You are on page 1of 79

ISO 27004

La nueva norma, oficialmente denominada "Information technology -- Security techniques -- Information security management -- Measurement" viene a sofocar uno de los grandes abismos que existen en el proceso de construccin de un SGSI. Ya he comentado muchas veces que certificarse con ISO 27001 es establecer que las cosas se vigilan dentro de un marco de gestin y que existen procesos de mejora continua sobre el funcionamiento de las medidas de seguridad. Sin embargo, gestionar bien no implica tener buena seguridad. Obviamente ayuda mucho tener un marco de gestin y revisin continua pero es slo una condicin necesaria, no suficiente. Esta nueva norma establece criterios para la medicin del estado de la seguridad. Es aqu donde los datos y las evidencias deben poner al SGSI en su sitio. Es cuando los resultados nos proporcionan informacin sobre cual es la situacin real de las medidas y si estn o no funcionando de acuerdo a los objetivos planteados. Por eso es tan importante la publicacin de esa norma. Es la nica manera de valorar si tanta gestin de la seguridad est sirviendo para algo, y esos hechos avalados por resultados y datos concretos que se estn midiendo. Por tanto, un SGSI certificado y todo que no logre unos buenos resultados en sus indicadores ser solo un adorno, dado que habr una bonita gestin pero con ello no se estar logrando satisfacer los objetivos planteados.

Estas reflexiones ya las plantee de forma ms extensa en el post SGSI virtuales en su momento. Os resumo lo que en aquel momento comentaba respecto a las mtricas. La medicin debe servir para cuestionarnos continuamente en base a logs, datos y registros si las medidas de seguridad estn funcionando bien. Hemos visto que es esencial establecer unos objetivos relevantes para la seguridad de la organizacin. Pues igual de crtico es establecer un buen conjunto de indicadores que sirvan para evidenciar que las cosas funcionan y podemos dormir tranquilos. Esta informacin, desde la perspectiva de la

gestin, es la ms crtica dado que es la base de la retroalimentacin del sistema, los datos que se utilizan para hacer ajustes. Por tanto, debemos disponer de sensores de diferente naturaleza y con diferentes objetivos: medir la evolucin de la ejecucin del plan, valorar el rendimiento y funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve ms hostil y es necesario modificar la valoracin de las amenazas, etc. Cuando se audita, al revisar el anlisis de riesgos, mirar qu objetivos tiene el SGSI y en qu indicadores se basa ya te puedes hacer una idea de si tienes delante un SGSI real o virtual. Por qu? Muy sencillo, si la informacin utilizada por las actividades de gestin es mala, la propia gestin es mala. Si las decisiones no estn enfocando los verdaderos problemas y no se est vigilando lo que es importante, el ciclo PDCA da vueltas pero no aporta valor a la Organizacin. Tener un SGSI dando vueltas de mejora continua produce beneficios pero si quien tiene el timn del barco no sabe dnde tiene que ir, dificilmente podr lograr llegar a puerto. Sern las incidencias que se vayan registrando las que nos pongan de manifiesto estos hechos pero de nuevo se reacciona en base a fallos, y esa no es la idea principal. Estableciendo el rumbo de un SGSI Como complemento a lo dicho en l, hay unas sencillas reglas que debe cumplir una buena mtrica:

Ser objetivas:Debe aportar un criterio de recogida de datos medible y objetivo, que no dependa de valoraciones subjetivas.

Ser fciles de obtener:Los datos sencillos, simples de calcular y poco costosos de recoger son buenos candidatos a ser mtricas. Al respecto, lo ms sencillo es recurrir a datos proporcionados por herramientas o procesados de forma automatizada.

Expresables de forma numrica o porcentual. No deben estar basados en etiquetas cualitativas tales como "alto", "medio" o "bajo". Expresable usando algn tipo de unidad de medida: Siempre deben estar vinculadas a algo tangible basado en escalas como el tiempo, nmero de defectos, a cuantas econmicas.

Significativas: Toda buena mtrica debe ser significativa, debe ser relevante para el hecho o circunstancia que se desea medir y debe aportar criterio. Una mtrica que no aporta informacin no es una buena mtrica y debe ser desechada.

Problemticas de los proyectos de implantacin de SGSI

Patricia Vanaclocha, de S2 Grupo tiene dos entradas excelentes que describen perfectamente la problemtica que se plantea cuando uno se embarca en esto de construir un SGSI. Podis leerlas en

Errores comunes en la Implantacin de un SGSI Implantar un Sistema de Gestin de Seguridad de la informacin se est convirtiendo cada vez ms en un objetivo para los departamentos TIC de las empresas. Los que nos dedicamos a hacer consultora para la implantacin de esos SGSI vamos poco a poco viendo que los problemas que nos encontramos en un cliente se repiten, al menos parcialmente, en el siguiente, y que los clientes asumen errneamente afirmaciones para nada ciertas lo que hace que cuando se tropiezan con la realidad, haya alguna sorpresa. Plantear hoy tres de los errores ms comunes asumidos por algunas de las empresas que deciden implantar un SGSI: CONTRATO A UNA CONSULTORA Y ELLOS LO HACEN TODO Esta suposicin no es vlida en la implantacin de ningn Sistema de Gestin, pero menos si cabe en un SGSI. Como en cualquier proyecto de similares caractersticas, es imprescindible la colaboracin de muchos miembros de la plantilla de la empresa para arrancar y llevar a buen puerto el diseo y la implantacin de un Sistema de Gestin que trata de protegerla informacin crtica para el negocio, ya que hay muchos departamentos y perfiles que trabajan a diario con esa informacin que se busca proteger; al fin y al cabo, son ellos los que mejor conocen la organizacin. Por ello, para que la empresa consultora pueda hacer un buen anlisis de riesgos va a requerir colaboracin por parte del cliente para identificar los riesgos, analizarlos y valorarlos, seleccionar las opciones para su tratamiento, y para implantar el plan de tratamiento de riesgos con el que se pretende mitigar el nivel de riesgo detectado. Tampoco hay que dejar de lado que la organizacin ya dispondr en muchas ocasiones de controles de seguridad que en ocasiones sern suficientes, y en otras ser necesario ampliar. Si bien los consultores deben invertir muchas horas en darle forma el sistema, la organizacin debe invertir bastantes horas en proporcionarles la informacin que necesitan para hacer un buen diseo y en ejecutar las tareas que se identifiquen como necesarias para llevar a cabo su implantacin. Hay casos en los que tambin se contrata a la consultora externa la implantacin de los controles seleccionados pero suelen ser los menos, as que en la mayora de los casos es la organizacin la que debe ir implantando la lista de controles seleccionados y no implantados inicialmente. Esta lista puede ser muy corta pero tambin muy larga, depende de la situacin de partida de la organizacin desde el punto de vista de la seguridad. Sin embargo, antes de pasar al siguiente error, tampoco es bueno pecar de pesimista: no hay que olvidar que la implantacin de un SGSI en ocasiones (no siempre) no es otra cosa que la documentacin y procedimentacin de controles, tareas, rutinas, formas de trabajar que la organizacin ya conoce, en definitiva, la formalizacin de un sistema de gestin con el que hace tiempo que se siente a gusto. Dicho de otra forma, y aunque les parezca obvio, el trabajo que tendr que abordar la empresa en el momento de la implantacin del SGSI ser inversamente

proporcional al trabajo que hasta ese momento haya realizado en la gestin de su seguridad. En ocasiones ese esfuerzo ser significativo, y en otras, ms bien poco. ESTE PROYECTO SLO CONCIERNE AL REA TIC Otro gran y comn error. Ya que como hemos comentado, se trata de proteger la informacin crtica para el negocio, en el proyecto se deben ver involucradas personas de muchas reas: Departamento TIC (por su puesto) pero tambin RR.HH, Departamento financiero, Departamento legal, Departamento de Marketing y todos aquellos que trabajan con esa informacin crtica para el negocio que se va a proteger. Todos deben ser conscientes de qu papel juegan ellos en el SGSI implantado, cmo de crtica es para el negocio la informacin con la que trabajan a diario y de qu modo debe cambiar su forma de manejarla para garantizar que se encuentra debidamente protegida. Por supuesto, se les debe preguntar, explicar y escuchar, antes de decidir los controles que se van a implantar y que les va a afectar, ya que de lo contrario se corre el riesgo de que perciban las nuevas normativas o polticas que se van a definir en materia por ejemplo de contraseas, control de acceso, destruccin de informacin, uso del correo electrnico, instalacin de software, etc, como un mero capricho del rea TIC a las que no encuentran ningn sentido y que simplemente perciben como muy engorrosas. SE VAN LOS AUDITORES Y YA HEMOS TERMINADO Normalmente, cuando se van los auditores tambin se van los consultores externos y eso significa que la empresa se queda con su certificado y sola ante el peligro; en unas organizaciones, eso supondr que ha llegado la hora de la verdad: de comprobar cmo de bien planteado est el SGSI y de ver si es operativo. En otras, ese peligro no ser tal; la obtencin del certificado no significar otra cosa que el premio y la aprobacin externa de un sistema de gestin de la seguridad que la organizacin ya haba asumido como propio, como ventajoso y positivo para su negocio antes siquiera de plantearse la obtencin del sello de una entidad acreditada. Obviamente, siempre ser responsabilidad de los consultores haberse asegurado de que el SGSI diseado, bien a partir de un sistema de gestin ya en funcionamiento, bien a partir de la nada, es adecuado para la empresa en la que se ha implantado. Eso significa que debe ser fcilmente operable, acorde al tamao de la organizacin, de su presupuesto y de los recursos que se pueden asignar a su mantenimiento. Muchas veces, cuando se parte de una organizacin casi virgen en la gestin de la seguridad de la informacin, se puede pecar de querer disear un super-SGSI, sin tener en cuenta que tras el proceso de implantacin, las personas que se han visto involucradas recuperan sus tareas diarias, y la prioridad del SGSI baja unos cuantos niveles respecto a estas otras tareas. Obviamente la existencia de un SGSI en una organizacin sin una gestin de la seguridad previa requerir un esfuerzo: mantener al da su inventario de activos, hacer un seguimiento de las no conformidades, obtener los datos para medir la eficacia de los procesos, analizar la informacin que de ellos se desprende, mantener al da los documentos y registros, es decir, ejecutar todas las tareas que implica un SGSI. En cualquier caso, el reto de lograr un SGSI bien diseado ser lograr que, cuando no lo estn ya, los procesos que conlleva se integren de manera lo ms transparente posible en el funcionamiento de la organizacin. A veces, este es casi el punto de partida; en otros casos, la meta est un poco ms lejana.

Con esta entrada no pretendo desanimar a nadie, ni mucho menos, slo sealar aspectos obvios: que la implantacin, y sobre todo el mantenimiento de un SGSI es una tarea continua, del da a da, en la que se deben involucrar a varias personas de la organizacin, se le debe dotar de los recursos y presupuesto necesario, y que debe contar con el apoyo de la alta direccin para tener garantizado su xito. Nada, desde luego, diferente de lo que cualquiera podra esperar de un sistema de gestin, sea cual sea.

Cosas a tener en cuenta en la implantacin de un SGSI Cosas a tener en cuenta en la implantacin de un SGSI Patricia Vanaclocha, 21 mayo 2009 |

Ya comentamos en otro post que, como empresa consultora que implanta SGSIs en sus clientes, hemos detectado que en muchas ocasiones el cliente tiene opiniones preconcebidas sobre el proceso de implantacin que no se ajustan a la realidad. Tambin es cierto que, adems de esos conceptos previos, hay problemas con los que una se encuentra durante el proceso de implantacin, y para los que hace falta cierta mano izquierda. A los lectores que hayan implantado o participado en la implantacin de un Sistema de Gestin de Seguridad de la Informacin, bien en la parte de cliente, bien en la de consultora, seguro que no les descubrimos demasiadas cosas nuevas (y en algunos casos es posible que se reconozcan en la entrada), pero al resto quizs les resulte de mayor utilidad. Dicho esto, pasemos a esos problemillas 1. Cuesta hacer entender a los tcnicos que el SGSI va con ellos y que no es algo del Responsable del Sistema o del Director de rea. Normalmente, la decisin de implantar un Sistema de Gestin de Seguridad de la Informacin la toma el Director del rea TIC, el Gerente de la organizacin, o algn cargo de la alta direccin. Cuando esta decisin llega al departamento de informtica o rea TI, es importante explicarles claramente el por qu de esa decisin, las ventajas que se esperan conseguir con este proyecto, cmo se van a

simplificar muchas de las tareas de su rea una vez implantado el sistema, etc. De lo contrario los tcnicos vern este proyecto como un nuevo capricho del jefe que decide lo que se hace y a ellos les toca hacer el trabajo extra. 2. Es difcil conseguir que perfiles eminentemente tcnicos vean la utilidad de medir para mejorar Como he comentado en el punto anterior, si no se explican y difunden las ventajas que va a aportar el nuevo Sistema de Gestin, es fcil que la gente sea reacia a cambios que para ellos slo suponen un carga extra de trabajo. A nadie se le escapa que normalmente los compaeros con perfiles tcnicos no son muy amigos de realizar tareas de gestin, a las que suelen clasificar como un rollo y ven como simple papeleo (yo misma he sido tcnico de comunicaciones durante varios aos y s de lo que hablo). Una de las cosas que por nuestra experiencia cuesta ms de hacer entender, es el hecho de que como todo Sistema de Gestin que se apoya en un ciclo de mejora continua (PDCA), es vital medir para poder observar cmo las cosas mejoran a medida que el sistema va madurando. En este tema es importante que tanto desde la Direccin de la organizacin como por parte de la empresa consultora, se haga un esfuerzo extra en inculcar a los tcnicos que participen en el proyecto las ventajas que supone saber que, por ejemplo, ahora se resuelven las incidencias de seguridad en 2 minutos menos de media que el mes pasado, pero que sin embargo hay que hacer un esfuerzo extra en mejorar el proceso de copias de respaldo ya que se han incrementado el nmero de fallos en un 10%. Si no medimos, trabajamos en base a sensaciones, y las decisiones tomadas sin la informacin necesaria es fcil que conduzcan a equivocaciones. 3. Es costoso involucrar a reas como Recursos Humanos, Departamento Legal, Administracin, Comercial, etc., en un proyecto liderado por el Departamento TIC y que ven como ajeno a ellos Si no fuese suficiente con las reticencias de los perfiles tcnicos, otra de las particularidades de un Sistema de Gestin de Seguridad de la Informacin, es el hecho de que como su nombre indica, lo que persigue es proteger la Informacin Crtica para el negocio de la organizacin, y garantizar la continuidad de dicho negocio en caso de catstrofe. Evidentemente, toda la informacin crtica para el negocio no est necesariamente en manos del rea TI. En la mayora de los empresas, no slo muchos departamentos tienen sus propias aplicaciones que se muestran reticentes a abandonar, sino que aun hoy hay mucha documentacin que se maneja y/o archiva en formato papel, algo que tambin hay que tener en cuenta para que quede debidamente protegida (algo que en cualquier caso la LOPD ya obliga a cumplir en relacin con los datos de carcter personal). El caso paradigmtico es el Departamento de Administracin o Comercial, que suelen trabajar con facturas, ofertas y otros documentos en formato papel que contienen informacin de mucho valor para la competencia Qu pasara si un comercial perdiera el plan estratgico comercial de su empresa? Y si el departamento de administracin trabaja con una aplicacin instalada en un nico PC, fuera de la poltica de copias de la organizacin, y la aplicacin de facturacin se corrompiera? Adems de estos departamentos, tambin es necesario que participen en el proyecto de forma activa miembros del rea de RR.HH, por los mltiples controles que les

afectan y el papel vital que tienen en el SGSI: CV-screening de las nuevas incorporaciones, formacin en materia de seguridad segn la labor que van a desempear, medicin de la eficacia de las acciones formativas que reciban los empleados en materia de seguridad, mantenimiento del registro de la educacinformacin-experiencia y habilidades de los miembros de la plantilla, etc. No es que todo esto deba suponer ningn esfuerzo extra para cualquier departamento de RR.HH medianamente organizado, pero como en cualquier nueva iniciativa, hay que darle forma a estas tareas y formalizarlas. Por ltimo, uno de los dominios de control que incluye la ISO 27002 es el de conformidad legal, y ah es dnde entra en juego el departamento legal (si existe). Es imprescindible cumplir con la legislacin vigente en materia de seguridad de la informacin, y en particular con la LOPD, que suele ser la legislacin a vigilar en este mbito (pero no la nica). Estos departamentos que he nombrado son slo ejemplos que se repiten en muchas empresas, aunque el abanico de departamentos a involucrar puede ser mayor o menor segn la informacin que manejen y la forma en la que la intercambien o almacenen. Al final del cuento, a lo que voy es que igual que un Sistema de Calidad involucra prcticamente a toda la organizacin, un Sistema de Gestin de Seguridad de la Informacin es equivalente, a pesar de que Seguridad de la Informacin a muchos les haga pensar que es cosa del personal de informtica. 4. Si la direccin no apoya el proyecto activamente desde el principio y es consciente de que debe asignar ciertos recursos internos para la definicin e implantacin del sistema, el proyecto est condenado al fracaso Despus de pasar por prcticamente toda la organizacin, llegamos al jefe: Direccin. La afirmacin previa no es particular para un Sistema de Gestin de Seguridad de la informacin, sino que es vlida para la implantacin de cualquier Sistema de Gestin. Al respecto, debe quedar claro que al menos el 80% de las tareas necesarias para formalizar un SGSI ya las realizan la mayora de empresas que tengan un rea TI medianamente organizada, pero esto no quita que durante la fase de definicin del SGSI se deba dedicar algo de tiempo extra a revisar, mejorar y en muchos casos documentar las metodologas de trabajo del rea, y en los casos en los que se detecten desviaciones respecto a lo establecido por la norma se decida cmo abordar estas nuevas tareas y se registre. Como es obvio, esto requiere una dedicacin de personal, un coste, que direccin debe estar dispuesta a asumir si quiere llevar a buen trmino el proyecto (como suele ser el caso). Para acabar con la entrada, soy consciente de que el tono de esta entrada puede ser algo catastrfico y desalentador; parece que tengamos en contra a los tcnicos de informtica, a los departamentos no tcnicos y casi hasta a Direccin, que quiere un SGSI sin gastarse un duro. Nada ms lejos de la realidad; en proyectos en los que he participado, la implicacin de direccin ha sido total tanto en recursos como en motivacin, y los departamentos mencionados, despus de ciertas reticencias iniciales habituales en cualquier proyecto de esta magnitud que se abarque en una organizacin, se han prestado a colaborar casi sin problemas. En definitiva, ninguno de los aspectos comentados anteriormente son insalvables, siempre que se cuente con algo de mano izquierda, ganas y una buena gestin. Con esta entrada (y la anterior) simplemente intento poner de manifiesto algunos de esos problemas e

inconvenientes que hay que tener en cuenta, a pesar de que en algunas organizaciones ni siquiera asomen la cabeza. Dicho todo esto, les emplazo a que estn atentos a la publicacin del prximo post relacionado con esta temtica (Implantacin de SGSIs) ya que en l, despus de la visin algo negativa que hemos tenido en esta y la anterior entrada, describir las ventajas que aporta este sistema de gestin y que como podrn comprobar, son innumerables.

