martes, 3 de abril de 2012

GESTION DE LA SEGURIDAD DE TI


Resumen: El núcleo de la seguridad de TI es la protección de la información. Se relacionan las Normas mas conocidas referentes a la seguridad de los datos, analizando exhaustivamente la ISO 27001. Se acaba dando una sugerencia a las PYMES de cómo empezar.



Autor del artículo
Colaboración
JOSE LUIS COLOM PLANAS
MARGARITA PARDO DE

SANTAYANA C.
Actualizado
19 de diciembre de 2013

 

ÍNDICE.

1. OBJETIVOS A GARANTIZAR POR UN SGSI
2. OBJETIVO DE OBLIGADO CUMPLIMIENTO
3. NORMAS ISO MÁS CONOCIDAS RESPECTO TI
4. HOJA DE RUTA PARA LA IMPLANTACIÓN DE UN SGSI


         4.1. Definir el alcance
         4.2. ¿Cómo lograr un SGSI conforme a la ISO 27001?
         4.3. Requisitos de la documentación
         4.4. Las pymes que se inician

5. BIBLIOGRAFÍA CONSULTADA

6. DERECHOS DE AUTOR




1. OBJETIVOS A GARANTIZAR POR UN SGSI.



Existen diferentes objetivos que debe garantizar un SGSI (Sistema de Gestión de la Seguridad de la Información) para ser eficaz:



DISPONIBILIDAD: Garantizar que la información esté disponible y se pueda usar cuando se necesite.


CONFIDENCIALIDAD: Garantizar que la información esté disponible exclusivamente para personas autorizadas.


INTEGRIDAD: Garantizar que la información sea completa, precisa y protegida contra cambios no autorizados.


AUTENTICIDAD: Garantizar la confiabilidad en la generación de información y en el intercambio de ésta entre ubicaciones diferentes.


TRAZABILIDAD: Garantizar que se pueda determinar en qué momento, quién hizo qué.


CUMPLIMIENTO: Garantizar que se adecúe a la legislación vigente, como puede ser la LOPD (Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de carácter personal) y el RLOPD (Real Decreto 1720/2007, de 21 de Diciembre, su Reglamento de aplicación). Todo SGSI debe cumplir con la legislación vigente.






2. OBJETIVO DE OBLIGADO CUMPLIMIENTO.


De todos los objetivos expuestos, únicamente el último es de obligado cumplimiento, al ampararse en una Ley Orgánica.


Para ello se crea en España la AGPD (Agencia Española de Protección de Datos) y homónimas autonómicas, con potestad sancionadora. El 19 de Enero de 2008 se publicó en el BOE el Real Decreto por el que se aprueba el nuevo Reglamento de desarrollo de la LOPD.


El resto de objetivos, solo son obligatorios de cara a obtener la certificación conforme nuestro sistema de gestión de TI cumple determinada norma.

3. NORMAS ISO MAS CONOCIDAS PARA T.I.

Las tres normas más conocidas que incluyen SI, son:




- ISO/IEC 20000-1:2011, cuyo objetivo es certificar el SGS (Sistema de Gestión de Servicios) de una empresa, que incluya políticas y un marco de trabajo orientado a procesos, para hacer posible una efectiva gestión e implementación de todos los servicios.




Se basa en el ciclo PDCA de mejora continua y se inspira en las mejores prácticas de ITIL.


Es de carácter general, y por consiguiente solamente habla de seguridad en el apartado “6.6 Gestión de la Seguridad de la Información”.




Define como objetivo, gestionar la seguridad de la información de manera eficaz para todas las actividades del servicio.



- ISO/IEC 27001:2013, cuyo objetivo es certificar el SGSI (Sistema de Gestión de la Seguridad de la Información) de una empresa, especificando los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los riesgos empresariales generales.


- ISO 22301:2012, cuyo objetivo es certificar el SGCN (Sistema de Gestión de la Continuidad del Negocio). Ha sido publicada recientemente.



4. HOJA DE RUTA PARA LA IMPLANTACIÓN DE UN SGSI.


4.1. DEFINIR EL ALCANCE.


Antes de implementar un SGSI, lo primero que tenemos que hacer es definir es el alcance. Deben identificarse todos los activos y valorarse junto a los riesgos asociados para que se puedan categorizar, relacionándolos con los diferentes procesos del negocio que soportan, centrándonos en los más importantes.


