sistema de gestión de la seguridad informática

FACULTAD DE INGENIERÍAUNIVERSIDAD DEL QUINDÍO

INGENIERÍA DE SISTEMAS Y COMPUTACIÓNSISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION SGSI

Curso de sistema de gestión de la seguridad de la información según la norma UNE-ISO/IEC 27000 - INTECO

Facultad de Ingeniería

Programa de Ingeniería de Sistemas y computaciónFACULTAD DE INGENIERIAFACULTAD DE INGENIERIA

SISTEMA DE GESTION EN LA SEGURIDAD DE LA INFORMACION SGSI SEGÚN NORMA UNE ISO/IEC 27001

PRESENTADO POR

AMPARO GARAY GUTIÉRREZ

PRESENTADO AL INGENIERO

FERNANDO JAIME ESCOBAR BOTERO

FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN

UNIVERSIDAD DEL QUINDÍO

ARMENIA-QUINDÍO

2012






SISTEMA DE GESTION EN LA SEGURIDAD DE LA INFORMACION SGSI SEGÚN NORMA UNE ISO/IEC 27001

1. CONCEPTOS BÁSICOS SOBRE SEGURIDAD DE LA INFORMACIÓN

La información es uno de los principales activos de toda organización (datos, equipos, aplicaciones, personas) y que tiene un valor significativo para ella. Por lo tanto la seguridad de la información, se puede definir como la protección de la confidencialidad, integridad y disponibilidad de los activos de información según sea necesario para alcanzar los objetivos de la organización. La norma ISO/IEC 27001 nace con la finalidad de establecer las bases de un SGSI (Sistema de Gestión de la Seguridad de la Información).

Las empresas de cualquier tipo o sector de actividad se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden dañar considerablemente tanto los sistemas de información como la información procesada y almacenada. Ante estas circunstancias, las organizaciones han de establecer estrategias y controles adecuados que garanticen una gestión segura de los procesos del negocio, primando la protección de la información.

Por tanto definiremos un Sistema de Gestión de Seguridad de la información (SGSI) como la manera en la que una organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Para proteger la información de una manera coherente y eficaz es necesario implementarun Sistema de Gestión de Seguridad de la Información (SGSI) basado en un análisis de los riesgos del negocio, que permite asegurar la información frente a la pérdida de:

Confidencialidad: A la información solo pueden acceder las personas autorizadas.

Integridad: La información debe estar completa y correcta en todo momento.

Disponibilidad: La información debe estar lista para acceder a ella o utilizarse cuando se necesita.

Otros aspectos que deberíamos tener en cuenta de la seguridad de la información son:






Autenticidad: La información es lo que dice ser o el transmisor es quién dice ser.

Trazabilidad: Poder asegurar en todo momento quién hizo qué y cuándo lo hizo.

La seguridad total es inalcanzable, pero mediante el proceso de mejora continua del sistema de seguridad se puede conseguir un nivel de seguridad altamente satisfactorio, que reduzca al mínimo los riesgos a los que se está expuesto y el impacto que ocasionarían si efectivamente se produjeran.

2. LA SEGURIDAD Y SU JUSTIFICACIÓN DESDE EL PUNTO DE VISTA DEL NEGOCIO

No en todas las empresas invierten en certificaciones, aunque estas traigan muchos beneficios para ellas como son:

Supervivencia del negocio, asegurando sus ingresos. Establecimiento de una metodología de gestión de la seguridad clara y

estructurada. Reducción del riesgo de pérdida, robo o corrupción de información. Los clientes tienen acceso a la información a través medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratégicos por la garantía de calidad y

confidencialidad comercial. Las auditorías externas ayudan cíclicamente a identificar las debilidades del

sistema y las áreas a mejorar. Continuidad de las operaciones necesarias de negocio tras incidentes de

gravedad. Conformidad con la legislación vigente sobre información personal, propiedad

intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la

competencia. Confianza y reglas claras para las personas de la organización. Reducción de costes y mejora de los procesos y servicio. Aumento de la motivación y satisfacción del personal. Aumento de la seguridad en base a la gestión de procesos en vez de en la compra

sistemática de productos y tecnologías.