Conforme vayan siendo publicadas, ir comentando algunas otras normas que van a empezar a ir viendo la luz como extensin del marco ISO 27000 relativo a la seguridad de la informacin. Los proyectos en proceso y publicados por el Subcomit 27 se pueden consultar en el siguiente enlace. El pasado mes de diciembre vi la luz la norma ISO 27011:2008 que es un desarrollo del marco de controles ISO 27002 diseado especficamente para el sector de las telecomunicaciones. El ttulo de esta nueva norma es Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. ISO 27011:2008 como la norma ISO 27799:2008 desarrollada para el sector sanitario son extensiones de la norma ISO 27002:2005 contemplada como un catlogo bsico de controles que puede ser utilizado para implantar un SGSI. Tal como establece la norma ISO 27001:2005, a la hora de seleccionar controles se pueden elegir aquellos que figuran como Anexo A y que se corresponden con ISO 27002 o bien aquellos controles que la organizacin entienda que pueden ser interesantes o de aplicacin. Por tanto, vamos a ir viendo aparecer normas de seguridad que son extensiones a medida de los diferentes sectores que estn intentando establecer un conjunto de medidas de seguridad acordes con sus necesidades especficas.

SGSI virtuales
Publicado por Javier Cao Avellaneda La proliferacin de subvenciones y la motivacin que proporciona el coleccionar certificaciones a nivel de organizaciones est generando un pequeo "boom" dentro del mundillo de la seguridad de la informacin y en concreto, la certificacin bajo la norma ISO 27001:2005. Esto que en teora es viento favorable y debera generar cada vez ms concienciacin y producir mejoras en la gestin puede entrar en un crculo vicioso nada deseable. Por parte de las consultoras siempre se comenta que lograr la certificacin es el premio al buen trabajo y el esfuerzo realizado en materia de seguridad. Sin embargo, se empieza ya a detectar una tendencia algo ms peligrosa que es cuando el esfuerzo se dirige exclusivamente a lograr la medalla tratando de pasar la auditora de certificacin de cualquier forma, aun cuando ello no suponga disponer de una verdadera "gestin de la seguridad de la informacin".

Quiero comentar qu cosas son imprescindibles para que una organizacin tenga un SGSI real, y no uno virtual y certificado.

Primero: Es necesario tener claro cuales son nuestros objetivos de seguridad. Cada organizacin tiene un por qu en relacin a sus necesidades de seguridad. Esta informacin se obtiene en la fase de anlisis de riesgos, donde por cada proceso debemos pensar qu consecuencias puede tener la inseguridad. De esta forma hallamos qu es lo que tiene valor para la organizacin, atendiendo a requisitos de disponibilidad, integridad y confidencialidad. Obtener estos requisitos es tambin el por qu es necesario hacer el anlisis de riesgos.

Segundo: Definir los objetivos que el SGSI debe perseguir. Una vez que acaba la fase de anlisis de riesgos, conocemos cuales son los peligros potenciales que podran generar mucho dao a la organizacin y por tanto, tenemos identificados todos aquellos eventos que bajo ningn concepto queremos que sucedan. El SGSI debe ser valorado y revisado al menos anualmente, para verificar que todo el esfuerzo que se est realizando en la materia se est logrando rentabilizar. Este concepto significa para el caso del SGSI que las medidas de seguridad funcionan y que los incidentes no visitan nuestra organizacin. Para ayudarnos en estas cuestiones es para lo que deben establecerse los objetivos del SGSI y sus correspondientes indicadores. Cuantos son necesarios? Personalmente creo que los suficientes para valorar si todas las directrices dadas en la "Poltica de seguridad" se estn cumpliendo. Cuantos ms sensores del estado de la seguridad mejor, siempre que su gestin y mantenimiento sea algo llevable. A ms informacin, ms criterio para tomar decisiones. Los indicadores son una parte muy importante en el proceso de feedback que todo SGSI realiza para ajustarte a los objetivos planteados.

Tercero: Realizar el despliegue de medidas de seguridad para gestionar los riesgos y ejecutar el plan de tratamiento de riesgos que se haya planteado. Esta norma en esencia tiene como estrategia base de seguridad la prevencin. El mrito de un buen SGSI es que evita daos. Por tanto, pervertir este funcionamiento elimina la esencia del beneficio que la gestin de la seguridad debe proporcionar a la organizacin. Qu significa esto? Pues que no hay que hacer las cosas para superar la certificacin sino para mitigar riesgos. Tengo la sensacin de que muchos procedimientos se escriben para que queden bonitos el da de la auditora pero en el fondo no est detrs la bsqueda de un buen mecanismo de eliminacin de vulnerabilidades. El SGSI debe prevenir o detectar lo ms tempranamente posible. De lo contrario, los daos se producen y aunque luego en la fase de revisin del sistema se pueden producir ajustes, el impacto ya se ha producido y la revisin slo sirve para intentar no caer dos veces en la misma piedra.

Cuarto: Gestionar y monitorizar el funcionamiento de las medidas de seguridad. Una vez que el sistema est en marcha, la gestin de incidentes y de no conformidades son el nuevo pilar en el que se basa el SGSI. La mejora continua crea un proceso de retroalimentacin que realiza los ajustes necesarios al funcionamiento establecido en base a detectar fallos que generan o bien acciones correctoras o bien acciones preventivas o bien sugerencias de mejora. El mantenimiento del SGSI se basar en solucionar las pegas del da a da y en la revisin del sistema que se realiza cada vuelta del ciclo donde se valoran tambin los resultados obtenidos en el seguimiento de indicadores y cumplimiento de objetivos.

Quinto: Formacin y concienciacin en la materia. Como me apunta "Deincgnito" en los comentarios, la formacin de las personas que vayan a gestionar el SGSI sobre esta disciplina de la seguridad de la informacin es esencial. Dificilmente se puede gestionar "algo" sobre lo que se desconoce su funcionamiento, conceptos y criterios. Adems de esta formacin de las personas que operan el SGSI, es necesario que los actores principales de la proteccin, los usuarios del sistema estn entrenados para que la proteccin sea una cosa de todos.

Dicho esto, voy a tratar de identificar los sintomas principales de un "SGSI virtual".

Los objetivos de seguridad no son proporcionados por la Direccin: Nadie sabe mejor lo que se juega que quin es dueo del negocio. Por tanto, de cara a establecer los objetivos, deben surgir de dentro para solucionar los potenciales problemas que ms dao podran producir a la organizacin que se quiere certificar. Las consultoras en estos aspectos podemos asesorar pero no decidir. No es lo mismo plantear opciones en relacin a objetivos en forma de propuestas que deben seleccionarse que darlos por escrito como si fueran ya decisiones definitivas.

La metodologa de anlisis y gestin del riesgo no se entiende por parte de la Organizacin: Esta situacin es un autntico cncer para un SGSI. Esta fase es el corazn del SGSI dado que es donde se realiza el diagnstico de situacin. Un mal diagnstico implica un mal tratamiento y unos malos resultados. Por eso es importante que este proceso sea realizado por parte de profesionales adecuadamente formados y con criterio y conocimientos de "seguridad de la informacin". Es la barrera de entrada que existe para profesionales dedicados actualmente a otras certificaciones de sistemas de gestin y que algunos no parecen percibir. Ponerse a realizar un plan de tratamientos de riesgos sin haber leido al menos la norma ISO 27002 me parece muy osado y sobre todo, poco profesional pero all cada organizacin en relacin a las manos en las que quiera ponerse.

Por otro lado, la dinmica utilizada por la Organizacin para ir realizando el diagnstico de sus deficiencias y necesidades debe ser sencilla de gestionar por parte de la Organizacin y en la medida de lo posible, para estas tareas deben ser autnomos. Es cierto que en el inicio de todo proyecto de construccin de un SGSI muchas empresas se ven sobrepasadas dado que son muchos conceptos especficos sobre esta materia. Pero cuando el SGSI empieza a funcionar y da su primera vuelta, la Organizacin debe poder seguir con el ciclo de mejora continua y debe afrontar la primera revisin del anlisis de riesgos con suficientes armas como para poder ajustar todos aquellos matices y aspectos que fallaran o pasaran ignorados en la primera fase. En este sentido, tambin detecto una peligrosa tendencia que ya he comentado alguna vez. Hay consultoras que no entienden la verdadera importancia del anlisis y gestin del riesgo y se lanzan a inventar su propia metodologa. No critico que esto se haga, pero si alguien se lanza, que lo haga bien. Qu significa? Al menos la metodologa debe cumplir con los puntos especificados por la norma 27001 y debe generar resultados razonables y repetibles. Para ello por suerte, ya disponemos de ISO 27005 que deja asentados ciertos conceptos base que toda metodologa debe contemplar. Como organizacin, para plantearse si la metodologa es buena o no el mejor diagnstico es seleccionar un control y preguntarse por qu es necesario. Algo como esto qu hago qu sentido tiene. Si la metodologa es robusta, debe identificar esa medida dnde debe aplicarse, en base a qu tengo que hacerla (gestiona un riesgo, satisface un requisito legal o es un objetivo de negocio), en qu situacin se encuentra y a qu situacin debo acabar llevndola, y por ltimo, cmo valoro que est funcionando y ayuda al cumplimiento de los objetivos del SGSI.

No existen tareas de seguridad: Esto de la certificacin 27001 y disponer de la medalla de la seguridad es muy bonito pero el premio hay que sudarlo. Otro sntoma de un SGSI virtual es que no se definen las tareas que por seguridad deben ir realizndose a diario para evitar, detectar o remediar las incidencias que se van produciendo. Antes ya dije que la estrategia de la norma es siempre que sea posible la prevencin o deteccin temprana. Para ello, es necesario que existan ciertas rutinas que proporcionen datos que sirvan para valorar nuestra situacin, sensores o termmetros que nos avisen de cmo estn funcionando nuestros sistemas de informacin y de cundo pueden estar producindose situaciones potencialmente peligrosas. Esto obedece a la famosa frase de Lord Kelvin "si no puedes medirlo, no puedes mejorarlo" para la que Google ahora tiene un nuevo enunciado "Si puedes medirlo, puedes mejorarlo".La seguridad se debe basar fundamentalmente en la monitorizacin constante. Como toda rea de control, es necesario vigilar que las cosas estn en orden. Para ello, los mecanismos de seguridad deben servir para detectar, prevenir o predecir potenciales peligros de manera que podamos estar reaccionando al posible incidente antes de que este ocurra. Con esta filosofa de trabajo o bien somos capaces de hacer que la amenaza no nos afecte o bien disminuimos mucho su dao si la reaccin arranca de forma muy temprana. No es necesario caer dos veces en la misma piedra para saber que si hay un obstculo y no lo esquivamos, podemos caer. Por tanto, el SGSI se fundamenta en un despliegue de

termmetros de seguridad distribuidos por toda la organizacin de manera que cuando se superan ciertos niveles salten alarmas que nos pongan manos a la obra a trabajar. Es todo lo contrario de lo que se vena haciendo hasta ahora en seguridad: apagar fuegos.

Los indicadores de seguridad son irrelevantes: La medicin debe servir para cuestionarnos continuamente en base a logs, datos y registros si las medidas de seguridad estn funcionando bien. Hemos visto que es esencial establecer unos objetivos relevantes para la seguridad de la organizacin. Pues igual de crtico es establecer un buen conjunto de indicadores que sirvan para evidenciar que las cosas funcionan y podemos dormir tranquilos. Esta informacin, desde la perspectiva de la gestin, es la ms crtica dado que es la base de la retroalimentacin del sistema, los datos que se utilizan para hacer ajustes. Por tanto, debemos disponer de sensores de diferente naturaleza y con diferentes objetivos: medir la evolucin de la ejecucin del plan, valorar el rendimiento y funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve ms ostil y es necesario modificar la valoracin de las amenazas, etc. Cuando se audita, al revisar el anlisis de riesgos, mirar qu objetivos tiene el SGSI y en qu indicadores se basa ya te puedes hacer una idea de si tienes delante un SGSI real o virtual. Por qu? Muy sencillo, si la informacin utilizada por las actividades de gestin es mala, la propia gestin es mala. Si las decisiones no estn enfocando los verdaderos problemas y no se est vigilando lo que es importante, el ciclo PDCA da vueltas pero no aporta valor a la Organizacin. Tener un SGSI dando vueltas de mejora continua produce beneficios pero si quien tiene el timn del barco no sabe dnde tiene que ir, dificilmente podr lograr llegar a puerto. Sern las incidencias que se vayan registrando las que nos pongan de manifiesto estos hechos pero de nuevo se reacciona en base a fallos, y esa no es la idea principal.

Toda esta reflexin slo tiene un motivo que es hacer ver que tener una organizacin certificada bajo ISO 27001 no va a servir de nada si no creemos en la necesidad de gestionar bien la seguridad de la informacin. Cuando uno se certifica en ISO 9001, se esfuerza por lograr la "calidad de sus servicios/productos". De no lograrlo es posible que la

satisfaccin del cliente no mejore y los resultados de la empresa no crezcan. Estas situaciones se controlan puesto que las cifras de resultados se vigilan continuamente de forma que cualquier fallo en la "calidad" puede ser identificado y se pueden realizar rpidamente ajustes. Pues cuando uno se certifica en ISO 27001 se esfuerza por lograr la "seguridad de la informacin" de sus procesos productivos. De no lograrlo puede suceder que se presente una amenaza importante y que la organizacin no supere el incidente, y por tanto, la empresa no sobreviva. La seguridad slo es vigilada por el SGSI de forma que no hay una segunda oportunidad para hacerlo bien. Si el incidente se presenta y falla por ejemplo el plan de continuidad de negocio, podremos tener unos magnficos procedimientos que no servan para nada y lucir nuestro maravilloso "sello 27001" pero la informacin de la empresa habr desaparecido para siempre. El hombre es un animal inteligente que no debe caer dos veces en la misma piedra. Debera ser suficiente con aprender de los dems pero no tener que sufrirlo en las propias carnes para reaccionar. Cuando trabajaba en Madrid, hice varios cursos de Microsoft y seguridad en la Torre Windsor. Era un edificio gigante con 8 ascensores que se llenaban hasta arriba en las horas puntas. Me pregunto de las ms de trescientas empresas cuantas superaron aquel incidente. Al menos he podido encontrar dos que si hicieron bien los deberes pero 2 de 200 es un buen ratio?. Dada la edad de este blog, aquellos acontecimentos fueron ya comentados en su momento y las reflexiones sobre lo que ocurri, lo que se perdi, los que hicieron bien las cosas y lo que debera hacerse ya han sido publicados. Tal da como hoy, mi director de proyecto de fin de carrera me ofreca participar en un proyecto piloto de la Universidad relacionado con el "Anlisis de los riesgos de seguridad de la Informacin" para la Direccin General de Informtica de la Comunidad Autnoma de la Regin de Murcia. Aquella oferta de trabajo era mi primera actividad profesional tras la finalizacin de la carrera y me puso entre las manos la versin 1.0 de MAGERIT junto con el software desarrollado por Sema Group para dar soporte a la metodologa. El ao 1999 fue, en temas de seguridad, bastante movidito. Todo el mundo iba como loco con las pruebas para superar el ao 2000. Algunas aplicaciones de gestin econmica empezaban la migracin hacia el Euro. Adems, en verano de ese ao se publica el R.D. 994/1999 con las medidas de seguridad para los sistemas automatizados de tratamiento de datos de carcter personal. Aunque este post no pretende ser un resumen de batallas de un abuelo cebolletas, recuerdo que las primeras referencias por aquel entonces en "gestin de la seguridad" venan establecidas por las Guias NIST y los libros conocidos como Rainbow Series de la NSA, en concreto el famoso libro naranja. En aquel momento, los criterios de seguridad de la informacin americanos eran la referencia aunque ya empezaba a ser famosa la norma BS-7799 con las buenas prcticas para la gestin de la seguridad de la informacin. Recuerdo que haba dos visiones enfrentadas donde por un lado, los americanos establecan sus criterios propios para todo lo suyo y por otro, se hablaba de gestin de la seguridad de

la informacin en base al cumplimiento de buenas prcticas. Este mismo choque de enfoques se produca en los criterios de certificacin de productos de seguridad, donde los americanos defendan los TCSEC y los europeos los criterios ITSEC. Finalmente ambos criterios acabaron unificados bajo los "Common Criteria" o ISO 15408. Al finalizar el proyecto con Magerit no tuve ms opcin que desplazarme a Madrid para seguir currando con esa nueva y apasionante disciplina conocida como "anlisis de riesgos de la seguridad de la informacin". Por suerte, tuve la oportunidad de entrar en la empresa Innosec, una empresa dedicada a seguridad informtica donde Gustavo San Felipe, hoy CISO de Acens apost por un profesional con experiencia en anlisis de riesgos dado que eso del diseo de la seguridad basado en el anlisis de riesgos lo vea como algo esencial en el futuro. Era la poca de la venta masiva de firewalls, de los primeros antivirus perimetrales y del inicio de las redes privadas virtuales. Y en medio de tanto cacharro estaba yo por all purulando y dando el folln respecto a lo importante que era escribir polticas de seguridad y el cumplimiento de la LOPD. Fruto de aquella poca son dos artculos en la revista SIC sobre "anlisis de riesgos" e ISO 15408. Posteriormente Innosec fue adquirida por el Grupo Satec y pas a formar parte del departamento de seguridad. All ms de lo mismo. Empresa muy tecnolgica que venda tanto productos como instalacin y configuracin de equipamiento de seguridad pero que me tena como recurso dedicado a los temas burocrticos de la seguridad, el papeleo inutil que eran las polticas, normas y procedimientos. Recuerdo intensamente las discusiones en las comidas sobre la importancia del anlisis de riesgos para el diseo de las necesidades de seguridad aunque era un entorno muy tcnico que no poda entender como poda haber cosas ms importantes que un buen firewall o antivirus. Incluso muchas veces cuando me pona radical y comentaba que algn da las empresas se certificaran en seguridad igual que se haca para la calidad con ISO 9000, me vean como el freaky de las polticas y normas de seguridad que nunca sirven para nada. De aquella poca, muy a mi pesar, me llev puestas tambin algunas certificaciones de producto (CCSA de CheckPoint, TSCE de TrendMicro, MCP de Microsoft). Todo esto transcurri entre el ao 2000 a 2004. En materia de gestin de la seguridad de la informacin, ya estaba publicada ISO 17799:2000 y era una verdadera referencia respecto a qu era necesario considerar cuando se hablaba de "gestin de la seguridad de la informacin". Una vez cansado de hacer ofertas sobre diseo de polticas de seguridad y anlisis de riesgos y tras finalizar un proyecto de diagnstico del cumplimiento de la LOPD para un servicio de salud de una comunidad autnoma, decido que tena que ejercer y bajar a la arena de los proyectos concretos relacionados con lo mio (gestin de la seguridad de la informacin) y un compaero de curso de seguridad me ofrece la oportunidad de dar un paso hacia Murcia y me bajo a Almera a trabajar para una empresa de servicios de una Entidad Financiera que tena tambin un rea de consultora de seguridad de la informacin. El primer trabajo en esta nueva empresa consisti en la realizacin de un anlisis diferencial contra ISO 17799:2000 y el desarrollo de una poltica corporativa de seguridad que sirviera de marco normativo para un conjunto de normas y procedimientos concretos. En esta empresa tambin tuve que currar bastante en materia de LOPD dado que la parte de medidas de seguridad intentbamos cubrirla como actividades integradas dentro de ISO 17799:2000 de la poca. Tambin, casi al final de esta poca, se publica UNE 71502:2004 y me toca entrar ya de lleno en los sistemas de gestin de la seguridad de la informacin. Estuve impartiendo un cursos sobre UNE 71502 y la importancia de esto que