Es absurdo pretender abarcarlo todo de entrada, dado que el esfuerzo necesario conducirá al desánimo primero y al fracaso después. No olvidemos que se trata de un sistema basado en la mejora continua y que por tanto deberá ir evolucionando y perfeccionándose con el paso del tiempo.


Ya que hemos mencionado que los objetivos de CUMPLIMIENTO son los únicos obligatorios, una idea es empezar integrando el SGSI con las medidas de seguridad que establece el RLOPD (Reglamento de aplicación de la LOPD: Real Decreto 1720/2007 de 21 de Diciembre) y que deben estar reflejadas en el DOCUMENTO DE SEGURIDAD preceptivo.


Dicho documento debe estar siempre actualizado y a disposición de posibles inspecciones por parte de la AEPD, para comprobar que se protegen adecuadamente los datos de carácter personal.


En cualquier caso y como paso previo, al margen del obligado cumplimiento legislativo, deberíamos analizar las necesidades del negocio con respecto a la SI (Seguridad de la Información), para así poder determinar de forma óptima objetivos y alcance, incluyendo el valor que podrían aportar a la empresa las certificaciones mencionadas.



4.2. ¿CÓMO LOGRAR UN SGSI CONFORME A LA ISO27001?





Para lograr un SGSI conforme a la ISO 27001, debe seguirse el siguiente esquema u hoja de ruta:






·      Definir los objetivos del proyecto y la política de seguridad.


·       Establecer un sistema de gestión de la documentación.


·       Definir el alcance del SGSI.


·       Desarrollar el inventario de activos.


·       Efectuar un análisis diferencial (optativo).


·       Efectuar un análisis de riesgos.


·       Obtener un plan de tratamiento de riesgos.


·       Elaborar la declaración de Aplicabilidad.


·       Definir registros y procedimientos.


·       Implementar procedimientos y controles.


·       Establecer un programa de formación y concienciación.


·       Planificar intervalos para las auditorías internas y la revisión del SGSI por la Dirección.


·       Estudiar las oportunidades de mejora y solucionar las “no conformidades” obtenidas de las auditorías.


Una vez definido el alcance del SGSI, a través de la gestión de cambios hay que llevar este alcance de una situación de inseguridad, hacia una nueva situación de seguridad.


Mediante el análisis diferencial, que se realiza en poco tiempo, podemos:


·       Detectar áreas de carencia evidentes.

·       Conocer el nivel de madurez de los controles de seguridad en la empresa.

·       Permite identificar acciones de mejora, sin esperar al análisis de riesgos.


El análisis diferencial es optativo ya que la norma ISO 27001 no lo exige, pero es una buena práctica. Debe basarse en:


·       Los Controles de Gestión de la norma ISO 27001 (apartados 4 a 8).

·       Los Controles de Seguridad de la norma ISO 27002 o Anexo A de la norma ISO 27001.


Todas las recomendaciones del Análisis Diferencial deben estar apoyadas en evidencias.


El Análisis de Riesgos consiste en identificar todos los casos posibles dentro del alcance del SGSI, donde los tres componentes:


·       Amenazas

·       Vulnerabilidades

·       Activo


pueden materializarse en un impacto para la empresa, pudiendo producir pérdidas de:


·       Confidencialidad

·       Disponibilidad

·       Integridad


de la información que deseamos proteger.


A Continuación hay que atribuir a cada riesgo un valor que nos permitirá tomar decisiones. De esta manera podemos:


·       Clasificar o priorizar todos los riesgos.

·       Establecer criterios o umbrales que puedan convertir un riesgo en asumible, en cuyo caso no haremos nada o en no asumible, lo que implicará tratarlo.


Dicha información se reflejará en un documento llamado Plan de Tratamiento de Riesgos o también nombrado como Plan Director de Seguridad.


Una vez dicho plan de tratamiento de riesgos es aprobado por la Dirección, es cuando elaboramos la Declaración de Aplicabilidad, que debe incluir:



·       Los objetivos de control y los controles seleccionados con las justificaciones de su elección.
 