3. Marco legal y jurídico de la seguridad. Normativas de seguridad

Por el aumento constante en el uso de las tecnologías, se ha creado a nivel un marco legal y jurídico que proteja a todos los beneficiarios de estas, algunas de ellas son:

Legislación Española:

Ley Orgánica 15/99 de Protección de Datos de Carácter Personal (LOPD) Ley 34/2002 de servicios de la sociedad de la información y de comercio

electrónico (LSSI) Ley 32/2003, general de telecomunicaciones Ley 59/2003 de firma electrónica R.D.L, 1/1996 Ley de Propiedad Intelectual Ley 17/2001 de Propiedad Industrial Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos

Regulaciones sectoriales:

Agricultura:

Reglamento (CE) No 465/2005 de la Comisión de 22 de marzo de 2005 sobre la Seguridad de la Información de los Sistemas de Información de los Organismos Pagadores.

Banca:

Basilea II MIFID (Markets in Financial Instruments Directive)

Seguros:

Solvencia II

Aun con la legislación creada encontramos varios delitos tecnológicos, algunos de ellos son:

Contra la intimidad: Venta de datos, calumnias e injurias Relativos al contenido: Pornografía infantil Económicos: Suplantación en la banca, falsificación de documentos






Contra la propiedad intelectual: Piratería informática y derechos de autor Fraudes informáticos: Amenazas, sabotajes informáticos

4. ESTANDARES DE GESTION DE LA SEGURIDAD DE LA INFORMACION

ISO (Organización Internacional de Estándares) es una organización especializada en el desarrollo y difusión de los estándares a nivel mundial. ISO colaboran en los campos de interés mutuo con la IEC (International Electrotechnical Commission), entre ellas podemos encontrar las siguientes, llamadas familia de las Normas ISO:

ISO/IEC27000 Sistemas de Gestión de Seguridad de la Información, Generalidades y vocabulario.

UNE-ISO/IEC 27001, Sistemas de Gestión de la Seguridad de la Información (SGSI).

ISO/IEC27002, Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información

ISO/IEC27003. Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases

ISO27004: Estándar para la medición de la efectividad de la implantación de un SGSI y de los controles relacionados.

ISO/IEC27005:2008 Gestión del Riesgo en la Seguridad de la Información.

ISO/IEC27006. Requisitos para las entidades que suministran servicios de auditoría y certificación de sistemas de gestión de seguridad de la información

ISO/IEC27007. Guía para la realización de las auditorías de un SGSI.

ISO/IEC27011. Directrices para la seguridad de la información en organizaciones de telecomunicaciones utilizando la Norma ISO/IEC 27002.

EN ISO27799. Gestión de la seguridad de la información sanitaria utilizando la Norma ISO/IEC27002 (ISO27799:2008).

El estándar para la seguridad de la información ISO/IEC 27001. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de






Gestión de la Seguridad de la Información (SGSI) según el conocido PDCA: Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas ISO/IEC 27002.

5. IMPLANTACION DE UN SGSI

El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de sus siglas en ingles), tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y métricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de la organización:

Plan - Planear: Esta fase establecer los fines a alcanzar con el SGSI y en que ayudaran a lograr los objetivos de negocio. Se planifica y diseña el programa, sistematizando las políticas a aplicar en la organización, que medios se utilizaran para ello, los procesos de negocio y los activos que los soportan, como se enfocará el análisis de riesgos y los criterios que se seguirán para gestionar las contingencias de modo coherente con las políticas y objetivos de seguridad

Do - Hacer: Es la fase en la que se realiza toda la documentación necesaria para implementar y poner en funcionamiento el SGSI. Las políticas y los controles escogidos para cumplirlas se implementan mediante recursos técnicos, procedimientos o ambas cosas a la vez, y se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones.

Check – comprobar: Esta fase es la de monitorización y revisión del SGSI. Hay que controlar que los procesos se ejecutan como se ha establecido, de manera eficaz y eficiente, alcanzando los objetivos definidos para ellos. Además, hay que verificar el grado de cumplimiento de las políticas y procedimientos, identificando los fallos que pudieran existir y, hasta donde sea posible, su origen, mediante revisiones y auditorias.

Act – actuar: Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar losfallos, detectados en las auditorías internas y revisiones del SGSI, o cualquier otra información relevante para permitir la mejora permanente del SGSI.