ahora se poda certificar y que era la "gestin de la seguridad de la informacin". Todo esto transcurri entre el ao 2004 a comienzos del 2007. La verdad es que la publicacin de ISO 27001:2005 nos pill por sorpresa a todos, incluido AENOR. Se hablaba de una futura norma internacional certificable pero lo que en aquel momento se conoca es que cada pas trabajara con su propia norma dentro de su esquema interno de certificacin para posteriormente hacer una norma comn e internacional certificable. BS tena su 17799-2, Aenor su UNE 71502 y otros pases las suyas. Sin embargo, en 2005 se publica ISO 27001 que deja claro que debido a la importancia y las necesidades de normativa en esta materia, la norma internacional no poda esperar al 2008 que era para cuando se esperaba. Esto en Espaa ha tenido como consecuencia los guisaguisados de los certificados UNE 71502 e ISO 27001 conviviendo un tiempo, hasta que se ha elaborado ya la UNE-ISO/IEC 27001:2007. Finalmente (la historia ya est acabando), a mediados del 2006 me vuelvo a casa a trabajar en la consultora Firma, Proyectos y Formacin S. L. dedicada en aquel momento a "proteccin de datos" que con mi incorporacin, abre el rea de "seguridad de la informacin". Y desde entonces hasta ahora, todos los proyectos han estado relacionados o bien con partes de un SGSI (sobre todo el anlisis de riesgos, estudios diferenciales ISO 27002 o el desarrollo de marcos normativos de seguridad de la informacin) o bien con la construccin e implantacin de SGSI, siendo actualmente la referencia ms importante la lograda hace un par de aos por la Consejera de Agricultura de la Regin de Murcia, primera Administracin Pblica que logr una certificacin acreditada bajo esquema UKAS. Espero que este breve repaso a estos diez aos de trayectoria profesional hayan servido para pintar unas breves trazas de cmo ha ido evolucionando esto de la "gestin de la seguridad de la informacin" hasta alcanzar ya su cuota de relevancia dentro de las organizaciones. Solo espero y deseo que el ansia y la motivacin que supone "certificarse bajo ISO 27001" no acabe prostituyendo a la propia seguridad de la informacin. Montar la documentacin necesaria para establecer un sistema de gestin de lo que sea es fcil (Slo son necesarios los procedimientos generales que establece todo SG) pero gestionar un SGSI requiere de conocimientos de seguridad de la informacin (si no sabes de aquello que quieres gestionar, dificilmente podrs controlarlo). En prximos das escribir un post sobre "SGSI enfermos desde el diseo" que extracta unas primeras impresiones/conclusiones basadas en mis experiencias de estas ltimas semanas auditando como auditor interno a varias empresas que han montado su propio SGSI. Mis impresiones no son buenas aunque aqu la principal responsabilidad la tienen las entidades de certificacin respecto a su criterio para otorgar o no una certificacin. Yo, como auditor/consultor percibo que las nuevas versiones de ISO 27001:2005 tienen que establecer de forma ms contundente requisitos formales respecto a:

Criterios para que una metodologa de anlisis de riesgos sea correcta, fiable y completa.

Unos mnimos criterios sobre la gestin de la eficacia que hay que hacer para conocer qu y cuanto hay que medir.

Una nueva versin de la ISO 27002:2005 que incorpore nuevos objetivos de control y aglutine o agrupe controles dado que hay reas que tienen relativamente pocos controles y otras que disponen de demasiados.

Por lo que estoy encontrndome al auditar, las cosas ms comunes son:

Metodologas de anlisis de riesgos que suponen lo mismo que sacar el dedo y decidir al azar los principales problemas de seguridad.

SGSI sin objetivos de seguridad o con unos indicadores que no sirven para nada para evaluar el cumplimiento de objetivos

Hacer el anlisis de riesgos de forma exhaustiva y detallada pero no volverlo a mirar ms ni siquiera para elaborar el plan de tratamiento de riesgos

Y estoy seguro que luego muchas empresas lucirn con esplendor su magnfico sello "ISO 27001". De todas formas, aqu creo que es tonto autoengaarse y que el tiempo podr a todo el mundo en su sitio. Quien gestione bien la seguridad evitar o detectar incidentes y no tendr problemas reales con impactos reales. Aquellos que tengan un SG-SGSI (un sistema de gestin para engaar al sistema de gestin de la seguridad de la informacin) tendr unos indicadores preciosos, unos procedimentos cojonudos pero andarn todo el da apagando fuegos y perdiendo datos, cuando no siendo multados por incumplir la LOPD. En este segundo caso, el sello no servir para nada, dado que los incidentes seguirn producindose de igual manera y por tanto, no se beneficiarn de lo que supone una verdadera "gestin de la seguridad de la informacin". No saldrn de la cultura apagafuegos que tradicionalmente vena utilizndose en esta materia y para la que el SGSI se supone que es el mejor antdoto. Ya est en modo borrador la nueva ISO 27033 que es la revisin de la ISO/IEC 180281:2006 destinada a la seguridad de redes de comunicaciones. Y por lo que se anuncia en ISO27001security.com parece que va muy avanzado el proceso de revisin. ISO 27033 pretende ser un complemento exhaustivo para todos los aspectos relacionados con la

seguridad en redes que vienen definidos en ISO 27002. Por ahora ya se encuentran en proceso los siguientes documentos:

ISO/IEC 27033-1: Guidelines for network security (FCD)

ISO/IEC 27033-2: Guidelines for the design and implementation of network security (WD)

ISO/IEC 27033-3: Reference networking scenarios -- Risks, design techniques and control issues (WD)

ISO/IEC 27033-4: Securing communications between networks using security gateways -- Risks, design techniques and control issues (NP)

ISO/IEC 27033-5: Securing Virtual Private Networks -- Risks, design techniques and control issues (NP)

ISO/IEC 27033-6: IP convergence (NP)

A continuacin voy a listar el conjunto de normas publicadas o en proceso de elaboracin de la serie ISO 27000 a fecha 10 de diciembre de 2008. Estos resultados son fruto de una consulta a la Web de ISO.org en relacin al rea de trabajo del Subcomit 27 del JTC 1 - IT Security techniques. El estado de las normas se codifica en base a unos acrnimos que ISO tiene identificados y que son:

1.PWI = Preliminary Work Item - initial feasibility and scoping activities

2.NP = New Proposal (or study period) - formal scoping phase

3.WD = Working Draft (1st WD, 2nd WD etc.) - development phase

4.CD = Committee Draft (1st CD, 2nd CD etc.)- quality control phase

5.FCD = Final Committee Draft - ready for final approval.

6.DIS = Draft International Standard - nearly there. Stage 40.

7.FDIS = Final Draft or Distribution International Standard - just about ready to publish. Stage 50.

8.IS = International Standard - published. Stage 60.

9. Under revisin. Stage 90.

Como podris comprobar en la siguiente relacin de normas, hay bastantes ya en el Stage 40 y 50 lo que indica que pronto pueden ver la luz. La situacin actual del marco internacional de normas ISO 27000 es:

ISO/IEC FCD 27000. Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary. Stage:40.99

ISO/IEC 27001:2005. Information technology -- Security techniques -- Information security management systems -- Requirements. Stage:60.60

ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management. Stage:90.92

ISO/IEC FCD 27003 Information technology -- Information security management system implementation guidance. Stage:40.20

ISO/IEC FCD 27004.2 Information technology -- Security techniques -- Information security management - Measurement. Stage:40.20

ISO/IEC 27005:2008 Information technology -- Security techniques -- Information security risk management. Stage:60.60

ISO/IEC 27006:2007 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Stage:60.60

ISO/IEC WD 27007 Guidelines for Information security management systems auditing. Stage:20.60

ISO/IEC FDIS 27011 Information technology -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. Stage:50.60

ISO/IEC NP 27012 Information technology - Security techniques -- ISM guidelines for e-government services. Stage:10.99

ISO/IEC NP 27032 Guidelines for cybersecurity. Stage:10.99

ISO/IEC NP 27033 Information technology -- IT Network security.Stage:10.99

ISO/IEC CD 27033-1 Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security. Stage:30.60

ISO/IEC WD 27033-2 Information technology -- Security techniques -- IT network security -- Part 2: Guidelines for the design and implementation of network security. Stage:20.60

ISO/IEC WD 27033-3 Information technology -- Security techniques -- IT network security -- Part 3: Reference networking scenarios -- Risks, design techniques and control issues. Stage:20.60

ISO/IEC NP 27033-4 Information technology -- Security techniques -- IT network security -- Part 4: Securing communications between networks using security gateways - Risks, design techniques and control issues. Stage:10.99

ISO/IEC NP 27033-5 Information technology -- Security techniques -- IT network security -- Part 5: Securing Remote Access - Risks, design techniques and control issues. Stage:10.99

ISO/IEC NP 27033-6 Information technology -- Security techniques -- IT network security -- Part 6: Securing communications across networks using Virtual Private Networks (VPNs) - Risks, design techniques and control issues. Stage:10.99

ISO/IEC NP 27033-7 Information technology -- Security techniques -- IT network security -- Part 7: Guidelines for securing (specific networking technology topic heading(s) to be inserted3) -- Risks, design techniques and control issues. Stage:10.99

ISO/IEC NP 27034 Guidelines for application security. Stage:10.99

ISO/IEC NP 27037 Information technology - Security techniques -- on Information security management: Sector to sector interworking and communications for industry and government . Stage:10.99

El detalle de los diferentes escalones dentro de cada nivel o stage lo podis consultar en Stages ISO. Ya he comentado alguna vez que la serie 27000 va a servir como marco normativo para todo lo relacionado con la seguridad de la informacin. Pues bien, hemos de recibir una nueva norma de este marco, "ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002". He dado con ella gracias a ISO 27002.es Tal como aparece en la Web de ISO, su resumen es: ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard. ISO 27799:2008 specifies a set of detailed controls for managing health information security and provides health information security best practice guidelines. By implementing this International Standard, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information. ISO 27799:2008 applies to health information in all its aspects; whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), whatever means are used to store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand, via fax, over computer networks or by post), as the information must always be appropriately protected.

Su estructura es:

Alcance

Referencias (Normativas)

Terminologa

Simbologa

Seguridad de la informacin sanitaria

Objetivos; Seguridad en el gobierno de la informacin; Infomacin sanitara a proteger; Amenazas y vulnerabilidades

Plan de accin prctico para implantar ISO 17799/27002

Taxonoma; Acuerdo de la direccin; establecimiento, operacin, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing

Implicaciones sanitarias de ISO 17799/27002

Poltica de seguridad de la informacin; Organizacin; gestin de activos; RRHH; Fisicos; Comunicaciones; Accesos; Adquisicin; Gestin de Incidentes; Continuidad de negocio; Cumplimiento legal

Annex A: Amenazas

Annex B: Tareas y documentacin de un SGSI

Annex C: Beneficios potenciales y atributos de herramientas

Annex D: Estndares relacionados

La norma tiene stage 60.60 (Publicada) con fecha de 12 de Junio de 2008. Podis adquirirla en ISO 27799:2008 - Health informatics -- Information security management in health using ISO/IEC 27002 Estos movimientos sern tambin continuos en aos prximos dado que es intencin de ISO extender la norma ISO 27002 con contenidos especficos en aquellos sectores que plantean una problemtica especial.

Modelos de "polticas" de seguridad

Publicado por Javier Cao Avellaneda

Va ISO27002.es he podido dar con la Web Open Directory - Computers: Security: Policy: Sample Policies que contiene un buen catlogo de documentos sobre polticas de seguridad. En Gua para la elaboracin del marco normativo de Seguridad ISO 27002 ya coment las diferencias entre Poltica, Norma y Procedimiento aunque en ingles el trmino "policy" suele tener un carcter ms general. Es habitual encontrar "policies" para todo, aunque muchas veces estos documentos tienen el objetivo de establecer regulaciones y por tanto deberan entenderse como normas. Aumenta esta confusin adems que en la norma ISO 27002 aparezca como control en el punto 5.1.1. la famosa "poltica de seguridad de la informacin". En cualquier caso, el catlogo de documentacin contiene una buena recopilacin de diferentes enfoques a la hora de establecer un marco normativo, lo que suele venir bien cuando se anda intentando escribir estas cosas. Como reflexin final, todo documento que intenta ser una poltica, norma o procedimiento tiene que tener un objetivo base "Que pueda ser algo cumplible".No se trata por tanto de hacer algo que quede bien o que sea completo, sino algo que sea real, asumible y cumplido por el rea regulada.

La subcontratacin del riesgo


Publicado por Javier Cao Avellaneda Tena pendiente desde hace unos das elaborar esta entrada. Tras unos comentarios en relacin al post de Joseba Enjuto sobre la caracterizacin de los Servicios TI, quera hablar sobre la " subcontratacin del riesgo". Lo primero que quiero justificar es el titulo. La gestin del riesgo slo permite cuatro decisiones posibles:

Aceptarlo Evitarlo Reducirlo o Transferirlo a un tercero

En general, se suele entender por transferencia del riesgo cuando ste se tiene identificado y se decide que un externo sea quien lo gestione a cambio de cierta contraprestacin: habitualmente puede ser la externalizacin de servicios, la contratacin de seguros, etc. Es habitual, como bien apuntaban en los comentarios de "Seguridad y Gestin" que el trmino para definir este proceso sea la "externalizacin del riesgo" pero ahora voy a justificar un poco por qu prefiero no llamarlo as. Yo concibo la idea de la externalizacin de un riesgo cuando una Organizacin identifica claramente qu necesita y establece una relacin contractual de prestacin de servicios que permite al cliente quedarse tranquilo respecto a cmo va a gestionar el tercero ese riesgo. Para ello, evidentemente, los servicios prestados

por el tercero deberan poder acreditar ciertas garantas respecto a la seguridad con la que van a ser proporcionados. La existencia de unos adecuados "Acuerdos de nivel de servicio" ( o su trmino en ingles Service Level Agreement, SLA) centrados exclusivamente bajo la perspectiva de la seguridad podran ser suficiente garanta. La Organizacin que traslada el riesgo sabe que en caso de problemas, podr arremeter contractualmente contra la empresa a la que transfiere el riesgo siendo recompensada adecuadamente en caso de una gestin no adecuada de ese riesgo. Para ello, aparece el control 6.2.3 de la norma ISO 27002 que indica que "Los acuerdos que comporten el acceso de terceros a recursos de tratamiento de informacin de la Organizacin deben basarse en un contrato formal que tenga o se refiera a todos los requisitos de seguridad que cumplan las polticas y normas de seguridad de la Organizacin." Si atendemos a la gua de implantacin de la norma, que es la forma ms completa de implantar el control, este tipo de ANS o SLA de seguridad deben cubrir cosas como:

1.-La poltica sobre seguridad de la informacin del tercero. 2.-Los controles para asegurar la proteccin de los activos que el tercero tiene implantado, incluyendo: o procedimientos para proteger los activos de la organizacin, incluida la informacin, el software y el hardware. o cualquier control o mecanismo de proteccin fsica requeridos. o controles para asegurar la proteccin contra el software malicioso o procedimientos para determinar si ha ocurrido algn incremento del riesgo de los activos, por ejemplo, prdida o modificacin de informacin, software o hardware; o controles para asegurar la recuperacin o destruccin de la informacin y los activos, al terminar el contrato o en algn momento acordado dentro del periodo de vigencia del contrato; o la confidencialidad, integridad, disponibilidad, y cualquier otra propiedad importante de los activos o restricciones en la copia o revelacin de la informacin; junto con la utilizacin de acuerdos de confidencialidad 3.- Una clara estructura de los informes y de los formatos de informe acordados. 4.- Un proceso especificado y claro de la gestin del cambio. 5.- Disposiciones para informe, notificacin e investigacin de los incidentes de seguridad de la informacin e infracciones de seguridad, as como violaciones de los requisitos establecidos en el acuerdo. 6.- Una descripcin del producto o servicio que se va a proporcionar, y una descripcin de la informacin que se har accesible, con su clasificacin de seguridad. 7.- El nivel objetivo de servicio y los niveles de servicio inaceptables. 8.- La definicin de los criterios de verificacin del comportamiento, su control e informe. 9.- El derecho a controlar, y revocar, cualquier actividad relacionada con los activos de la organizacin. 10.- El derecho de auditar las responsabilidades definidas en el acuerdo, tenindose que llevar a cabo tales auditoras por una tercera parte, y de enumerar las obligaciones y derechos legales de los auditores.

11.- El establecimiento de un procedimiento de escalado para la resolucin de los problemas. 12.- Requisitos de continuidad de servicio, incluyendo las medidas de disponibilidad y fiabilidad, de acuerdo con las prioridades de negocio de la organizacin. 13.- Las responsabilidades respectivas de las partes del contrato. 14.- Las responsabilidades con respecto a temas legales y como se garantiza que se cumplen los requisitos legales, por ejemplo legislacin de proteccin de datos, teniendo en cuenta sobre todo los distintos sistemas legales nacionales si el contrato implica la cooperacin con organizaciones de otros pases. 15.- Etc.

