administradores).
Pgina 11 de 16
Ref.
12.6
Objetivo
Consejos de implementacin
Posibles mtricas
Haga un seguimiento constante de parches de seguridad mediante herramientas de gestin de vulnerabilidades y/o actualizacin automtica siempre que sea posible (p. ej., Microsoft
Update o Secunia Software Inspector). Evale la relevancia y
criticidad o urgencia de los parches en su entorno tecnolgico.
Pruebe y aplique los parches crticos, o tome otras medidas de
proteccin, tan rpida y extensamente como sea posible, para
vulnerabilidades de seguridad que afecten a sus sistemas y
que estn siendo explotadas fuera activamente. Evite quedarse
tan atrs en la rutina de actualizacin de versiones que sus sistemas queden fuera de soporte por el fabricante.
13.1
13.2
Notificacin de
eventos y puntos dbiles de la seguridad
de la informacin
Estadsticas del helpdesk de TI, con anlisis sobre el nmero y tipos de llamadas relativas a seguridad de la informacin (p. ej., cambios de contrasea; porcentaje de preguntas acerca de riesgos y controles de seguridad de la
Establezca y d a conocer una hotline (generalmente, el help- informacin respecto al total de preguntas). A partir de las
desk habitual de TI) para que la gente pueda informar de inci- estadsticas, cree y publique una tabla de clasificacin por
dentes, eventos y problemas de seguridad.
departamentos (ajustada segn el nmero de empleados
por departamento), mostrando aquellos que estn claramente concienciados con la seguridad, frente a los que no
lo estn.
Ref.
Objetivo
Consejos de implementacin
Posibles mtricas
Considere la gestin de continuidad de negocio como un proceso con entradas procedentes de diversas funciones (alta direccin, TI, operaciones, RRHH, etc.) y actividades (evaluacin de
riesgos, etc.).
14.1
Asegure la coherencia y concienciacin mediante personas y Porcentaje de planes de continuidad de negocio en cada
unidades organizativas relevantes en los planes de continuidad una de las fases del ciclo de vida (requerido / especificado
/ documentado / probado).
de negocio.
Deberan llevarse a cabo las pruebas pertinentes (tales como
pruebas sobre el papel, simulacros, pruebas de failover, etc.)
para (a) mantener los planes actualizados, (b) aumentar la confianza de la direccin en los planes y (c) familiarizar a los empleados relevantes con sus funciones y responsabilidades bajo
condiciones de desastre.
Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente (a) documentados y (b) probados mediante tests apropiados en los
ltimos 12 meses.
15. Cumplimiento
15.1
Cumplimiento de los
requisitos legales
Nmero de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su estado (cerradas,
abiertas, nuevas, retrasadas) e importancia o nivel de riesObtenga asesoramiento legal competente, especialmente si la go (alto, medio o bajo).
organizacin opera o tiene clientes en mltiples jurisdicciones.
Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma admisible, han sido considerados conformes.
Pgina 13 de 16
Ref.
15.2
Objetivo
Consejos de implementacin
Cumplimiento de las
polticas y normas
de seguridad y cumplimiento tcnico
Alinee los procesos de auto-evaluacin de controles de seguridad con las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones
de la direccin y verificaciones externas de buen funcionamiento.
Posibles mtricas
Nmero de cuestiones o recomendaciones de poltica interna y otros aspectos de cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).
Porcentaje de revisiones de cumplimiento de seguridad de
la informacin sin incumplimientos sustanciales.
Consideraciones de
las auditoras de los
sistemas de informacin
Examine ISO 19011 "Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiental" como fuente valiosa para la realizacin de auditoras internas del SGSI. ISO
19011 proporciona un marco excelente para crear un programa
de auditoras internas y contiene asimismo las cualificaciones
del equipo de auditora interna.
*** Fin de la tabla ***
Registro de cambios
Versin 1, 28 de Junio de 2007
Publicado por el ISO27k implementers' forum. Aportaciones de Gary Hinson, H Deura, K, Ramiah Marappan, Rainier Vergara y Richard O. Regalado.
Traducido del original ingls al espaol por Javier Ruiz Spohr (www.iso27000.es). 16 de Noviembre de 2007.
Feedback
Comentarios, preguntas y sugerencias de mejora (especialmente, sugerencias de mejora!) son bienvenidas a travs del ISO27k implementers' forum o, directamente, al administrador del foro Gary@isect.com