6. DEFINICIÓN DE LAS POLÍTICAS, ORGANIZACIÓN, ALCANCE DEL SISTEMA DE GESTIÓN Y CONCIENTIZACIÓN.

Uno de los pasos más importantes a la hora de implementar un SGSI, en definir claramente el alcance. ¿Qué ámbito debe cubrir, que alcance, el diseño e implementación? De la organización. Tenemos que pensar que la implantación de un SGSI es un proyecto de gran tamaño. Por tanto, la mejor opción siempre será diseñar un SGSI para un alcance más reducido, optimizando recursos y resultados, y los controles implementados se puedan extender progresivamente.

Una vez decidido si el alcance va a ser toda la organización o sólo una parte de ella, hay que definir claramente este alcance. Para ello deben enumerarse:

Las localizaciones físicas incluidas: oficinas, sedes, fábricas, delegaciones, etc. De manera que queden claros los límites físicos del SGSI.

Las actividades de la organización: servicios y productos que suministra, actividades internas, etc. Es aquí donde es importante detallar exactamente qué queda dentro del alcance y qué queda excluido

Las tecnologías utilizadas: tipos de equipos informáticos, redes, comunicaciones, etc. En general esta parte queda documentada con un mapa esquemático de la red de la organización.

Después de tener el alcance diseñado, se procede a dar a conocer a todo el personal interno y externo, las políticas de seguridad, la organización de la seguridad.

Hay dos funciones principales:

Un responsable de seguridad, que será el que coordine las tareas y esfuerzos en materia de seguridad. Cubrirán todas las funciones de seguridad.

Integrantes del comité de seguridad. Los participantes de este comité son los que tratan los problemas de seguridad y las no conformidades, discuten y deciden las soluciones a los mismos, Identifican cambios significativos y como deben ser gestionados, valoran si los controles implantados son suficientes y coordinan la implantación de los nuevos, resuelven los asuntos interdisciplinarios, revisan y aprueban directrices y normas, proponen objetivos a la dirección y revisan con ella la marcha de los mismos, entre los roles del comité encontramos:






Dirección: La Dirección tiene varias de las responsabilidades clave en la puesta en marcha y funcionamiento del SGSI.

Responsable de Sistemas. Propietario de activos o responsable.

7. LOS ACTIVOS DE SEGURIDAD DE LA INFORMACION

Los activos son recursos del sistema de información o relacionados con él, necesariospara el correcto funcionamiento de la organización, entre ellos encontramos:

- Equipamientos y suministros (energía, climatización, comunicaciones)- Personal (de dirección, de operación, de desarrollo, otros)- Otros tangibles (edificaciones, mobiliario, instalación física)- Hardware (de proceso, de almacenamiento, de interfaz, servidores, otros)- Software (de base, paquetes, producción de aplicaciones, modificación de firmware)- Comunicaciones (redes propias, servicios, componentes de conexión)- Datos (informatizados, concurrentes al o resultantes del Sistema de Información)- Meta-información (estructuración, formatos, códigos, claves de cifrado)- Soportes (tratables informáticamente, no tratables)- Objetivos y misión de la organización- Bienes y servicios producidos- Personal usuario y/o destinatario de los bienes o servicios producidos

Además de identificar e inventariar cuantitativa y/o cualitativamente los activos, deberemos fijar el estado de seguridad de cada activo en función de los siguientesatributos:

Confidencialidad de la información del activo.

Integridad del activo. Facilidad mayor o menor de obtener el activo con calidad suficiente.

Disponibilidad del activo. Tiempo máximo de carencia del activo sin que las consecuencias o impactos sean graves para la organización.

8. ANÁLISIS Y VALORACIÓN DE LOS RIESGOS. METODOLOGÍAS

En términos generales, riesgo es la probabilidad de que ocurra algo con consecuencias negativas, Dentro del contexto de un análisis de riesgos, es la estimación del grado de






exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.

Ahora, entendemos por:

Amenaza: Es la causa potencial de un daño a un activo.

Vulnerabilidad: Debilidad de un activo que puede ser aprovechada por una amenaza.

Impacto: Consecuencias de que la amenaza ocurra.

Riesgo intrínseco: Cálculo del daño probable a un activo si se encontrara desprotegido.

Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.

Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.

Después de tener estos conceptos procedemos a realizar el análisis de riesgo en donde se determinará cuál es el rango de variación, entonces se indicará el valor mínimo,máximo y cuando se solicite, el enfoque detallado.

Mínimo: Valor inferior que puede alcanzar la variable que se está analizando.