El primer problema con el que nos solemos encontrar en las Organizaciones es que se externalizan servicios pero no se definen, desde la perspectiva de la seguridad, en qu condiciones se transfiere el riesgo. Llegado a estas alturas del texto, cabe pensar si realmente conocis a alguna empresa que "externalice su riesgo" o si en general todas "subcontratan servicios de riesgo" entendiendo por esto segundo, un trmino menos formalizado de dar a un tercero un riesgo. Quiero destacar que el riesgo SI se puede transferir, pero no as la responsabilidad. Por tanto, que las cosas no estn bien definidas, explcitamente documentadas y contractualmente reflejadas solo hace que perdamos "control" sobre nuestro riesgo que adems, no vamos a gestionar nosotros mismos. Depender de cmo entienda e interprete ese tercero el riesgo que asume al prestar el servicio el tipo de garantas que pudiera proporcionarnos en caso de un incidente de seguridad. Y lo que me parece ms preocupante es que la "externalizacin de servicios TI" est muy de moda y si bien tenemos normas como ISO 20000 o ITIL que definen bien cmo debe hacerse este proceso y cmo deben establecerse los SLA y ANS, es importante que los aspectos relacionados con la seguridad queden perfectamente definidos. Es cierto que para los servicios TI el factor ms importante a considerar suele ser la disponibilidad, pero debemos contemplar qu ocurrira si la naturaleza del incidente o error afecta a la integridad o confidencialidad de nuestra informacin. Toda externalizacin supone prdida de control si no se establecen mecanismos de regulacin y seguimiento que permitan aportar evidencias, por parte del externo, de estar haciendo las cosas bien. A esta problemtica general, todava cabra aadir la complejidad que surge cuando se manejan cadenas de subcontratacin. Si la empresa A transfiere un servicio a la empresa B, que a su vez utiliza a las subcontratas C y D para proporcionar el servicio final al cliente A. Si estos eslabones de subcontratacin no estn claramente identificados y bien atados, la empresa A puede ver comprometida su seguridad y no tener muy claro cul ha podido ser la cadena de fallos y por tanto, la cadena de responsabilidades. Y deca al principio que los acontecimientos siempre nos ponen de manifiesto estas reflexiones por el incidente este fin de semana en los hospitales madrileos. El titular de "El Pas" que se hace eco de la noticia es Siete hospitales se quedan seis horas sin sistema informtico. Cuando hacemos el anlisis de riesgos y estamos en la fase de valoracin de activos, siempre usamos una escala denominada "laboral" donde precisamente se tiene en consideracin si un incidente de seguridad puede costar "vidas humanas". Normalmente nuestros entrevistados suelen hacer alguna broma al respecto, pero es cierto que en ciertos

"modelos de negocio", los servicios TI son crticos pudiendo causar la muerte de personas. Adems, el proceso de digitalizacin que tantos beneficios genera y que tan bien venden nuestros polticos en relacin a la atencin sanitaria, tiene requisitos de seguridad que requieren hacer las cosas bien desde el principio. Sin entrar a valorar en concreto estos hechos, dado que no tenemos informacin suficiente que pudiera servir para valorar tcnicamente que ha fallado, las evidencias son un cese de servicios de seis horas, algo posiblemente "intolerable" para un sector sanitario donde mucha informacin se requiere "en tiempo real". Merece la pena destacar frases como "La cada del programa la provoc una bajada de tensin elctrica en la zona de Tres Cantos, donde est el centro tecnolgico que aloja el servidor central de los nuevos hospitales". Un slo servidor para un activo de informacin tan crtico? Ningn plan de contingencia para recuperarse frente a una situacin as en menos de una hora? El blog APISCAM parece proporcionar ms informacin sobre lo sucedido, aunque quizs con una versin menos imparcial (seguramente muy justificada). Parece que toda la gestin informtica hospitalaria est subcontratada y en los diferentes pliegos y concursos se haban contemplado requisitos respecto a la continuidad de servicio. De los hechos se deduce, al menos, un fallo grave en el plan de continuidad de negocio o planes parciales de contingencia. En sistemas de informacin como los del entorno hospitalario, con cada vez ms dependencia de la tecnologa para obtener informacin relativa al diagnstico, hablamos de sistemas crticos que requieren informacin en tiempo real ("Fue el servicio de urgencias el que ms sufri las consecuencias de las demoras. "Tenemos que ir corriendo de un lado para otro para llevar historias, anlisis...", explicaba ayer una enfermera de este departamento del hospital de Vallecas"). Quizs en el pliego las condiciones del servicio pudieran estar bien contempladas, pero para nada se ha garantizado la correcta supervisin de la ejecucin del mismo y el adecuado cumplimiento del ACUERDO DE NIVEL DE SERVICIO. Adems se suma que el supuesto Plan de Contingencias o de Continuidad de Negocio no ha funcionado, dado que la parada de seis horas es excesivo tiempo en el entorno hospitalario si se hubiera hecho el correspondiente BIA (Bussines Impact Analysis). Y por ltimo y como reflexin final, quisiera destacar que el nuevo Reglamento de desarrollo de la Ley 15/1999 de Proteccin de Datos, ha incluido importantes y significativas reformas en torno a la figura del "encargado de tratamiento", que desde la perspectiva de la seguridad van en la lnea de mejorar el control y la externalizacin del riesgo sobre los terceros. Artculo 20. Relaciones entre el responsable y el encargado del tratamiento. 1. El acceso a los datos por parte de un encargado del tratamiento que resulte necesario para la prestacin de un servicio al responsable no se considerar comunicacin de datos, siempre y cuando se cumpla lo establecido en la Ley Orgnica 15/1999, de 13 de diciembre y en el presente captulo. El servicio prestado por el encargado del tratamiento podr tener o no carcter remunerado y ser temporal o indefinido. No obstante, se considerar que existe comunicacin de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vnculo entre quien accede a los datos y el afectado. 2. Cuando el responsable del tratamiento contrate la prestacin de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este captulo deber velar por que el encargado del tratamiento reuna las garantas para el cumplimiento de lo dispuesto en este Reglamento. 3. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere el apartado 2 del artculo 12 de la Ley Orgnica 15/1999, de 13 de diciembre, ser

considerado, tambin, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. No obstante, el encargado del tratamiento no incurrir en responsabilidad cuando, previa indicacin expresa del responsable, comunique los datos a un tercero designado por aqul, al que hubiera encomendado la prestacin de un servicio conforme a lo previsto en el presente captulo. Artculo 21. Posibilidad de subcontratacin de los servicios. 1. El encargado del tratamiento no podr subcontratar con un tercero la realizacin de ningn tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de ste autorizacin para ello. En este caso, la contratacin se efectuar siempre en nombre y por cuenta del responsable del tratamiento. 2. No obstante lo dispuesto en el apartado anterior, ser posible la subcontratacin sin necesidad de autorizacin siempre y cuando se cumplan los siguientes requisitos: 1. Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratacin y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, ser preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratacin. 2. Que el tratamiento de datos de carcter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. 3. Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los trminos previstos en el artculo anterior. En este caso, el subcontratista ser considerado encargado del tratamiento, sindole de aplicacin lo previsto en el artculo 20.3 de este reglamento. 3. Si durante la prestacin del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, debern someterse al responsable del tratamiento los extremos sealados en el apartado anterior. En los aspectos de seguridad del R. D. se tiene: Artculo 82. Encargado del tratamiento. 1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de informacin que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deber hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometindose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. Cuando dicho acceso sea remoto habindose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este ltimo deber hacer constar esta circunstancia en el documento de seguridad del responsable, comprometindose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. 2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deber elaborar un documento de seguridad en los trminos exigidos por el artculo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relacin con dicho tratamiento. 3. En todo caso, el acceso a los datos por el encargado del tratamiento estar sometido a las medidas de seguridad contempladas en este reglamento.

Es de destacar lo apostillado en el artculo 22, donde obliga de alguna manera al responsable de los datos a ejercer como tal y controlar el cumplimiento de sus prestadores en la frase "Cuando el responsable del tratamiento contrate la prestacin de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este captulo deber velar por que el encargado del tratamiento reuna las garantas para el cumplimiento de lo dispuesto en este Reglamento." sobre todo, en lo referente a la seguridad de la informacin. As que de nuevo, el cumplimiento de la proteccin de datos puede ser una buena escuela para hacer las cosas como Dios manda. Est muy bien eso de ceder el marrn a un tercero, pero esa delegacin no exime de responsabilidad. Si eres el que cede o transfiere el riesgo, la adecuada gestin es verificar que ese tercero estar a la altura de las circunstancias y que los servicios que presta, reunen las garantas mnimas necesarias para salvaguardar tus intereses.

Por que de lo contrario, cuando el Responsable de Seguridad vaya a comprobar qu ha pasado, podr encontrarse al Steve Urkel de turno diciendo he sido yo? y la cabeza a cortar ser la que quien contrat un servicio inadecuado.

La importancia del anlisis del riesgo dentro del SGSI


Desde junio de este ao, ya contamos con una nueva norma dentro de la serie ISO 27000. Se trata de quizs, una de las normas ms estructurales de la serie ya que establece un criterio sobre la gestin del riesgo y proporciona un marco normalizado que nos puede ayudar a definir nuestra propia metodologa y que tiene por ttulo ISO/IEC 27005:2008, Information technology -- Security techniques -- Information security risk management. El anlisis del riesgo es crucial para el desarrollo y operacin de un SGSI. Aunque se habla mucho del tema, en esta fase la organizacin debe construir lo que ser su "modelo de seguridad", una representacin de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informticos, etc.) y su mapa de amenazas (una hiptesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organizacin).

Es habitual, dada todava la poca experiencia que existe en empresas sobre la seguridad que el anlisis de riesgos lo realice la consultora externa que apoya en el proceso de implantacin. Sin embargo, es muy importante que la empresa se involucre en esta actividad y entienda cmo se ha realizado este anlisis. Sobre todo porque en el segundo ciclo del SGSI, se debe revisar ste anlisis por si han habido cambios. Por hacer un simil que se entienda, el anlisis de riesgos es como la visita al doctor para que nos identifique una enfermedad. Se realizan una serie de actividades como son: identificacin de activos, identificacin de amenazas, estimacin de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo. Pero ste diagnstico es vlido slo para ese momento puntual en el tiempo. No es algo esttico sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificacin en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing como esta amenaza ha pasado a ser extremadamente frecuente en este ltimo ao). Por tanto, cada ao la organizacin debe replantearse su diagnstico y cuestionarse si tiene nuevos sintomas o si los sintomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua afecta tambin al riesgo ya que si los niveles ms altos se han solucionado, lo lgico es plantearse para el siguiente ao atacar los siguientes. Es curioso adems comprobar como la "gestin del riesgo de la seguridad " empieza a ser vista con buenos ojos por otras reas que se dedican a gestionar el riesgo. Hablo por ejemplo del caso de las entidades financieras que en virtud a Basilea II deben tratar el riesgo operacional. La tecnologa es un riesgo operativo, y en algunas organizaciones el rea de seguridad ha entrado a formar parte de la gerencia de riesgos, as como ahora el rea de seguridad est entrando a formar parte en las empresas del compliance. En este rea nueva, existe un gran inters estudiar y comprender mejor el concepto del riesgo. Yo tengo un especial cario a esta actividad porque fue por la que me introduce en esto de la seguridad hace ya casi diez aos probando la primera versin de MAGERIT. Desde entonces el enfoque y la madurez de esta actividad ha cambiado y mejorado mucho, tratando de huir de la subjetividad de las valoraciones para llegar a un proceso formal, metdico y racional de valoracin del riesgo. Gracias a www.iso27000.es he podido dar con FAIR. Esta aproximacin trata de ofrecer las bases fundamentales del proceso, una descripcin de los conceptos a utilizar, as como un marco para la realizacin de anlisis de riesgos. Es importante sealar que gran parte del marco FAIR puede utilizarse para reforzar, en lugar de sustituir, los procesos de anlisis de riesgos basados en metodologas tan conocidas como OCTAVE, MAGERIT, MEHARI. Esta documentacin se puede descargar en FAIR. La Agencia Europea para la Seguridad de la Informacin (ENISA) dispone en el siguiente enlace de un inventario de las metodologas ms conocidas que existen en torno a este tema que se puede consultar en este enlace. Otra de las cosas ms atractivas de esta actividad, el anlisis y la gestin del riesgo es su faceta psicolgica. El riesgo se define en el diccionario como la proximidad a un dao. Formalmente sera el factor que pondera la vulnerabilidad frente a una amenaza y el impacto que puede ocasionar. Navegando he podido encontrar un texto curioso sobre esa gestin inconsciente que hacemos los humanos del riesgo.

Fuente: Teora de compensacin del riesgo. La causa de esta aparente contradiccin fue desvelada hace ms de veinte aos por varios psiclogos especializados en trfico, especialmente en Canad y en los pases escandinavos, mediante la teora conocida como la Compensacin del riesgo 1. Segn esta teora, cualquier persona situada en un entorno de riesgo adapta su comportamiento a los cambios del nivel de riesgo que percibe. Si detecta un riesgo creciente, actuar de forma ms cautelosa, y si por el contrario detecta un riesgo decreciente, se comportar de un modo ms despreocupado. De este modo compensa los cambios del nivel de riesgo, volviendo a situarse en el nivel de riesgo que considera aceptable, que normalmente es variable para cada persona. En el caso concreto del trfico, ello supone que si los conductores son conscientes de que llevan un coche con ms equipamiento de seguridad, o de que circulan por vas ms seguras, muchos de ellos tendern a utilizar ms el automvil, y sobre todo, a realizar una conduccin ms arriesgada. Estos conductores aprovecharn la reduccin del riesgo que han percibido para satisfacer algn deseo personal: ganar tiempo, practicar una conduccin ms excitante, probar las prestaciones del automvil, etc.. Puede ocurrir que algunos de estos conductores sobrevaloren la reduccin de riesgo que les ofrece un nuevo automvil o una nueva carretera. En tal caso, se puede dar la paradoja de que estos conductores se acaben situando en niveles de riesgo efectivo ms elevados que en la situacin anterior. La influencia de estos grupos de riesgo incrementado puede hacer que, estadsticamente, los resultados globales de seguridad vial no mejoren, aunque la sociedad haya realizado grandes inversiones en viario, o en nuevos automviles. Esto es lo que, en trminos muy generales y orientativos, puede estar pasando en Espaa y en otros pases en los ltimos aos.

Estos hechos podran ser encajados dentro de algunas de las Mximas de Seguridad que

Bruce Schneier ha posteado hace unos das y que tambin ha comentado Sergio Hernando. Me quedo con la misma que se queda Sergio y otra mas: Backwards Maxim: Most people will assume everything is secure until provided strong evidence to the contrary--exactly backwards from a reasonable approach. (la mayora de la gente asumir que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, justo lo contrario de lo que sugiere una aproximacin razonable) Arrogance Maxim: The ease of defeating a security device or system is proportional to how confident/arrogant the designer, manufacturer, or user is about it, and to how often they use words like "impossible" or "tamper-proof". (La facilidad de atacar un dispositivo o sistema de seguridad es proporcional a la confidencialidad/arrogancia del diseador, fabricante o responsable de seguridad y a la frecuencia con la que stos usan palabras como "imposible" or "impenetrable".

Microseguridad y macroseguridad, dos frentes de una misma batalla


Publicado por Javier Cao Avellaneda Paloma Llaneza dispone de una seccin titulada "Aqui un amigo" y he tenido el honor de poder postear algo en ella. Para quien a estas alturas no la conozca, aqui tenis una pequea resea de su intenso curriculum en materia de seguridad:

Abogado en ejercicio, colegiada en Madrid (41.821) y socio de LLaneza y Asociados, Abogados.

Es Auditora de Sistemas de Informacin (CISA) certifcada por ISACA.

Es Coordinadora del GT 1 del Subcomit 27 de AENOR (Comit espejo del internacional de ISO JTC 1/SC 27/WG 1 de gestin de la seguridad TI), donde se estudian y aprueban las normas NE en esta materia. Es tambin Coordinadora del WG6 del SC37, sobre legislacin en materia de biometra. Incorporada desde su consitucin al WG25 sobre ITIL.

Es desde 2004 co-editora de la norma internacional ISO de Mtricas de Seguridad de Gestin de Sistemas de la Informacin (ISO/IEC 27004).

El resto se puede consultar aqu.

El texto que aparece en su seccin es una reflexin en torno a las diferentes perspectivas con las que analizamos la seguridad y que de alguna manera, siendo complementarias, pertenecen a mundos diferentes si nos centramos en los elementos que barajan o gestionan. Hace unos das pude leer en Taosecurity una reflexin entorno a las similitudes que se pueden hacer entre el mundo de la economa y el de la seguridad de la informacin. Esta disciplina divide sus reas de estudio entre la microeconoma y la macroeconoma. El autor del blog comenta cmo este enfoque es tambin vlido para nuestro mundillo de la proteccin de activos.

La microseguridad de la informacin trata los problemas del da a da, la proteccin en cada uno de los frentes tangibles que toda organizacin siempre tiene abiertos: usuarios, comunicaciones, servidores, dispositivos mviles, etc. Por tanto la microeconoma se centra en la tecnologa que utilizamos para solucionar problemas, los controles que implantamos para hacer la seguridad gobernable en cada una de las situaciones o entornos donde encontramos problemas. Son aspectos tcticos y operativos de seguridad, elementos tangibles y slidos que todo el mundo entiende ya necesarios para afrontar el da a da.

La macroseguridad de la informacin trata los problemas globales, la coordinacin y gestin de todas las actividades necesarias para alcanzar los objetivos, la planificacin y diseo de estrategias para lograr tener los riesgos bajo control. Estaramos al nivel del diseo de polticas de seguridad, del establecimiento de relaciones contractuales que garanticen el cumplimiento. La macroseguridad ha adquirido relativa importancia en estos ltimos aos cuando la microseguridad abre tantos frentes que la Organizacin debe tomar decisiones para poder establecer una estrategia basada en la proporcionalidad de las medidas y sobre todo, la gestin del riesgo para el negocio. Por tanto, la macroseguridad es la responsable de hacer que las decisiones y restricciones se encajen dentro de la organizacin y sobre todo, sirvan para garantizar el cumplimiento de los objetivos de negocio y el buen funcionamiento de los procesos productivos.

Desde mis comienzos profesionales siempre me he dedicado, por as decirlo, a la macroseguridad. He convivido en reas y departamentos destinados a la microseguridad y las discusiones eran muy frecuentes siempre cuando cuestionabamos la efectividad real de las medidas. Siempre he creido que sin macroseguridad la microseguridad tiene un efecto limitado y corto en el tiempo porque las amenazas cambian y lo que hoy te protege, maana es un elemento ms de la infraestructura que hay que gestionar. La carencia o falta de criterio a la hora de tomar decisiones sobre qu proteger primero es lo que ha producido que la macroseguridad se defina como disciplina, apareciendo la norma

ISO/IEC 27001:2005 para establecer que los procesos de direccin de la macroseguridad deben estar fundados en la gestin del riesgo y la mejora continua. El ciclo de Demming logra coordinar la microseguridad y la macroseguridad. Establece los controles tangibles que hay que aplicar pero tambin los indicadores o mtricas que deben registrarse para valorar si estn o no funcionando. El artculo completo que referencia a su vez Taosecurity se puede leer en Information Security and Business Integration
Desde iso27000.es lanzan un nuevo proyecto en la URL iso27002.es como ampliacin y complemento para la difusin de la seguridad de la informacin, ahora mediante una plataforma wiki colaborativa. El objetivo de iso27002.es es recoger diferentes propuestas y posibles soluciones prcticas para cada uno de los 133 controles que indica la norma y que aparecen aqu resumidos en formato de ficha prctica. Desde cada control se accede por enlaces directos a otros relacionados y la barra de bsqueda permite localizar rpidamente aquellos relacionados con posibles palabras clave, entre otras ventajas. Tambin se explica con formatos de video y ejemplos prcticos los puntos bsicos claves a considerar en la implantacin de un SGSI en relacin al estndar ISO 27001. La explicaciones recorren un esqueleto de SGSI que ya ha sido utilizado con xito en implantaciones desde tiempos de la BS 7799-2 y en pymes de varios pases. El site permite adems aportar preguntas y respuestas a los usuarios que se den de alta as como informacin completa sobre cada una de las normas de la serie ISO 27000 publicadas hasta el momento. Enlace al wiki disponible en modo lectura en iso27002.es o tambin en iso27000.wik.is para los interesados en iniciar sesin y comentarios como anonimo/anonimo. Adems, Agustn Lopez ISO27000.es ha traducido un excelente artculo de David Brewer, Michael Nash y William List sobre la integracin de un SGSI con otros sistemas de gestin.

Polticas, normas, procedimientos de seguridad y otros documentos de un SGSI


Publicado por Javier Cao Avellaneda

Como resumen al documento que ya indiqu en el post Gua para la elaboracin del marco normativo de Seguridad ISO 27002 en este texto que he redactado para el Blog del INTECO, comento los principales documentos que aparecen en un SGSI.