·       Los objetivos de control y los controles actualmente implementados.


·       La exclusión de cualquier objetivo de control y control del anexo A de la norma, con la justificación de dicha exclusión.

Deben implementarse todos los controles según la Declaración de Aplicabilidad y definirse el modo de medir la su eficacia. Debe especificarse como deben usarse las mediciones para evaluar la eficacia de los controles, para poder producir unos resultados comparables y reproducibles.


Debe implementarse en la empresa un programa de formación y de concienciación dirigido a todo el personal sin excepción, y otro más específico a los que tengan relación directa con el SGSI.


Se implementarán procedimientos y otros controles que permitan una detección temprana de eventos de seguridad y una rápida respuesta ante cualquier incidente de seguridad.


Deben realizarse auditorías internas del SGSI en intervalos planificados, igual que una revisión con carácter regular por parte de la Dirección, para asegurar que el ámbito de aplicación sigue siendo adecuado y que se identifican mejoras del proceso del SGSI.


Evidentemente deben registrarse las acciones e incidencias que pudieran afectar a la eficacia o al funcionamiento del SGSI. A partir de ellas deberán actualizarse los planes de seguridad, teniendo también en cuenta las conclusiones de las actividades de supervisión y revisión en base a las auditorías.



NOTA DEL EDITOR: Para profundizar sobre las auditorías internas, puede consultarse un artículo específico en este mismo Blog:




4.3. REQUISITOS DE LA DOCUMENTACIÓN.


Los documentos exigidos por el SGSI deben estar protegidos y controlados. Debe establecerse un procedimiento documentado para gestionarlos.


Se considerará su revisión, actualización, aprobación, control de versiones, política de acceso y conservación, distribución, retirada de obsoletos. . .


La documentación deberá incluir:




·       Declaraciones documentadas de la política de Seguridad de la Información.

·       Alcance del SGSI / Objetivos.

·       Los procedimientos y mecanismos de control que soportan el SGSI.

·       Una descripción de la metodología de evaluación de riesgos.

·       El informe de evaluación de riesgos.

·       El plan de tratamiento de riesgos.

·       Los procedimientos documentados que necesita la empresa para aplicar el SGSI.

·       Los registros requeridos por la norma.

·       La declaración de aplicabilidad.



4.4. LAS PYMES QUE SE INICIAN.


Las pymes que no dispongan hasta la fecha de un SGSI, pueden contemplar la posibilidad de empezar con la gestión de las medidas de seguridad y procedimientos que establece el RLOPD y una vez estabilizado dicho sistema, ir abarcando mayor alcance dentro de la empresa, hasta conseguir un completo SGSI.


NOTA DEL EDITOR: Como introducción didáctica a la LOPD y para obtener la hoja de ruta necesaria para la adecuación de una empresa a dicha Ley Orgánica, puede consultarse el material de la ponencia específica, que se presentó en el “hotel Palace” de Barcelona:

ADECUAR UNA EMPRESA A LA LOPD





5. BIBLIOGRAFÍA CONSULTADA.

 

- Ana Andrés y Luis Gómez. “Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes”. AENOR Ediciones 2009.
 
- Cristina Merino y Ricardo Cañizares. “Implantación de un SISTEMA de GESTIÓN de SEGURIDAD de la INFORMACIÓN según ISO 27001”. FC Editorial 2011.
 
- AENOR. “UNE-ISO/IEC 27001: 2008 ; Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos”.
- ISO cpyright office. “ISO/IEC 27002 – Code of practice for information security management”. 2005.
- AENOR. “UNE 71501-1 ; Parte 1: Conceptos y modelos para la seguridad de TI”.
 - AENOR. “UNE 71501-2 ; Parte 2: Gestión y planificación de la seguridad de TI”.
- AENOR. “UNE 71501-3 ; Parte 3: Técnicas para la gestión de la seguridad de TI”.


6. DERECHOS DE AUTOR.
 
Todas las imagines bajo licencia 123RF Internacional o extraídas de los documentos referenciados en el apartado BIBLIOGRAFÍA CONSULTADA.
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre el autor:


José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.
También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.


Colaboración
MARGARITA PARDO DE SANTAYANA C.




No hay comentarios:

Publicar un comentario