Máximo: Valor superior que puede alcanzar la variable que se está analizando.

Enfoque detallado: Valor que el usuario considera que, en condiciones normales, tomará la variable que se está analizando.

Debemos identificar las amenazas desde su origen:

Externas: Causadas por alguien o algo que no pertenece a la organización.

Internas: Causadas por alguien que pertenece a la organización.

Según la intencionalidad también se pueden dividir así:

Deliberadas: Intención de provocar daño.

Accidentales: Cuando no existen intención de perjudicar.






Debemos identificar las vulnerabilidades así: alta, media y baja.

Ejecución del análisis: El cual debe ser documentado

o Probabilidadeso Vulnerabilidado Nivel de riesgo

Hay cuatro tipos de decisiones para tratar los riesgos que se consideran no aceptables:

Transferirlo: El riesgo se traspasa a otra organización, por ejemplo mediante un seguro.

Eliminarlo: Se elimina el riesgo, que normalmente sólo se puede hacer eliminando el activo que lo genera, por ello esta opción no suele ser viable.

Mitigarlo: Es decir, reducir el riesgo, normalmente aplicando controles de seguridad. Es una de las opciones más habituales.

Asumirlo: Otra opción común es aceptar que no se puede hacer nada y por lo tanto se asume ese riesgo.

Para la realización de análisis de riesgos, existen muchas metodologías que facilitan la tarea, pues es una labor que requiere de bastante dedicación, entre ellas encontramos:

Análisis holandés A&K: Desarrollado por el Ministerio de Asuntos Internos de Holanda.

CRAMM: Desarrollado por el gobierno.

EBIOS: Desarrollada en un principio por el gobierno francés

IT-GRUNDSCHUTZ (Manual de protección básica de TI): Desarrollado en Alemania

MAGERIT: Desarrollado por el Ministerio de Administraciones Públicas español.

Manual de Seguridad de TI Austriaco: Es conforme con la Norma ISO/IEC IS 13335 y en parte con la ISO 27002.

MARION – MEHARI: El primigenio MARION (Método de Análisis de Riesgos por Niveles. Sustituido por MEHARI.






Métodos ISF para la evaluación y gestión de riesgos: El Information Security Forum. (ISF) es una importante asociación internacional.

Norma ISO/IEC IS 27005: La Norma habla de la gestión de los riesgos de la seguridad de la información de manera genérica, utilizando para ello el modelo PDCA.

OCTAVE: (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVE®), desarrollado en EEUU por el SEI.

SP800-30 NIST Risk Management Guide for Information Technology Systems: Desarrollado por el NIST estadounidense.

9. GESTIÓN Y TRATAMIENTO DE LOS RIESGOS. SELECCIÓN DE LOS CONTROLES

MITIGAR EL RIESGO:

Seleccionar los controles apropiados para los riesgos a los que se quiere hacer frente, en principio del Catálogo de Buenas Prácticas de la ISO/IEC 27002 (133 controles posibles), pero pueden añadirse otros que la organización considere necesario.

Implantar los controles para lo que deben desarrollarse procedimientos. Aunque sean controles tecnológicos deben desarrollarse para su instalación, uso y mantenimiento.

Verificar que los controles están correctamente implantados.

Establecer indicadores para saber en qué medida la implantación de los controles seleccionados reduce el riesgo a un nivel aceptable.

Se debe tener en cuenta que los controles pueden ser:

Técnicos. Organizativos. Preventivos Correctivos

Debemos realizar la documentación de la gestión de riesgos mediante la Declaración de Aplicabilidad también conocida por sus siglas en inglés SOA (“Statement Of Applicability”).






Este documento, requerido por la Norma UNE/ISO-IEC 27001, es un resumen de las decisiones que se han tomado para tratar los riesgos analizados.

10.SEGUIMIENTO, MONITORIZACIÓN Y REGISTRO DE LAS OPERACIONES DEL SISTEMA

Uno de los requisitos más importantes de la Norma UNE/ISO-IEC 27001 es la revisión que la dirección de la organización debe realizar con una cierta periodicidad, como mínimo anual, al Sistema de Gestión de Seguridad de la Información.