Cuando se trata de documentar las decisiones y acciones relacionadas con la seguridad de la informacin o la construccin de un SGSI (Sistema de Gestin de la Seguridad de la Informacin), aparecen diferentes tipos de documentos que contribuyen a lograr ese objetivo. En este texto tratar de poner algo de luz en relacin a los diferentes documentos que pueden ser utilizados para tratar de establecer, definir y documentar las necesidades en Seguridad de la Informacin. Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mnimo de responder a tres preguntas: * Qu: objetivo, requisito o regulacin que se quiere satisfacer o cumplir (lo que hay que lograr). * Quin: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible). * Cmo: descripcin de las actividades que darn con la consecucin del objetivo o requisito (lo que haya que hacer para conseguirlo). Las preguntas cundo y dnde muchas veces no tienen por qu ser respondidas aunque suelen ser tratadas en los procedimientos. Basndose en lo anterior, los documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionndose de manera jerrquica unos con otros: * Una poltica de seguridad debe establecer las necesidades y requisitos de proteccin en el mbito de la organizacin y es la gua o marco para la creacin de otro tipo de documento ms detallado que denominamos norma de seguridad. Formalmente describe qu tipo de gestin de la seguridad se pretende lograr y cules son los objetivos perseguidos. Definen qu quiere la organizacin a muy alto nivel, de forma muy genrica, quedando como una declaracin de intenciones sobre la seguridad de la Organizacin. A su vez, una poltica de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, polticas de uso, procedimientos de seguridad e instrucciones tcnicas de trabajo. Vamos a ver en qu consisten cada una de ellas. * Una norma de seguridad define qu hay que proteger y en qu condiciones, pero para situaciones ms concretas. Sirven para establecer unos requisitos que se sustentan en la poltica y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretacin. Se pueden agrupar en base a las diferentes reas de la seguridad dentro de la organizacin: normas de seguridad fsica, normas de control de acceso a sistemas, normas de gestin de soportes, normas de clasificacin de informacin, etc. * Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeo de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecucin. Son, por tanto, la especificacin de una serie de pasos en relacin la ejecucin de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecucin de actividades se considerarn determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecucin. No tiene por qu ser extenso, dado que la intencin del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello,

puede relacionarse con otros procedimientos o con instrucciones tcnicas de seguridad. * Una instruccin tcnica de seguridad determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de informacin (hardware, sistema operativo, aplicacin, datos, usuario, etc.). Al igual que un procedimiento, son la especificacin pormenorizada de los pasos a ejecutar. Una instruccin tcnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos tcnicos necesarios para que la persona que ejecute la instruccin tcnica no tenga que tomar decisiones respecto a la ejecucin de la misma. A mayor nivel de detalle, mayor precisin y garanta de su correcta ejecucin. * Una poltica de uso es un documento destinado a usuarios finales con la intencin de establecer una regulacin especfica sobre la utilizacin de un sistema, tecnologa o recurso. En este caso, deben documentarse las normas de comportamiento que deben cumplir los usuarios en el uso de los sistemas de informacin o los aspectos generales que se desean regular, as como los usos que son considerados autorizados y los usos no aceptables. Lo importante de este conjunto de documentos que forman el marco normativo es, por un lado, documentar de forma clara y concreta las decisiones establecidas por la organizacin en materia de seguridad y, por otro, que sean utilizados por todas las personas de la organizacin para saber qu hacer en cada circunstancia en relacin con la proteccin de la informacin.

Ms informacin sobre ISO 27005:2008


Publicado por Javier Cao Avellaneda

Buscando sobre algo de informacin en torno a la nueva norma he podido hallar una presentacin bastante interesante sobre el contenido de la misma y sus objetivos. Va a ser interesante puesto que fija los cimientos de quizs la actividad ms crtica para garantizar la seguridad de la informacin (que no para lo que supone su gestin). El documento est en francs y descargable en la siguiente direccin. Pensar en aplicar la "mala" filosofa ISO 9001 sobre la ISO 27001 tiene su peligro. Si bien la mala gestin de la calidad tiene consecuencias en la balanza de resultados y buscar la mejora continua tiene una motivacin econmica clara, pensar en gestionar la seguridad slo por poder poner un sello ms es un riesgo mayor. Lo que se puede conseguir con tener una certificacin ISO 27001 que realmente no implique un buen funcionamiento de las medidas de seguridad es disponer de una "sensacin de seguridad" que no se aproxime a la "seguridad real" de la que se disfruta. Es por eso tan importante que en la construccin de SGSI participen profesionales del mundo de la seguridad de la informacin o la seguridad informtica. Son los tcnicos capaces de valorar si las medidas que se estn recomendando son adecuadas, podrn ofrecer alternativas en los planes de manera que se de tanta importancia al proceso de gestin de la seguridad como a la propia "seguridad de la informacin". No es importante que haya un buen plan de seguridad sino que ste funcione y logre sus objetivos. Utilizo la siguiente imagen para explicar las relaciones entre ISO 27001 e ISO 27002 y

tambin para contar las diferencias entre gestionar la seguridad y la propia seguridad.

En la norma ISO 27002, se establecen procesos y procedimientos de seguridad donde se incorporan una serie de medidas sobre los activos. Estas actividades deben generar los registros de seguridad. El correcto funcionamiento del SGSI se basa en que hay ciertos responsables que velan porque los procesos de seguridad estn operativos y dejando registros que permitan posteriormente su evaluacin. Fruto de esa gestin dejan los registros propios del SGSI. Por tanto, si quien gestiona el SGSI va evaluando lo que mantiene y opera la seguridad de los activos va generando, se tiene la certeza de que las medidas estn operativas y sus resultados son los esperados. De esa manera tenemos "seguridad de la informacin" sobre nuestros activos. La labor de gestin del SGSI es velar por el funcionamiento correcto de los procesos de seguridad definidos para proteger a los activos. Reflexiones similares se plantean en los post de los siguientes blogs: - Blog S21Sec. - Mejora continua de un SGSI segn ISO 27001. Esperemos que el efecto pernicioso que tiene ya la ISO 9001, donde se busca la certificacin por el sello y no por los beneficios que produce, no se extienda hacia la ISO 27001, donde obtendramos un reconocimiento a la gestin de la seguridad de la informacin aunque sta no se manifieste. Esperemos tambin que las entidades de certificacin no contribuyan a ello, otorgando el reconocimiento a quien no lo merece.

Publicada la ISO 27005:2008 sobre gestin del riesgo.


Publicado por Javier Cao Avellaneda Hoy quiero dar dos buenas noticias en relacin a la disciplina del anlisis y gestin de riesgos de la seguridad de la informacin. La primera de ellas la anuncia Joseba Enjuto en su blog, donde nos comunica que desde el da 4 de Julio se dispone de la nueva norma ISO 27005:2008,"Information security risk

management". Esta norma ISO/IEC 27005:2008 proporciona directrices para la gestin de riesgos de seguridad de la informacin. Esto apoya los conceptos generales especificados en ISO/IEC 27001 y ha sido diseada para ayudar a la puesta en prctica satisfactoria del anlisis y la gestin del riesgo, fase principal del diseo de todo buen sistema de gestin de la seguridad de la informacin (SGSI). El conocimiento de los conceptos, modelos, procesos y terminologas descritas en ISO/IEC 27001 e ISO/IEC 27002 es importante para lograr el entendimiento completo de la ISO/IEC 27005:2008. ISO/IEC 27005:2008 es aplicable a todos los tipos de organizaciones (p.ej. sociedades mercantiles, administraciones pblicas, organizaciones no lucrativas) que tengan la intencin de manejar los riesgos que podran comprometer la seguridad de la informacin de la organizacin. Esta norma actualiza a la antigua ISO 13335, partes 3 y 4.

La segunda tiene como origen la publicacin de ordenes ministeriales en relacin a algunos de los conceptos que aparecen en la legislacin vinculada a la Administracin Electrnica. La seguridad de la informacin es un pilar bsico de este tipo de infraestructuras y as lo ordenan las diferentes ordenes ministeriales y decretos que se estn promulgando. La legislacin suele pecar de ambigua a la hora de hablar de seguridad. En general se vena diciendo que los procesos telemticos deben garantizar la disponibilidad, integridad y confidencialidad de la informacin, sin establecer mnimos (A excepcin de la legislacin en materia de proteccin de datos de carcter personal que lo regula va reglamentaria). Como mucho aparece que las medidas de seguridad sern proporcionales a los "riesgos y el estado de la tecnologa". Pues bien, he hallado una nueva redaccin a estos requisitos en la Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la disposicin final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemticas, as como la utilizacin de medios telemticos para la sustitucin de la aportacin de certificados por los ciudadanos y en la ORDEN PRE/3949/2006, de 26 de diciembre,por la que se establece la configuracin, caractersticas, requisitos y procedimientos de acceso al Sistema de Verificacin de Datos de Identidad donde para determinar la seguridad de la informacin necesaria aparece el siguiente texto:

Adopcin de las medidas de seguridad, organizativas o tcnicas, de los dispositivos y aplicaciones de registro, notificacin y de la prestacin del servicio de direccin electrnica nica. 1. Con carcter general se aplicarn a los dispositivos y aplicaciones de registro, notificacin y de la prestacin del servicio de direccin electrnica nica las medidas de seguridad, conservacin y normalizacin que se detallan en los Criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas para el ejercicio de potestades aprobados por el Consejo Superior de Informtica y para el impulso de la Administracin Electrnica y accesibles en su sitio web. Dichas medidas de seguridad, conservacin y normalizacin vendrn determinadas por el resultado del anlisis y gestin de riesgos que se realice, recomendndose a estos efectos la utilizacin de la metodologa Magerit. 2. Lo dispuesto en esta Orden Ministerial se aplicar en todo caso de conformidad con lo previsto en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y dems normativa aplicable en esta materia.

Lo significativo que merece ser destacado es la exigencia de la realizacin de un anlisis y gestin de riesgos previo a determinar las medidas de seguridad necesarias y adems, establecido mediante una Orden Ministerial. Me inici en esto de la seguridad de la informacin ya hace casi 10 aos justo en un proyecto piloto de valoracin de la metodologa MAGERIT (En aquella poca, versin 1.0) y aunque siempre he considerado, pese a detractores, que el anlisis y gestin de los riesgos es el criterio de diseo del conjunto de medidas, el reconocimiento que realiza esta nueva redaccin de los requisitos de seguridad va a forzar a las instituciones a pasar forzosamente por el proceso. Se discute mucho sobre la rigurosidad de esta disciplina, basada en estimaciones y valoraciones subjetivas pero lo importante al final es que obliga a determinar qu elementos son importantes, cual es su valor y qu podra pasarles respecto a potenciales incidentes de seguridad. Este mnimo ejercicio de reflexin es necesario para que la seguridad no se base en la percepcin del riesgo. Debe ocurrir que la sensacin de seguridad sea igual que la seguridad real de la que se dispone. En cuanto a la metodologa MAGERIT 2.0, no creo que se diferencie en su esencia de lo contenido en esta norma ISO 27005:2008 porque bsicamente todo anlisis y gestin de riesgos pasa por las siguientes fases: Fase de anlisis de riesgos:

Determinacin de activos

Determinacin de amenazas

Estimacin de impactos

Estimacin de vulnerabilidad de las amenazas sobre los activos

Clculo del nivel de riesgo.

Fase de gestin de riesgos:

Determinacin de los criterios de aceptacin del riesgo

Determinacin de las medidas de seguridad necesarias

Estimacin del nivel de riesgo residual

La documentacin de MAGERIT 2.0 puede obtenerse en el Consejo Superior de Informtica en la siguiente ficha descriptiva y en la propia pgina del Centro Nacional de Inteligencia en la url http://www.ccn.cni.es/series.html hay un documento titulado CCN-STIC-410 Anlisis de Riesgos Sistemas de la Administracin v1.0.pdf con un ejemplo de su aplicacin. Enlaces a esta entrada Etiquetas: serie iso 27000 1 comentarios 29/04/08

Situacin actual de la serie 27000


Publicado por Javier Cao Avellaneda

La semana pasada tuvo lugar en Kyoto una reunin del Subcomit 27 de ISO para seguir avanzando en la elaboracin de estandares de la serie 27000. En concreto el listado actual de normas que se encuentran en desarrollo y finalizadas son:

ISO/IEC 27000 - proporcionar una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.

ISO/IEC 27001:2005 - Especificaciones para la creacin de un sistema de gestin de la seguridad de la informacin (SGSI).Publicada en 2005.

ISO/IEC 27002:2005 - Cdigo de buenas prcticas para la gestin de la seguridad de la informacin describe el conjunto de objetivos de control y controles a utilizar en la construccin de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005).Publicada en 2005 y renombrada en 2007.

ISO/IEC 27003 proporcionar una gua de implantacin de la norma ISO/IEC 27001.

ISO/IEC 27004 describir los criterios de medicin y gestin para lograr la mejora continua y la eficacia de los SGSI.

ISO/IEC 27005 proporcionar criterios generales para la realizacin de anlisis y gestin de riesgos en materia de seguridad. Se espera su publicacin en breve a lo largo del ao.

ISO/IEC 27006:2007 es una gua para el proceso de acreditacin de las entidades de certificacin de los SGSI. Publicada en 2007.

ISO/IEC 27007 ser una gua para auditar SGSI.

ISO/IEC TR 27008 proporcionar una gua para auditar los controles de seguridad de la norma ISO 27002:2005.

ISO/IEC 27010 proporcionar una gua especfica para el sector de las comunicaciones y sistemas de interconexin de redes de industrias y Administraciones, a travs de un conjunto de normas ms detalladas que comenzarn a partir de la ISO/IEC 27011.

ISO/IEC 27011 ser una gua para la gestin de la seguridad en telecomunicaciones (conocida tambin como X.1051)

ISO/IEC 27031 estar centrada en la continuidad de negocio ISO/IEC 27032 ser una gua para la cyberseguridad.

ISO/IEC 27033 sustituir a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.

ISO/IEC 27034 proporcionar guas para la seguridad en el desarrollo de aplicaciones.

ISO/IEC 27799 no ser estrictamente una parte de la serie ISO 27000 aunque proporcionar una gua para el desarrollo de SGSI para el sector especfico de la salud.

Gary Hinson resume en un formato Mind Maps informaciones y comentarios sobre la ltima reunin del SC27 de ISO en Kyoto, donde ha participado como representante de Nueva Zelanda. Enlaces a esta entrada

Etiquetas: serie iso 27000 1 comentarios 02/04/08

Poltica de uso de Internet


Publicado por Javier Cao Avellaneda Al hilo del post que Sergio Hernando publica hoy "Acceso a Internet por parte de los empleados: ventajas, riesgos y amenazas", voy a comentar un documento con el que he dado hace pocos das y que me parece interesante referenciar. El texto se encuentra en el enlace How to write an Acceptable Use Policy (AUP) y ha sido generado por la empresa SurfControl. Lo que merece la pena destacar del documento es que, previo a un razonamiento de por qu es necesario este tipo de polticas internas, indica los aspectos ms interesantes que toda buena poltica de uso debe contemplar, tanto desde el punto de vista de la redaccin como en los apartados que debe contener. Aunque ya coment en el documento Gua para la elaboracin del marco normativo de Seguridad ISO 27002 cual es la funcin de las polticas de uso y cmo encajan dentro del marco general de documentos SGSI, el texto que hoy me ocupa se centra en concreto en la poltica de uso de Internet. Los objetivos de un documento as son:

Clarificar la posicin de la empresa respecto al uso de Internet

Proteger a la organizacin de los abusos internos justificando acciones disciplinarias

Concienciar y formar al personal sobre las amenazas que pueden presentarse a travs de Internet.

Fomentar el uso correcto y eficaz de los recursos de la empresa>/li>

Las claves del xito en la redaccin estn en:

Ser claro en la redaccin

Consensuar una posicin de la empresa

Definir expresamente lo que se consideran usos aceptables y tiempos de uso razonables

Establecer qu se consideran activos a proteger de la organizacin y cmo el empleado puede contribuir a ello

Definir responsabilidades y consecuencias del incumplimiento de la poltica

El documento no tiene desperdicio y por tanto, os recomiendo su lectura para profundizar ms. Enlaces a esta entrada Etiquetas: Cumplimiento normativo, ISO 27002 1 comentarios 18/03/08

El modelo humano de gestin del riesgo


Publicado por Javier Cao Avellaneda Leo en el blog de Schneier este mes un interesante artculo sobre cmo el ser humano gestiona de manera innata el riesgo. El primero de ellos, reflexiona sobre el riesgo que supone conocer el riesgo valga la redundancia. El artculo entero puede leerse en Schneier on Security: Risk of Knowing Too Much About Risk y merece la pena destacar que las personas que ms creen controlar o conocer los riesgos pueden cometer errores o tomar decisiones no adecuadas basadas en una confianza o conocimiento de la situacin que puede no ser tal. El miedo es una fuerza poderosa y con temor la toma de decisiones puede producir resultados nefastos.Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:

La primera es intuitiva, emocional y basada en la experiencia. Tratamos de mitigar aquello que tememos o que no podemos controlar, basados tanto en la experiencia como en la intuicin de lo que puede pasar. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un anlisis objetivo del riesgo potencial.

La segunda forma en mediante el anlisis de riesgos: la utilizacin de probabilidad y estadstica para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reaccin intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisin final.

Lamentablemente para nosotros el anlisis de riesgos no es la parte que gana. La intuicin o el miedo pueden abrumar fcilmente a la parte analtica, especialmente cuando nuestro cerebro en situaciones de miedo recupera imgenes grabadas en la memoria sobre catstrofes, accidentes o experiencias desagradables que quedan ms fcilmente almacenadas por la memoria emocional.

Para reflejar este hecho, se realiz un estudio sobre las causas con mayores probabilidades de muerte que representa la imagen superior. El tamao de cada crculo representa el riesgo relativo de morir por la causa enumerada. Una de cada cinco muertes es por enfermedades del corazn. El infarto cerebral es un crculo alrededor de un tamao cinco veces menor que la enfermedad de corazn. Los crculos ms pequeos siguen documentando otras causas de muerte ms raras y menos frecuentes. El crculo ms pequeo en este mapa es la muerte de accidentes con fuegos artificiales, un destino sufrido por una de cada 350000 personas, representado por unos pocos pxeles en la pantalla. Nuestro cerebro empieza a ignorar los riesgo que son solo so, dificiles de ver o comprender. Pero lo importante es que aunque nuestro cerebro los ignore, siguen estando ah, con su probabilidad intacta y por tanto, deben ser tambin gestionados. Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios

28/02/08

Gua para la elaboracin de los procedimientos y registros establecidos en el nuevo reglamento 1720/2007 de proteccin de datos
Publicado por Javier Cao Avellaneda Firma, Proyectos y Formacin ha elaborado un documento donde se recopilan los contenidos mnimos que deben incluir los procedimientos y registros establecidos en Ttulo VIII del nuevo Real Decreto 1720/2007. Para ello hemos analizado los requisitos que establece cada una de las medidas, teniendo en cuenta las aplicables al tratamiento tanto automatizado como manual, seleccionando todas aquellas que requieren la elaboracin de algn tipo de documento e identificando los contenidos mnimos de cada una de ellas. A la hora de establecer y documentar los procedimientos hay que tener en cuenta siempre que deben ser eficaces y ajustarse al estado de implantacin en la empresa, dado que es la informacin utilizada para la revisin del cumplimiento. El documento puede ser obtenido aqu Enlaces a esta entrada Etiquetas: Cumplimiento normativo 0 comentarios 20/02/08

Aproximacin prctica a la gestin del riesgo


Publicado por Javier Cao Avellaneda De nuevo la gente de Infosecwriters.com han elaborado un excelente documento sobre la gestin del riesgo. Para aquellos que no tengan claro cmo documentar la metodologa de anlisis y gestin del riesgo y mientras la norma ISO 27005 (que est en fase de desarrollo con fecha prevista de publicacin en Mayo de 2008) no aparezca en escena, este documento puede ser una buena referencia. El documento puede ser descargado en A Practical Approach to Managing Information System Risk La norma ISO 27005 consistir en una gua de tcnicas para la gestin del riesgo de la seguridad de la informacin y servir, por tanto, de apoyo a la ISO27001 y a la implantacin de un SGSIy recoger partes de ISO/IEC TR 13335. Disponemos tambin de un par de normas ya elaboradas en este tema:

Risk Management, AZ/NZS 4360:2004

Guidelines for Information Security Risk Management, BS 7799-3:2006

AZ/NZS 4360:2004 En 1999 australianos y neozelandeses publicaron en forma conjunta un estndar para la caracterizacin de un proceso de gestin de riesgos (AS/NZS 4360:1999). A travs de una norma reducida en extensin, con diagramas que gradualmente expanden sus niveles a medida que nos adentramos en las definiciones y apoyada por un generoso manual explicativo, no tard en ser adoptada por varias empresas de diversas industrias. Tras su primer ciclo de revisin, la versin ms reciente data de 2004 y conforma un paquete completo que incluye el manual de apoyo (HB 436:2004). Guidelines for Information Security Risk Management, BS 7799-3:2006 En Mayo del ao 2006, BSI present BS 7799-3:2006 (). La tercera parte de su norma BS 7799, que es el origen de la familia ISO/IEC 27000. En ella describe los aspectos mnimos que debe considerar un Proceso de Gestin de Riesgos de Informacin. Si bien, esto viene a aliviar un poco a los Implantadores ms puristas, no es menos cierto que es una primera versin y como tal adolece de los males de los estrenos. Es necesario revisar la estructura, la distribucin de los contenidos y la profundidad de los ejemplos. Es muy valorable la inclusin de ejemplos para graficar todos aquellos aspectos que podran generar dudas. Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios

Nuevo diseo del Blog


Publicado por Javier Cao Avellaneda Este post es para anunciar cambios en la plantilla de diseo del blog y la inclusin de nuevas secciones con enlaces a otras Webs y blogs dedicados al mundillo de los sistemas de gestin de la seguridad de la informacin. Si alguno considera que dispone de una pgina que pudiera ser interesante apuntar en la seccin de links que me lo haga llegar a travs de los comentarios. Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios 18/01/08

Gua para la elaboracin del marco normativo de Seguridad ISO 27002.


Publicado por Javier Cao Avellaneda Durante mi trabajo suelen siempre repetirse siempre las mismas preguntas entorno al desarrollo de normas, procedimientos y dems documentos relacionados con la construccin e implantacin de sistemas de gestin de seguridad de la informacin certificables con la norma ISO 27001. Este tipo de proyectos requieren de un esfuerzo por parte de la Organizacin por formalizar y definir las actividades relacionadas con la gestin de la seguridad para dar cumplimiento a los diferentes controles de la norma ISO 27002. Para ello, se hace imprescindible establecer un marco normativo en materia de seguridad de la informacin, que defina y establezca los criterios y medidas que se desean garantizar y cumplir. Debido a la ausencia de criterios formales para establecer este tipo de jerarqua de documentacin, he considerado interesante contribuir con la elaboracin de un texto que ayude a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos. Est basado en un criterio de mximos donde se describe lo que sera deseable que la documentacin tuviera, respecto a apartados y modo de redaccin. Evidentemente, la norma ISO 27001 no entra a establecer contenidos mnimos pero si requisitos de la documentacin y registros en su apartado 4.3 . Para muchos esta recomendacin puede resultar en algunos casos excesiva. Como siempre, eso depende del tipo de organizacin y de su "cultura" interna. Lo ms importante, ante todo, es que las normas, procedimientos e instrucciones se utilicen. En cualquier caso, el presente documento es solamente una propuesta tcnica aunque para ello he utilizado varios libros que compr en su momento como bibliografa bsica al respecto y que son:

Made policies are easy de Charles Cresson Wood.

Writing Information Security Policies de Scott Barman.

Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management de Thomas R. Peltier

El documento est colgado en la Web de Firma, Proyectos y Formacin S.L. porque ha sido liberado bajo licencia Creative Common.

Enlaces a esta entrada Etiquetas: ISO 27001, ISO 27002 6 comentarios 07/01/08

Pronsticos del 2008


Publicado por Javier Cao Avellaneda Como viene siendo tradicin de este blog cada comienzo de ao, toca tratar de vaticinar cules van a ser los problemas que este ao nos van a llevar de cabeza. Los ltimos das del ao, el grupo Google ISO27001security.com ha estado tambien tratando la cuestin y el grupo coordinado por Gary Hinson han elaborado un documento titulado "los principales riesgos en seguridad de la informacin para el 2008" que puede ser descargado en ingles en la siguiente direccin. El documento est licenciado bajo Creative Common y es bastante completo, identificando los diferentes elementos de seguridad que determinarn los riesgos del 2008, como son: - principales amenazas - principales vulnerabilidades - principales impactos Con todo ello, se determinan cuales podrn ser los riesgos a mitigar este 2008. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 10/12/07

La Consejera de Agricultura de Murcia, primera entidad pblica de la Administracin espaola en conseguir la certificacin ISO 27001
Publicado por Javier Cao Avellaneda Como ya haba comentado en un post anterior, Firma, Proyectos y Formacin S.L. ha trabajado durante este ltimo ao en un proyecto relacionado con la implantacin de un sistema de gestin de seguridad de la informacin certificable con la norma ISO 27001 en una Administracin Pblica. Evidentemente hemos tenido que esperar a que el citado organismo lo diera a conocer para poder indicar quin y qu ha logrado. En concreto, ha sido la Consejera de Agricultura y Agua de la Comunidad Autnoma de

Murcia la que ha conseguido certificar bajo la norma ISO 27001 el sistema de informacin de apoyo a los procesos de gestin de ayudas FEADER y FEAGA. Para quien no est familiarizado, los fondos europeos de financiacin se gestionan mediante los llamados "Organismos Pagadores". Existen en cada comunidad autnoma y stos a su vez son coordinados por el Ministerio de Agricultura y Pesca. La Unin Europea establece reglamentos donde define una serie de requisitos a satisfacer, tanto para la concesin de ayudas como para la gestin de los Organismos Pagadores. Existe desde el ao 97, una directriz que exige garantizar la seguridad de la informacin, en concreto, la Directriz VI/661/97 rev. 2 CE sobre la Seguridad de la Informacin de los Sistemas de Informacin de los Organismos Pagadores. Esta directriz establece que los organismos pagadores debern basar la seguridad de sus sistemas de informacin en los criterios establecidos en una versin aplicable de una de las normas siguientes, que gozan de aceptacin internacional:

Organizacin Internacional de Normalizacin 17799/Norma britnica 7799: Code of practice for Information Security Management (ISO/IEC 27002)

Bundesamt fuer Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch (IT Protection Manual).

Information Systems Audit and Control Foundation: objetivos de control en el mbito de la informacin y las tecnologas afines (COBIT).

Tambin se establece en la citada directriz que: "Las medidas de seguridad debern estar adaptadas a la estructura administrativa, al personal y al entorno tecnolgico de cada uno de los organismos pagadores. El esfuerzo financiero y tecnolgico deber ser proporcional a los riesgos reales existentes." Dado que esto ltimo implica seleccionar los controles de cualquiera de las normas sugeridas en base al nivel de riesgo, lo ms adecuado para la Consejera de Agricultura y Agua de la Comunidad Autnoma de la Regin de Murcia ha sido establecer un Sistema de gestin de la seguridad de la informacin sobre el sistema de informacin de apoyo a los procesos de gestin de ayudas FEADER y FEAGA y certificarlo segn la norma ISO 27001. A ste mrito se suma adems, el tratarse de la primera Administracin Pblica que obtiene esta certificacin ISO/IEC 27001. La entidad de certificacin ha sido SGS acreditado bajo esquema UKAS. La nota de prensa publicada puede ser consultada en CARM.es - La Consejera de

Agricultura es la primera entidad pblica de la Administracin espaola que consigue la certificacin ISO de seguridad Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 04/12/07

Publicada por AENOR la UNE-ISO/IEC 27001:2007


Publicado por Javier Cao Avellaneda Paloma Llaneza anuncia en su blog Palomallaneza.com que con fecha de 29 de noviembre ha sido publicada la adecuacin de la norma 27001 al castellano titulada UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos. Era algo deseado por todos que estabamos esperando que se resolvieran las diferentes cuestiones que han tenido retrasada esta norma de manera tan injustificada. La traduccin se coordina por comits y seguramente no ha gozado de la prioridad necesaria pero ya hace casi dos aos y medio que se public la ISO 27001 en ingles. En este boletn de AENOR se informa tambin de las empresas espaolas que han obtenido la certificacin UNE 71502 hasta la fecha, que segn creo, no es una certificacin acreditada todava bajo el esquema ENAC. Enlaces a esta entrada Etiquetas: ISO 27001 2 comentarios 27/11/07

Mtricas y guias de implantacin sobre la ISO 27001.


Publicado por Javier Cao Avellaneda En una labor encomiable de Javier Ruiz Spohr y Agustn Lopez Neira, de ISO27000.es similar a las que nos vienen mal acostumbrando en su portal, hoy quiero dar a conocer la traduccin al castellano del documento elaborado por Gary Hinson para la web ISO27000security.com sobre mtricas y gua de implantacin de controles de la norma ISO 27001(Anexo A). El documento podis descargarlo en el portal ISO27000.es o desde este enlace. Es de gran ayuda disponer de recomendaciones sobre cmo medir para plantearse cmo resolver una situacin o implantar un control. Como consultor el tema de la medicin es uno de los que ms quebraderos de cabeza genera en el proceso de certificacin ISO 27001,

quizs por su importancia dado que el buen funcionamiento del SGSI debe valorarse en base al cumplimiento de objetivos y para ello, es crtico medir bien. El mes pasado nuestro primer cliente ha logrado obtener su certificado ISO 27001, hecho que nos llena de satisfacin por el trabajo de consultora bien realizado y por ser un proyecto pionero al tratarse, segn parece, de la primera Administracin Pblica que obtiene una certificacin ISO 27001. Tambin comentar que el proyecto ha sido bonito principalmente porque el alcance era extenso y horizontal para toda la organizacin, con unas doscientas personas involucradas en los procesos administrativos de tramitacin que han sido objeto de certificacin. Tras un ao y medio de proyecto y superar algunas dificultades, el cliente ha superado con xito el proceso de auditora y ya solo queda esperar la tramitacin del expediente de certificacin. De esta forma, Firma, Proyectos y Formacin S.L. , una consultora modesta de la Regin de Murcia se suma al resto de consultoras que ya han logrado una certificacin ISO 27001. En nuestro caso adems, tambin destacar que por necesidades del cliente, han sido ellos los primeros en lograr el sello aunque en Firma estamos tambin trabajando para pronto lograr el reconocimiento de la gestin de la seguridad sobre nuestros servicios de consultora. En estos temas, es necesario predicar con el ejemplo, aunquen en nuestro caso, nuestro cliente es nuestra mejor referencia. Tambin comentar que a travs del Grupo de Google "http://groups.google.es/group/Seguridad-de-la-informacion" se estn compartiendo y comentando diferentes enfoques o dudas respecto al proceso de certificacin por el que todos tenemos que pasar y sobre el cual algunos ya tenemos experiencia, tanto como Auditor provisional IRCA 27001 como consultor que ha vivido en primera persona el proceso de certificacin. Quien quiera participar o colaborar puede suscribirse, es un foro abierto sin restricciones salvo respectar las normas de educacin de todo foro. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 21/11/07

Publicada la segunda parte de la norma BS 25999.


Publicado por Javier Cao Avellaneda Javier Ruiz Spohr ha comentado hoy en el grupo ISO2000security que ya ha sido publicada la norma BS 25999-2. Para quien no ubique esta norma, es la segunda parte de la norma BS 25999 y ambas estn relacionadas con la gestin de la continuidad de negocio. He encontrado bastante informacin la Web http://www.bs25999.com/ donde se comentan

las dos partes de esta norma que puede ser adquirida en la tienda del BSI. Coincide tambin que ayer, en la II Jornada Internacional del ISMS, el Bussiness Continuity Institute (BCI) reparti en castellano el manual en buenas de prcticas en gestin de continuidad de negocio. Un tema muy vivo del que seguro que pronto tambin surge la necesidad de una normalizacin y estandarizacin, sobre todo, si la Comisin Europea se est planteado cmo garantizar la continuidad de negocio de las denominadas "infraestructuras crticas". Enlaces a esta entrada Etiquetas: Continuidad de negocio, serie iso 27000 0 comentarios 11/10/07

Repositorio documental sobre ISO 27001


Publicado por Javier Cao Avellaneda Hoy quiero comentar una muy buena fuente de informacin relacionada con la implantacin de SGSI. La Web http://www.iso27001security.com/ dispone de interesantes apartados y publica de manera regular documentacin muy prctica para quienes estis en el proceso de construccin de un SGSI que puede servir de gran orientacin.

En concreto, el apartado FREE DOCUMENTS contiene modelos y documentos como: Documentos del marco de gestin SGSI

Ejemplo de declaracin de aplicabilidad

Ejemplo de norma de uso del correo electrnico

Procedimiento de accin correctiva

Procedimiento de auditora interna

Un posible organigrama de seguridad con sus funciones y responsabilidades

Documentacin propia de un SGSI

Checklist sobre los documentos que pueden formar un SGSI

Listado de posibles mtricas sobre controles

Toda esta documentacin est licenciada bajo Creative Commons AttributionNoncommercial-Share Alike 3.0. y accesible desde este enlace. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 26/09/07

IS2ME, Seguridad de la Informacin a la Mediana Empresa


Publicado por Javier Cao Avellaneda A continuacin presento una metodologa espaola, desarrollada por Samuel Linares e Ignacio Paredes, para ayudar a implantar la ISO 27001 en la pequea y mediana empresa. Como indica en la propia Web de ISME. "Surge como solucin y aproximacin para el camino a seguir hacia la implementacin de la seguridad de la informacin en empresas cuyo modelo de seguridad an no es maduro y desean acometer la labor de implantacin de la seguridad de la informacin y de su sistema de gestin asociado de una forma eficiente, eficaz y prctica, de forma que permita disminuir el riesgo de la organizacin a corto plazo a la vez que se inicie el camino hacia

el cumplimiento de los estndares deseados. IS2ME persigue tambin un objetivo social ambicioso: el acercamiento de la seguridad de la informacin a las medianas (y pequeas) empresas, fomentando as su penetracin en la cultura organizacional del tejido empresarial existente y disminuyendo en general el nivel de riesgo asumido por las organizaciones, aumentando con ello su valor y rentabilidad y elevando, por tanto, el nivel econmico de la mayora de las empresas existentes en la actualidad." Podis descargar la metodologa en formato PDF en el siguiente enlace. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios 03/09/07

ISO 27001 e ISO 27002 en castellano


Publicado por Javier Cao Avellaneda Por empezar fuerte el curso hoy quiero compartir un enlace de gran interes para los dedicados al mundillo de la gestin de la seguridad entorno a la norma ISO 27001. Dentro de mis protocolos de seguimiento de las normas 27001, 27002 y las publicaciones o comentarios entorno a ella utilizando las alertas de Google, hoy quiero compartir un par de enlaces que proporciona en un documento PDF una traduccin no ofical al castellano de las normas ISO 27001 e ISO 27002. Aunque los enlaces no aparecen refereciados en ninguna pgina principal de esta Web, Google la enlaza al buscar sobre controles de la ISO 27002. Dado que puede ser de inters para el pblico hispanohablante disponer de una versin en nuestro idioma, comparto la url que Google proporciona por si es del inters de todos. Ambos documentos aclaran que su uso es autorizado slo para fines didcticos, objetivo que comparte tambin este blog. Las urls donde se encuentran son:

ISO 27001 en espaol.

ISO 27002 en espaol.

Enlaces a esta entrada

Etiquetas: ISO 27001, ISO 27002 23 comentarios 19/07/07

Muere ISO 17799:2005 y nace ISO 27002:2005


Publicado por Javier Cao Avellaneda Aparece en el blog de Paloma Llaneza la noticia de que se ha producido ya el renombrado de la ISO 17799 por otro nmero dentro de la serie 27000. El post original puede leerse en palomallaneza.com - La 17799 ha muerto. Enlaces a esta entrada

ISO 27001 e ISO 27004


Publicado por Javier Cao Avellaneda

Alejandro Corletti vuelve a publicar un PDF para su libre descarga sobre la ISO 27001 y la 27004. En el comenta como van a encajar la gestin de la mejora de la seguridad en base a los requisitos de medicin y valoracin de los resultados obtenidos tras la fase de tratamiento de riesgo. Segn su autor; "Se trata de la forma en que se deben realizar las mediciones sobre el estndar ISO 27001. En este artculo se presenta una introduccin, una descripcin del borrador ISO 27004 y las conclusiones de lo que permite el trabajo entre ambos. Es importante considerar esta norma a la hora de comenzar a disear un SGSI, pues es la forma de determinar qu puedo o no medir" El documento se puede descargar en ISO 27001-ISO 27004. Enlaces a esta entrada Etiquetas: ISO 27001, ISO 27004 2 comentarios
05/02/07

ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems
Publicado por Javier Cao Avellaneda

Leo va ISO 27000.es que a mediados de este ao va a publicarse la norma ISO 27006, "Requirements for bodies providing audit and certification of information security management systems" que permitir la acreditacin de los organismos que estn

certificando sistemas de gestin de seguridad de la informacin. Con esta norma, ENAC ya podr acreditar en Espaa a los diferentes certificadores y dar as un impulso ms a este proceso obteniendo una certificacin acreditada bajo el esquema de acreditacin espaol. Esto supone la definicin clara de los requisitos que deben satisfacer los organismos certificadores, que posteriormente son quienes otorgan el sello ISO 27001 a las instituciones y empresas que solicitan el proceso de certificacin. Por confirmar esta noticia, he recurrido a las dos Webs donde puede uno mantenerse al da entorno a las novedades en cuestin de normas de seguridad. En la Web de ISMS International User Group (Xisec.com) aparece como noticia y en la Web de la International Organization for Standardization (ISO.org) aparece publicado con fecha del 30 de enero de 2007 el paso del estandar al estado 60.00, que es justo el paso anterior al estado 60.60 que es cuando se publica como norma internacional. Por tanto, se espera en no mucho tiempo que esta norma sea publicada. Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios
22/01/07

Principales claves para implantar la ISO 27001


Publicado por Javier Cao Avellaneda

En la revista ITAudit aparece un breve artculo respecto a los principales puntos a contemplar a la hora de abordar una certificacin ISO 27001. A continuacin resumo los puntos ms destacados: - Identificar los objetivos de negocio: el propsito de la certificacin es garantizar la gestin de la seguridad sin olvidar que esto debe contribuir al desarrollo de los servicios o procesos de negocio. La seguridad debe alinearse estratgicamente con la actividad de la organizacin para darle un mejor soporte y robustez. - Seleccionar un alcance adecuado: El esfuerzo en la implementacin ser proporcional al tamao del sistema a construir. En muchos casos, no es necesario extender el SGSI a toda la organizacin sino centrarnos como primer paso en el corazn de la gestin donde se concentra la mayor parte de las actividades relacionadas con la gestin de informacin, que suele coincidir con las reas de sistemas de informacin o con algn departamento donde la seguridad de la informacin que se gestiona es crtico para el desarrollo de las actividades de negocio. - Determinar el nivel de madurez ISO 27001: Debemos identificar en que estado de madurez se encuentra la organizacin para identificar el esfuerzo que habr que hacer en la

implantacin. No va a ser igual en organizaciones que ya han pasado previamente bajo los procesos de certificacin de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestin de la mejora continua. - Analizar el retorno de inversin: Es muy importante demostrar que el esfuerzo realizado no ser un gasto sino una inversin y que tras implantar los procesos de gestin, se conseguirn efectos colaterales que supondrn un retorno de inversin a considerar. Es dificil justificar el ahorro por los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los indices de incidentes se han reducido.