Forma parte del check (comprobar), las entradas que debemos tener en cuenta y que debemos documentar en este punto son:

Las auditorias Las anteriores revisiones al SGSI Comentarios Técnicas, productos o procedimientos El estado de las acciones preventivas y correctoras Las vulnerabilidades o amenazas La evaluación de los objetivos Cambios en la organización Mejoras de la efectividad del SGSI Actualización de la evaluación y gestión del riesgo Modificación de procedimientos y controles

El objetivo de una auditoría interna es determinar si los objetivos de los controles, los controles, los procesos y los procedimientos están conformes con los requisitos de la Norma en la que se audite el sistema, los requisitos legales y reglamentarios, los requisitos de la organización (contractuales, de seguridad, internos, etc.). Además de esto, la auditoría verifica si el SGSI se mantiene de manera efectiva y se obtienen los resultados esperados. Esta debe realizarse por lo menos cada año.

Cuando se producen no conformidades, es decir, cuando hay un incumplimiento de un requisito, bien de la Norma bien de las pautas internas, se deben toman acciones encaminadas a resolver esa situación no deseada. Las acciones contempladas por la Norma se dividen en:






Acciones correctoras: son las que se toman para corregir una no-conformidad significativa con los requisitos del Sistema de Gestión de Seguridad de la Información.

Acciones preventivas: como su propio nombre indica, son aquellas que se toman para eliminar la causa de una posible no conformidad, es decir, se actúa antes de que ocurra.

Acciones de mejora: Pueden venir de sugerencias del personal, de la revisión del SGSI, etc. Estas acciones suponen un cambio positivo en la manera de afrontar una tarea o procesos de manera que se mejoren la operativa, los resultados o ambas.

11. GESTION DE CONTINUIDAD DEL NEGOCIO

La gestión de la continuidad del negocio es la actividad que se lleva a cabo en una organización para asegurar que todos los procesos de negocio críticos estarán disponibles para los clientes, proveedores, y otras entidades que deben acceder a ellos.

Estas actividades incluyen un gran número de tareas diarias como gestión de proyectos, copias de seguridad de los sistemas, control de cambios y otros. La gestión de la continuidad no se implanta cuando ocurre un desastre, si no que hace referencia a todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar a recuperación.

Por todo esto, los planes de continuidad de negocio ayudarán a las empresas a:

Mantener el nivel de servicio en los límites definidos.

Establecer un período de recuperación mínimo que garantice la continuidad de negocio.

Recuperar la situación inicial antes de cualquier incidente de seguridad.

Analizar los resultados y los motivos de los incidentes para aprender de ellos y evitar que se vuelvan a producir.

Evitar que las actividades de la empresa se interrumpan o, en caso de hacerlo, que el tiempo de inactividad sea lo mínimo posible.

Para gestionar la continuidad del negocio también se utiliza el ciclo PDAC:






Hacer. Desarrollar los planes y procedimientos necesarios para ejecutar la política y los objetivos.

Comprobar. Revisar los resultados obtenidos y si se han cumplido los objetivos.

Actuar. Tomar las acciones necesarias para corregir las desviaciones detectadas en la fase anterior.

12. PROCESO DE CERTIFICACIÓN

Certificar un SGSI según la Norma UNE/ISO-IEC 27001 significa obtener un “Documento” que reconoce y avala la correcta adecuación del Sistema de Gestión de Seguridad de la Información conforme a esta norma de referencia, El cual da prestigio y credibilidad a la Organización.

Pueden certificar las entidades de certificación acreditadas. En el caso de nuestro país, el organismo que acredita es ENAC (Entidad Nacional de Acreditación), que está designado por la Administración para establecer y mantener el sistema de acreditación a nivel nacional, de acuerdo a normas internacionales, siguiendo en todo momento las políticas y recomendaciones establecidas por la Unión Europea. En otros países existen organismos similares tales como UKAS en Gran Bretaña, COFRAC en Francia o JISC en Japón.

Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001.

Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:

• Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.

• Respuesta en forma de oferta por parte de la entidad certificadora.

• Compromiso.

• Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.






• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.

• Fase 1 de la auditoría: Se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.

• Fase 2 de la auditoría: Es la fase de detalle de la auditoría, en la que se revisan las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, elproceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés.

• Certificación: En el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.

• Auditoría de seguimiento: Semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.

• Auditoría de re-certificación: Cada tres años, es necesario superar una auditoría de certificación formal completa como la descrita.

sistema de gestión de la seguridad informática

Documents