Artculo complento en IT Audit - The Institute of Internal Auditors Enlaces a esta entrada Etiquetas: ISO 27001 4 comentarios
06/12/06

Aumento de la demanda sobre la ISO 27001


Publicado por Javier Cao Avellaneda

Leo en ISO27000.es una excelente noticia para el gremio de la seguridad. Segn un artculo publicado en ComputerWeekly, uno de los principales motores que estn llevando al incremento de certificaciones ISO 27001 est siendo la aparicin en contratos de sugerencias al proveedor respecto a estar certificado en esta norma. Algo de sentido comn, puesto que cada vez ms los servicios estn orientados hacia la gestin de activos cuya seguridad debe estar preservada. Toca primero al licitador previamente haber identificado sus activos y haber construido su propio SGSI, pero una vez hecho esto, sus proveedores deben garantizar la "cadena de seguridad". Tal como indica en la web ISO27000.es, "El estndar, que ha substituido eficazmente al viejo BS 7799, ha convencido a muchas organizaciones que la certificacin puede tener sentido para ellas. Segn el grupo BSI, casi las dos terceras partes de las certificaciones eran nuevas organizaciones en vez de simples actualizaciones de BS 7799. Segn BSI, uno de los motivos para el fuerte aumento de en la actividad de certificaciones en ISO 27001 se debe a que cada vez ms contratos, al principio slo gubernamentales pero tambin cada vez ms en el sector privado, estipulan ya que el proveedor apropiado debera tener la certificacin en ISO 27001 de Seguridad de la Informacin. URM, especialista en certificacin ISO 27001 y en la gestin de riesgos, cree que el aumento del inters es porque el estndar se ha convertido en una obligacin ms que una

opcin accesoria para cualquier organizacin que opere en el sector pblico o en el sector de los grandes mercados privados. Con el aumento en los niveles de gobierno, URM cree que la certificacin ISO 27001 tambin est siendo vista como un ejercicio de 'impermeabilizacin de cara al futuro ' para muchas empresas. Si ellos no lo hacen ahora, saben que probablemente tendrn que hacerlo en el futuro. De hecho, algunas empresas que ya tienen la certificacin ISO 27001 harn de lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga." Por tanto y como nueva motivacin, la certificacin de la seguridad puede ser una oportunidad de negocio ms que un coste. El artculo original, puede leerse en Tender conditions drive ISO 27001 update 07/Sep/2006 - ComputerWeekly.com Enlaces a esta entrada Etiquetas: ISO 27001 1 comentarios
13/09/06

Control 8.1.2 de ISO 17799:2005. Seleccin de personal


Publicado por Javier Cao Avellaneda

Hoy he encontrado un curioso video que me sirve para ilustrar el objetivo que persigue el control 8.1.2 de la norma ISO 17799:2005. El bloque ocho hace referencia a la gestin del personal y en concreto, el control 8.1.2. habla de los criterios de seleccin de personal. Por poneros en contexto os recomiendo leer el post de Sergio Hernando a este bloque en el siguiente enlace.

En las recomendaciones de implementacin de este control, se indican la importancia de verificar la informacin aportada por los candidatos en los procesos de seleccin de personal. Los curriculum son informacin suministrada por el solicitante, persona interesada en llevarse el trabajo y que muchas veces puede exagerar o magnificar su curriculum. Por tanto, no es descabellado verificar que la informacin suministrada es cierta. Por un lado, es el momento para informar al solicitante sobre las indicaciones en materia de proteccin de datos que sean pertinentes. En cualquier caso, creo que este ejemplo ilustra esos curiosos efectos "pinocho" que aparecen cuando uno busca como sea entrar en un proceso de seleccin.

Este caso es pura ancdota, pero que ocurrira si el engorde del curriculum lo realiza un empleado que exagera sus conocimientos en administracin de sistemas y lo ponemos directamente a manejar los entornos de produccin? Enlaces a esta entrada Etiquetas: ISO 27002 1 comentarios
07/09/06

Entrevista ISO 27001 a Jose Manuel Fernandez de Nexus Asesores


Publicado por Javier Cao Avellaneda

De nuevo quiero referenciar al blog ISO 9001, ISO 27001, GESTIN como fuente de buena informacin en materia ISO 27001. Tambin destacar el activo papel que est adquiriendo el portal www.ISO27000.es En este caso, quiero destacar la interesante entrevista realizada por el portal www.iso27000.es a Jose Manuel Fernandez, autor del blog. El contenido de la entrevista es el siguiente: Fundamentalmente recoge informacin sobre lo siguiente: - Presentacin de Nexus Consultores y Auditores y su relacin con ISO 27001. - Punto de partida del inters en Nexus en trabajar con ISO 27001. - Empresas y sectores en los que se muestra un mayor inters por la ISO 27001. - Tareas que debe realizar una empresa para la implantacin de un SGSI. - Servicios externos que suelen requerir las empresas para esta implantacin. - Esfuerzo y costes de la implantacin de un SGSI. - Diferencias entre los requisitos de ISO 27001 y la forma actual de gestin. - Carencias en gestin de seguridad ms destacables y habituales. - Aspectos que entraan mayor dificultad en la implantacin de un SGSI. - Aspectos a atender especialmente para la auditora de certificacin. - Ventajas para la propia empresa, una vez tiene ya implantado el SGSI. - Resumen de la Jornada de Gestin de Seguridad ISO 27001 celebrada en Mlaga. Creo que es una forma cmoda de adquirir conocimientos mediante la escucha de la entrevista, que podis descargar en el siguiente enlace. El post original donde se detalla ms esta entrevista podis obtenerlo en ISO 9001, ISO 27001, GESTIN: Entrevista ISO 27001 a Jose Manuel Fernandez Enlaces a esta entrada

Etiquetas: ISO 27001 0 comentarios


06/09/06

Artculo sobre SGSI de Agustn Lerma


Publicado por Javier Cao Avellaneda

Leo hoy va el blog de Jose Manuel Fernandez el interesante artculo de Agustin Lerma, Security Manager de Nextel que publica la revista Auditora + Seguridad acerca de Sistemas de Gestin de Seguridad de la Informacin (SGSI) y que puede descargarse en el siguiente enlace. Aprovecho para sugerir tambin que os suscribis en la revista Auditora+Seguridad de la que yo he recibido gratuitamente ya el ejemplar en soporte papel.

Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios


05/07/06

El factor humano
Publicado por Javier Cao Avellaneda

Como suele decirse, una imagen vale ms que mil palabras y hoy la gente de Hispasec publica una vieta cmica que ilustra el tan comentado "Factor Humano".

Enlaces a esta entrada 1 comentarios


03/07/06

Gua para la implementacin de un SGSI


Publicado por Javier Cao Avellaneda

A travs de la iniciativa FOROSEC quiero hoy comentar el enlace a la Gua de implantacin de sistemas de gestin de la seguridad de la informacin. FOROSEC es un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio que tiene como objetivo establecer una red experta en seguridad informtica enfocada a mejorar la competitividad de las PYMES en los servicios de negocio electrnico. Los organizadores del proyecto son cuatro centros especializados en TICs y seguridad informtica: * AIMME (Instituto Tecnolgico Metalmecnico), * ESI (European Software Institute), * IAT (Instituto Andaluz de Tecnologa) y * ROBOTIKER. Esta gua est redactada en un lenguaje sencillo y puede ser un material muy interesante para realizar una primera aproximacin al mundo de los sistemas de gestin de la seguridad de la informacin (SGSI). En el documento vienen desmenuzadas las diferentes fases del

proceso, los documentos mnimos a generar y cuales deben ser los principios y objetivos de abordar un proyecto de semejante transcendencia e importancia para la organizacin. El desarrollo de la metodologa para la implementacin acercar a las personas con inters en el tema a cada una de las actividades a desarrollar dentro del diseo y construccin del SGSI. Por ltimo destacar tambin el anexo 2 en donde se establecen unas pautas y consejos para la elaboracin de procedimientos de seguridad. El documento puede ser descargado en el enlace Gua de implantacin de sistemas de gestin de la seguridad de la informacin Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios
22/06/06

Telefnica Empresas tiene ya su SGSI con la norma ISO 27001


Publicado por Javier Cao Avellaneda

Aunque la noticia no es de hoy, la tena pendiente para comentar. En la Revista SIC de este mes aparece un folleto interno en donde se indica que Telefnica Empresas ha adaptado y certificado el "Sistema de gestin de seguridad de la informacin de aplicacin en sus centros de datos gestionados (CDG) y servicios) contra la norma ISO 27001. Aunque de estos sistemas lo ms importante es ver en concreto el alcance de la certificacin, me parece digno de destacar que efectivamente Telefnica predica con el ejemplo, dado que ha decidido certificar el centro de datos que da servicios a empresas. Como proveedor ha querido acreditar con este sello que dispone de un sistema de gestin orientado a proporcionar la mxima seguridad de la informacin a sus clientes. Ello, no debemos confundirnos, no significa que nunca vaya a pasarles nada. Simplemente han apostado por un marco de gestin para abordar la seguridad y por tanto, el primer paso ha sido identificar los mayores riesgos potenciales para ahora y poco a poco ir reduciendolos, evitarlos o transferirlos a terceros. Aunque no he encontrado una nota de prensa en el portal espaol, si aparece en el siguiente enlace. Qu gana con esto Telefnica Empresas? Yo creo que mucho por dos motivos: - En primer lugar, se autoimpone una filosofa de gestin para la parte de servicios quizs ms delicada, que es la de servicios de proceso de datos a terceros cuyo objetivo es ganarse

la confianza de los clientes en base a pruebas y registros de las actividades de seguridad que desarrollan a diario. - Por otro, puede permitir que cualquier empresa que albergue sus sistemas de informacin dentro de sus centros, se beneficien de este sistema de gestin, dado que si el outsourcer te garantiza seguridad, el esfuerzo para la empresa propietaria de los datos para implantar el SGSI se reduce a cubrir todos los procesos que no estn subcontratados. El pensar que algo es ms seguro porque tenga el sello ISO 27001 es ya otro debate en el que por ahora prefiero no entrar. Para alguien como yo que lleva creyendo en que la "GESTIN" de la seguridad iba a llegar a donde est llegando, es muy importante ver como las empresas de mayor prestigio creen en que la seguridad se gestiona, al igual que la satisfaccin del cliente. Como la seguridad al 100% no existe, al menos empezar a andar por un camino que busca llegar a conseguirlo es mejor que pensar que como nada se puede hacer, mejor esperar a tener suerte y que nunca pase nada. Los primeros, en caso de incidente, podrn saber que ha podido fallar, que elementos no se contemplaron y aprendern de ello. Los segundos no podrn aprender nada del incidente porque nada hicieron para evitarlo. Como mucho pondrn solucin a la amenaza ya materializada sin saber si es lo nico que pudiera pasarles y se quedarn simplemente esperando a no tener tan mala suerte. Enlaces a esta entrada 5 comentarios
14/05/06

Otro blog de SGSI/Calidad


Publicado por Javier Cao Avellaneda

Me llega va comentario en el blog la noticia de la aparicin de otro blog dedicado a la seguridad de la informacin y los SGSI, pero adems algo ms extenso en su temtica relacionada con la calidad. Yo que llego a los SGSI desde la seguridad de la informacin he tenido la oportunidad de descubrir en estos dos ltimos aos el mundo de la calidad y la mejora continua que al final mediante los SGSI van a ser los responsables de la popularizacin de la seguridad en empresas. Y es que hacer las cosas bien motiva pero acreditar que las cosas se hacen bien estimula a la direccin, por el carcter de publicidad positiva que proporciona. En el mundo del outsourcing como es el de las tecnologas de la informacin, pronto podrn apretarse ms las clavijas a las empresas proveedoras de servicios en relacin a la seguridad que proporcionan. En cualquier caso, quiero dar la bienvenida al blog ISO 9000-ISO 27001Gestin dado que seguro que proporciona interesantes post con un mayor conocimiento del

mundo de la calidad que el que en este blog pueda publicarse. Aado una seccin nueva en los enlaces donde dejo de forma permanente el link para que nadie lo pierda. Enlaces a esta entrada Etiquetas: ISO 27001 7 comentarios
10/05/06

Gua para el desarrollo de mtricas de seguridad de la informacin


Publicado por Javier Cao Avellaneda

En gestin es un criterio bsico que "Lo que no se puede medir, no se puede controlar. Sin control por tanto no puede haber gestin y sin gestin no hay direccin". El NIST ha publicado el da 4 un nuevo documento borrador con la gua para el desarrollo de mtricas de rendimiento en seguridad de la informacin titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security

Este documento intenta ayudar a las organizaciones al desarrollo de mtricas entorno a la implementacin de la seguridad de la informacin. La medicin y evolucin del estado es un factor muy importante que ya est siendo trabajado y que generar la publicacin de la norma ISO 27004. Adems es uno de los puntos todava muy verdes respecto a la gestin y mejora de los sistemas de gestin de la seguridad de la informacin. Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medicin de la proteccin y la rentabilidad de la seguridad. Esta gua quiere facilitar la tarea de generar mtricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003. Enlaces a esta entrada Etiquetas: serie iso 27000 2 comentarios
09/05/06

Resumen general del marco normativo en materia de seguridad de la informacin

Publicado por Javier Cao Avellaneda

De una reciente reunin del subcomit responsable del desarrollo del marco normativo en seguridad de la informacin me parece interesante extraer de un documento del Ministerio de Administraciones Pblicas, un extracto de la reestructuracin de los estandares aparecidos y en borrador en relacin a la seguridad de la informacin y la construccin de sus sistemas de gestin.

En primer lugar, en la definicin del futuro de las normas relativas a la gestin de la seguridad de la informacin son de aplicacin los siguientes principios: -La gestin de la seguridad de la informacin debe ser coherente con los principios generales de gobernanza de las tecnologas de la informacin en las organizaciones. - La gestin de la seguridad de la informacin debe ser coherente con los principios de seguridad de la OCDE. - La gestin de la seguridad de la informacin debe ser coherente con otros sistemas de gestin, tales como los contemplados en ISO 9001 e ISO 14001. - La gestin de la seguridad de la informacin debe ser coherente con los previsto en las Guas ISO siguientes: ISO Guide 72 e ISO Guide 73. En segundo lugar, se considera que la familia de normas de gestin de la seguridad de la informacin debiera cubrir reas tales como las siguientes: - Marco de las normas de gestin de la seguridad de la informacin. - Sistemas de gestin de la seguridad de la informacin. - Anlisis y gestin de riesgos. - Controles y salvaguardas. - Mtricas.

- Auditora. - Directrices de implantacin de los sistemas de gestin de la seguridad de la informacin. - Difusin y concienciacin. As tambin, cabe considerar aspectos tales como los siguientes: - Productos y servicios. - Poltica y procedimientos. - Personal. - Seguridad fsica. - Esquemas de reporte. En consecuencia, se considera que las siguientes normas son necesarias para completar la familia de normas de gestin de la seguridad de la informacin: - Marco de las normas de gestin de la seguridad de la informacin. Debe haber un marco que proporcione una visin global de la familia de normas de gestin de la seguridad de la informacin y que explique las reas de normalizacin, cubiertas o no por normas existentes a la fecha, las relaciones y dependencias de estas normas entre s y con otras familias de normas; en particular, las relaciones con la familia de normas relativas a evaluacin y certificacin de la seguridad de las tecnologas de la informacin (ISO/IEC 15408) y aspectos complementarios como la elaboracin de perfiles de proteccin (ISO/IEC 15446). - Normas relativas a los sistemas de gestin de la seguridad de la informacin. Este pudiera ser un documento compuesto de varias partes que trate de cuestiones relativas a la especificacin de los sistemas de gestin y a su evaluacin. - Norma relativa al anlisis y gestin de riesgos. El anlisis y gestin de riesgos es una actividad fundamental en la gestin de la seguridad de la informacin para identificar los requisitos de seguridad, establecer las polticas y objetivos de seguridad, para seleccionar los controles y salvaguardas proporcionados a los riesgos identificados y para gestionar riesgos emergentes derivados del cambio continuo en la tecnologa, los actores, los requisitos, el marco legal, las amenazas, etc. Este papel del anlisis y gestin de riesgos ya ha sido identificados por las normas ISO/IEC TR 13335, ISO/IEC IS 17799 e ISO/IEC 15408. Tambin es reconocido por las Directrices de seguridad de la OCDE. - Norma de mtricas. Las mtricas cuantitativas son relevantes para la gestin de la seguridad de la informacin, el anlisis y gestin de riesgos y la eficacia, eficiencia y calidad de los controles implantados. - Norma relativa a controles y salvaguardas. Esta norma se puede alcanzar a travs de la convergencia entre ISO/IEC IS 17799 e ISO/IEC 13335. La carencia de armonizacin entre los dos documentos introduce confusin e incertidumbre en relacin con cul es el papel especfico de cada una de estas dos normas y cul es su relacin en el sentido de que puedan ser opciones alternativas. - Normas relativas a la auditoria de la gestin de la seguridad de la informacin. Se pueden considerar diversas fuentes como IEEE 1028, ISO 9126, ISO/IEC 12207, Guide to

Software Quality Audit of EEA y otras posibles. - Directrices relativas a la difusin y concienciacin de la seguridad de la informacin. Enlaces a esta entrada Etiquetas: serie iso 27000 6 comentarios
20/04/06

Seis consejos bsicos para recuperarse frente a contingencias


Publicado por Javier Cao Avellaneda

Va ComputerWorld, aparece un artculo titulado Top six steps toward disaster recovery. En relacin a la futura aparicin de una norma para la elaboracin de planes de contingencia y de continuidad de negocio, aparecen en esta Web seis sencillos consejos que no quera dejar de comentar en este blog: 1.- Probar las copias de seguridad: parece evidente o de sentido comn, pero como se suele decir "el sentido comn no es el ms comn de los sentidos". Se supone que una copia de seguridad est para salvarnos cuando ya el dao se ha producido y por tanto, no es el mejor momento para comprobar que las copias se estaban realizando bien. Por tanto, dado que esta medida se hace por un motivo, que menos que tener absoluta certeza de que el paracaidas funcionar cuando estemos en el aire, no? 2.-Gaste un poco de dinero en su software de backup: aunque el precio no lo es todo, hay software de gestin de copias que permiten una recuperacin mucho ms rpida o directa que otros. Entre elegir una copia en DVD con nero que genere 15 DVD o comprar un disco duro espejo puede haber una diferencia econmica importante, pero cuando el tiempo apremia, estas horas/minutos pueden ser crticos y sobre todo rentables. Pensemos si nuestro modelo de negocio puede perder una cantidad econmica importante si en una hora x, minuto y no somos capaces de enviar una informacin almacenada en nuestros servidores de ficheros. 3.- Semanalmente saque los soportes de copia fuera del sitio donde se encuentran los sistemas informticos que se pretenden proteger: si tenemos copias las contingencias frente a las que podemos recuperarnos pueden ser varias. Si las copias no salen fuera, estaremos reduciendo las posibilidades de dao frente a incidentes como virus o avera que impidan el acceso a la informacin en los sistemas. Si adems, las copias salen fuera de las instalaciones, estaremos garantizando la recuperacin frente a amenazas del tipo incendio, inundacin o evacuacin de instalaciones. 4.- Bloquear el acceso fsico a los sistemas informticos: es cosa de matemticas, a mas gente dando vueltas en las instalaciones donde se encuentran los sistemas informticos, ms probabilidades de que alguien haga algo que produzca daos. Por tanto, evitar y controlar todo lo posible el acceso fsico a las salas donde se encuentran los sistemas de informacin.

5.- Establecer un plan por si la oficina se quema: siempre choca cuando se habla de planes de contingencia o negocio que a los entrevistandos se les pregunte por "-Que pasara si su edificio se derrumba o queda destruido por un incencio?". Normalmente te miran con cara de "este consultor esta ido" y las respuestas siempre son "Eso aqui es casi imposible" o "eso no nos puede pasar" como si el incendio del Windsor o las inundaciones del Katrina no pudieran sucedernos por estas latitudes. En cualquier caso, mejor no tener que pensar en qu daos se han sufrido cuando ya los hechos se han producido. 6.- Escribir el plan de continuidad de negocio!: esta es quizs la que a priori todo el mundo ve como la medida ms inutil o farragosa, pero el tema est en que lo que no se encuentra escrito al final nunca se sabe como se va a desarrollar. El depender del criterio que se enfrenta al problema no es siempre garanta del xito. Un plan de continuidad de negocio est para dos cosas muy sencillas y bsicas: a.- Responder en frio a cuestiones que se producen en situaciones muy calientes. b.- Atender la recuperacin de servicios en funcin de los requisitos de negocio, por tanto se recuperar primero lo que es ms rentable que sea recuperado. Y eso, seores, no lo sabe el informtico de turno sino la direccin. Enlaces a esta entrada Etiquetas: Continuidad de negocio 1 comentarios
11/04/06

Futuro ISO 27006, "Guas para la gestin de la continuidad de negocio"


Publicado por Javier Cao Avellaneda

ISO ha anunciado un nuevo proyecto que se etiquetar ISO 27006 Guidelines for information and communications technology disaster recovery services, basado en SS507. La publicacin se espera para noviembre del 2007. El cuerpo del borrador de norma propuesto tiene el siguiente contenido:

"0. Introduction The ICT DR Services Model or Framework - showing the foundation layer to define supporting infrastructure from which services are derived, such as policies, processes, programme, performance measurement, people and products. 1. Scope Describes the purpose of this standard, assumptions made when using this standard and what is excluded. Introduces subsequent clauses and explains their interpretation

2. Definitions Defines terms used within the standard to establish a common understanding by the readers. 3. General Guidelines Basic guidelines for the ICT DR services provision: 3.1 Environmental stability 3.2 Asset management 3.3 Proximity of services 3.4 Subscription (contention) ratio for shared services 3.5 Third party vendor management 3.6 Outsourcing arrangements 3.7 Privacy and confidentiality 3.8 Activation of subscribed services 4. Disaster Recovery Facilities Specific guidelines for the ICT DR services provision to provide a secure physical operating environment to facilitate recovery: 4.1 Physical access control 4.2 Physical facilities and security 4.3 Environmental controls 4.4 Telecommunications 4.5 Power supply 4.6 Cable management 4.7 Fire protection 4.8 Location of recovery site 4.9 Emergency operations centre 4.10 Restricted facilities 4.11 Physical facilities and equipment lifecycle 4.12 Non recovery amenities 4.13 Testing 4.14 Training and education 5. Recovery Services Capability Specific guidelines for the ICT DR services provision to develop service delivery capability supporting recovery. Besides qualified staffing, other minimum capabilities include capacity to support simultaneous invocation of disasters: 5.1 Expertise 5.2 Logical access controls 5.3 Equipment and operation readiness 5.4 Simultaneous recovery support 5.5 Levels of service 5.6 Types of service 5.7 Client testing 5.8 Changes in capability 5.9 Emergency response plan 5.10 Self-assessment

5.11 Disaster recovery training and education 6. Guidelines for Selection of Recovery Sites Provides guidelines on the factors to consider when selecting recovery sites, such as: 6.1 Infrastructure 6.2 Skilled manpower and support 6.3 Critical mass of vendors and suppliers 6.4 Local service providers track records 6.5 Proactive local support 7. Additional Guidelines for the Professional ICT DR Service Provider Additional guidelines for professional service providers in the provision of ICT DR services." Enlaces a esta entrada Etiquetas: serie iso 27000 0 comentarios
10/04/06

Publicada la norma BS 7799-3:2006


Publicado por Javier Cao Avellaneda

Bajo el British Standar Institute ha sido publicada la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management". Identificar, evaluar, tratar y gestionar los riesgos en seguridad de la informacin son procesos clave si desea garantizar la seguridad de los procesos de negocio. Esta actividad de la gestin del riesgo aparece en la norma ISO/IEC 27001:2005, pero no existe todava un criterio consensuado sobre cmo y de qu manera desarrollar esta actividad. La nueva norma 7799-3:2006 proporciona esta gua y cubre aspectos como: - Anlisis del riesgo - Gestin del riesgo - Toma de decisiones - Revisin del anlisis y gestin del riesgo. - Monitorizacin del perfil de riesgo - Gestin del riesgo en el contexto de la gestin corporativa - Cumplimiento con otros estandares y regulaciones basados en riesgo BS 7799-3:2006 proporciona una guia para soportar los requisitos establecidos por ISO/IEC 27001:2005 con respecto a todos los aspectos que debe cubrir el ciclo de anlisis y gestin del riesgo en la construccin de un sistema de gestin de la seguridad de la informacin (SGSI).

Estas tareas incluyen la identificacin y evaluacin del riesgo, implementar controles para reducirlos, monitorizacin y revisin de los riesgos, y mantenimiento y mejora continua del sistema basado en el control del riesgo. La informacin sobre este estandar puede consultarse en la BSI en la direccin BS 77993:2006 Enlaces a esta entrada Etiquetas: serie iso 27000 1 comentarios
31/03/06

Resumen de la norma ISO 27001:2005


Publicado por Javier Cao Avellaneda

En varios foros entre los que estn Kriptpolis y Shell Security aparece hoy la referencia a un documento elaborado por Alejandro Corletti titulado "Anlisis de ISO-27001". Un interesante y necesario trabajo que puede ser considerado muy seriamente por el mbito empresarial, pues es un estndar que se va a comenzar a imponer en un corto plazo de tiempo, siendo la continuidad natural del ISO-17799. [...] "la sensacin que deja el anlisis de esta norma, es que se est gestando con toda rigurosidad este hecho, y que como cualquier otra certificacin ISO, este estndar internacional ha sido desarrollado (por primera vez con relacin a la seguridad, a juicio de este autor) con toda la fuerza y detalle que haca falta para empezar a presionar al mbito empresarial sobre su aplicacin. Es decir, se puede prever, que la certificacin ISO-27001, ser casi una obligacin de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lgico, pues si se desea interrelacionar sistemas de clientes, control de stock, facturacin, pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informtica, sino se abren brechas de seguridad entre s............este estndar apunta a poder exigir dichos niveles; y ya no puede caber duda que las empresas, para competir con sus productos (sean de la ndole que fueren) en este mercado ciberntico actual, tienen cada vez ms necesidad de interrelacionar sus infraestructuras de informacin.....ISO-27001 en este sentido es una muy buena y slida opcin" [...] El documento consta de 12 pginas y puede descargarse en "Anlisis de ISO-27001", de Alejandro Corletti. Enlaces a esta entrada Etiquetas: ISO 27001 0 comentarios
21/03/06

Nuevo buscador del blog


Publicado por Javier Cao Avellaneda

A travs del servicio proporcionado por Atomz, he aadido un pequeo buscador interno al blog con el objeto de localizar aquellos post ms interesantes o referencias a documentos relevantes. Espero que as sea ms comodo y facil su uso y gestin conforme vaya albergando ms contenido. Enlaces a esta entrada 0 comentarios
24/01/06

Nuevo registro de certificaciones 27001.


Publicado por Javier Cao Avellaneda

Ha nacido un nuevo Web, ISO27001Certificates.com cuyo principal objetivo es publicar y difundir el nuevo esquema de certificacin ISO 27001. En l, podremos encontrar los diferentes esquemas de certificacin en cada uno de los paises, las empresas acreditadas a nivel internacional entorno a esta nueva norma, y lo ms interesante, un registro de empresas que cuentan con el nuevo sello ISO 27001. Este aspecto puede consultarse en concreto en CertificateSearch. Como nota curiosa, los resultados de la busqueda para empresas de Espaa presenta los siguientes resultados: -Caja Madrid-Spain-IS 92805-BSI -ERICSSON ESPAA S.A.-Spain-IS 53616-BSI -Nextel S.A.-Spain-IS 80383-BSI -Oficina De Armonizacion del Mercado Interior-Spain-IS 80260-BSI -T-Systems ITC Services Espana S.A.U.-Spain-229846 IS-DQS GMBH Enlaces a esta entrada Etiquetas: ISO 27001 1 comentarios

31/12/05

Bloques de control ISO 17799:2005


Publicado por Javier Cao Avellaneda

Leo va Sergio Hernando dos post que recogen la informacin publicada por InfosecWriters entorno a la norma ISO 17799:2005. En concreto, se han publicado dos documentos relacionados con dos bloques de control de la norma( Apartados 5 y 7 del estandar). Aqu posteo las referencias a los comentarios de Sergio Hernando y los documentos publicados por Infosecwriters. Poltica de Seguridad: - Poltica de Seguridad - Scope and implementation Part 1 Security Policy. Inventario y control de activos: - Inventario y control de activos - ISO 17799: Asset Management Enlaces a esta entrada Etiquetas: ISO 27002 0 comentarios

Cuadros de mando para la gestin de la seguridad de la informacin


Publicado por Javier Cao Avellaneda

Los Directores y Responsables de la seguridad estn cada vez ms tratando de implantar herramientas de ayuda a la toma de decisiones basadas en mediciones del estado de la seguridad. Estos "cuadros de mando de la seguridad" deben servir para orientar a los procesos de negocio entorno a los requisitos que en materia de seguridad deben garantizar. Para ello es importante contar con informacin y datos de los sistemas que aporten evidencias objetivas en las que basar las decisiones en base o bien a deficiencias detectadas o bien a necesidades de mejora. Dada la reciente aparicin de la gestin de la seguridad como un pilar estructural dentro de las organizaciones, ocurre que en instituciones donde la seguridad no es todava un rea o proceso interno con suficiente madurez, introducir estos conceptos de medicin y control suele ser complicado. Para ello, el responsable de la gestin de la seguridad debe disear y definir claramente una serie de mtricas que le lleven a poder defender con rotundidad sus argumentos de cara a producir cambios o solucionar deficiencias de la organizacin. El documento que hoy referencio tiene por objetivo plantear una serie de cuestiones de cara a construir un "cuadro de mandos de la seguridad de la informacin" dentro de una

organizacin. El documento puede descargarse va Infosecwriters en el enlace Security Metrics: Business Unit Scorecard Enlaces a esta entrada 0 comentarios
24/11/05

Comparativa ISO 17799:2000 vs ISO 17799:2005


Publicado por Javier Cao Avellaneda

En la fase de diseo del SGSI, hay un momento en donde la norma nos desva hacia la norma ISO 17799 para realizar la seleccin de controles. Como ya referenci este verano en el post dedicado a la nueva versin de la ISO 17799 se han incrementado el numero de bloques de control y el numero de controles. Para aquellos que ya estaban muy familiarizados con la norma y que deseen comparar o saber cuales son las novedades, hoy posteo un documento Excel que he encontrado con esta informacin. Podis descargarlo en Comparativa ISO 17799:2000 vs 17799:2005. Espero que os sea til. Enlaces a esta entrada Etiquetas: ISO 27002 2 comentarios
05/11/05

MAGERIT 2.0
Publicado por Javier Cao Avellaneda

Ya comente en septiembre en mi Blog Seguridad de la Informacin que por fn haba aparecido la versin 2.0 de MAGERIT, la Metodologa para en anlisis y la gestin del riesgo de los sistemas de informacin. MAGERIT fue mi bautismo en esta materia de la seguridad, al ser el primer trabajo/proyecto profesional que tuve que realizar. En aquel momento, all por el ao 1999, tuve el gusto de probar aquella nueva metodologa en un entorno real y complejo como parte de un proyecto piloto del departamento de Ingeniera del Software de la Universidad

de Murcia. Dado que en la fase de construccin del SGSI aparece el Anlisis de Riesgo como primera actividad importante, y dado que los objetivos de gestin van a tratar de reducir el riesgo hacia niveles aceptables, esta fase del SGSI es realmente la ms crtica e importante. Para no enrollarme mucho, voy a destacar las principales novedades de MAGERIT 2.0 dado que ya he podido experimentar con ella en un pequeo proyecto de Anlisis de Riesgos para una instalacin hotelera. Principales novedades y mejoras: - La metodologa mejorada: deja de ser algo tericamente interesante para bajar a la arena y ser algo prctico, rpido y til. Un anlisis y gestin de riesgos (en adelante ARG) debe ser relativamente rpido de hacer principalmente porque si no puede "nacer muerto". No podemos realizar un estudio de esta envergadura en donde se identifiquen activos que al finalizar el proyecto han dejado de existir. El sentido del AGR es hacer una foto del estado y requisitos de seguridad de la organizacin. Los activos sustanciales es raro que cambien debido a que estn muy ligados al proceso de negocio. Sin embargo, los activos relacionados con las Tecnologas de la Informacin si pueden cambiar ms frecuentemente. La nueva metodologa solo tiene tres fases: planificacin, anlisis y gestin. -Los conceptos de seguridad estn ms claros: Se han identificado y catalogado todos los activos posibles. El concepto de "propiedades del estado de la seguridad" se ha cambiado por el de "dimensiones de la seguridad". A estas dimensiones, que tradicionalmente siempre se han considerado como confidencialidad, integridad y disponibilidad (C-I-D), se aaden la autenticacin de usuarios, autenticacin de datos,la trazabilidad de usuarios y la trazabilidad de datos. Estas dos ltimas propiedades van a ser muy necesarias en la futura Administracin Electrnica dado que garantizan el saber quien, cuando, como y qu se ha hecho en un proceso telemtico.

-Mejorado el modelo de elementos: otro de los problemas de MAGERIT 1.0 viene en el momento de la estimacin de valores. La valoracin de las amenazas y las vulnerabilidades puede llevar a confusin si no se aclaran al entrevistado bien estos conceptos. Ahora en este

nuevo modelo, tenemos que valorar la probabilidad de ocurrencia de una amenaza y el dao o degradacin que causa. Es ms sencillo de ver y estimar. -Nueva herramienta software de apoyo: dispone de una Herramienta software que proporciona mejores resultados. Para las Administraciones Pblicas es gratuita y para los consultores y empresas es de pago. Para solicitarla, si se es Admin. Pblica ir al Web del Centro Criptolgico Nacional. Para empresas, hay que ir al Web AR-Tools.com -Mejores documentos finales: Tras acabar cada una de las fases se obtienen documentos con la informacin necesaria para tomar decisiones en materia de seguridad. Se obtienen como resultados los siguientes documentos: Inventario de activos, modelo de valor (activos y valor respecto al proceso de negocio estudiado), modelo de riesgo (riesgos detectados) y plan de seguridad. Ahora es necesario que a esta fase de la gestin de la seguridad se le asigne la importancia que tiene y que la seguridad empiece a enfocarse desde el punto de vista de la gestin y la mejora continua. Ahora tenemos formalmente este marco definido gracias a la norma ISO 27001. Quiero tambin destacar la gran labor que ha realizado el profesor J.A. Maas en el desarrollo de esta metodologa y su excelente visin en materia de seguridad que va abriendo y luchando por establecer esta nueva disciplina que es la gestin de la seguridad de la informacin. Destacar por parte del Ministerio de Administraciones Publicas a Miguel Angel Amutio, que tambin est intentando que la seguridad sea bien implantada en las Administraciones Pblicas.

Enlaces de interes: - Ficha de MAGERIT 2.0 en el MAP - Web AR-Tools - Ficha de MAGERIT en el Centro Criptolgico Nacional. Enlaces a esta entrada Etiquetas: ISO 27001 3 comentarios
21/10/05

Primer post del SGSI - ISO 27001


Publicado por Javier Cao Avellaneda

En el III aniversario del blog "Apuntes de seguridad de la informacin" nace hoy un hermano pequeo orientado de manera integral a la gestin de la seguridad de la informacin.

Ello se produce porque por fn las diferentes normas nacionales CERTIFICABLES en materia de seguridad de la informacin han sido consencuadas entorno a la serie ISO 27000 y dando como primera norma de este grupo la ISO "27001" denominada "Requisitos para la especificacin de sistemas de gestin de la seguridad de la informacin (SGSI)". La norma ISO/IEC 27001:2005 cubre todo tipo de organizaciones (empresas, instituciones gubernamentales, organizaciones sin animo de lucro). ISO/IEC 27001:2005 especifica los requisitos para establecer, implantar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestin de la seguridad de la informacin documentado en relacin al contexto de la organizacin y sus riesgos. Especifica los requisitos para implantar controles de seguridad acordes con las necesidades individuales de la organizacin o las partes sobre las que se determine el alcance. ISO/IEC 27001:2005 est diseado para garantizar una seleccion adecuada de controles de seguridad y proporcionales a los activos a proteger. Tambin permitir dar confianza sobre terceras partes que quieran garantizar la correcta gestin de la informacin en procesos externalizados. ISO/IEC 27001:2005 puede ser apropiado como base para diferentes tipos de uso entre los que destacan: - usado dentro de organizaciones para formular sus objetivos y requisitos de seguridad. - usado dentro de organizaciones como forma de garantizar la gestin del riesgo y la rentabilidad de la inversin en seguridad. - usado dentro de organizaciones para garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestin de informacin - usado dentro de organizaciones como marco de procesos en la implantacin y gestin de los controles que garantizen el cumplimiento de los objetivos de seguridad que la organizacin establezca - como definicin del nuevo conjunto de procesos relacionados con la gestin de la seguridad de la informacin - como identificacin y aclaracin de los procesos de gestin de la seguridad - usado por la direccin de organizaciones para determinar y medir el estado de la seguridad en las actividades de gestin de la informacin. - usado por auditores internos y externos de las organizaciones para determinar el grado de cumplimiento con las polticas, directivas y normas adoptadas por la organizacin -usado dentro de organizaciones para proporcionar informacin relevante sobre sus polticas, directivas y normas de seguridad e intercambiarlas con sus clientes como una forma de demostrar y garantizar la correcta gestin de la informacin que en ellos se deposita -implementacin para permitir la creacin de nuevas actividades de negocio relacionadas con la seguridad de la informacin -usada dentro de organizaciones para proporcionar confianza a sus clientes respecto de la seguridad de la informacin que pueden proporcionar en la realizacin de sus servicios