Consejos de implantacin y mtricas de ISO/IEC 27001 y 27002
Realizado por la comunidad internacional de implantadores de ISO27000 de ISO27001security.com
Traducido del original ingls al espaol por www.iso27000.es Versin 1, 28 de J unio de 2007
Introduccin Esto es un documento colaborativo creado por implantadores de ISO/IEC 27001 y 27002 pertenecientes al ISO27k implementers' forum. Queramos documentar y compartir algunas recomendaciones pragmticas para implantar los estndares de gestin de seguridad de la informacin, adems de potenciales mtricas para medir y reportar el estado de la seguridad de la informacin, referenciadas en ambos casos a los estndares ISO/IEC. Alcance Esta gua cubre todos los 39 objetivos de control listados en las secciones 5 a 15 de ISO/IEC 27002, adems de la seccin 4 de evaluacin y tratamiento de riesgos que les precede. Objetivo Este documento pretende ayudar a otros que estn implantando o planeando implantar los estndares ISO/IEC de gestin de seguridad de la informacin. Al igual que los propios estndares ISO/IEC, se trata de un documento genrico y necesita ser adaptado a las necesidades especficas de cada uno. Copyright Este trabajo tiene copyright 2007, ISO27k implementers' forum, algunos derechos reservados. Est licenciado bajo licencia Creative Commons Attribution-Noncommercial-Share Alike 3.0. Vd. puede reproducir, distribuir, usar y crear trabajos derivados de este, siempre y cuando (a) no sean vendidos o incorporados en ningn producto comercial, (b) sean correctamente atribuidos al ISO27k implementers forum (www.ISO27001security.com), y (c) sean compartidos bajo los mismos trminos que este. Copyright 2007, ISO27k implementers forum www.ISO27001security.com Pgina 1 de 14 Copyright 2007, ISO27001security forum Pgina 2 de 14
Ref. Objetivo Consejos de implementacin Posibles mtricas 4. Evaluacin y tratamiento de riesgos 4.1 Evaluacin de ries- gos de seguridad Se puede usar cualquier mtodo de gestin de riesgos de se- guridad de la informacin, con preferencia por mtodos docu- mentados, estructurados y generalmente aceptados como OCTAVE, MEHARI, ISO TR 13335 BS 7799 Parte 3 (y, en su momento, ISO/IEC 27005). Porcentaje de riesgos identificados evaluados como de importancia alta, media o baja, ms "no evaluados". 4.2 Tratamiento de ries- gos de seguridad La gerencia (especficamente, los propietarios de activos de in- formacin) necesita evaluar los riesgos y decidir qu hacer con ellos. Tales decisiones deben documentarse en un Plan de Tra- tamiento de Riesgos (PTR). Es aceptable que la direccin deci- da explcitamente no hacer nada con ciertos riesgos de seguri- dad de la informacin que se estiman dentro de la "tolerancia al riesgo" de la organizacin, sin que sea ste el enfoque por de- fecto. Tendencia en nmero de riesgos relativos a seguridad de la informacin en cada nivel de importancia. Costes de seguridad de la informacin como porcentaje de los ingresos totales o del presupuesto de TI. Porcentaje de riesgos de seguridad de la informacin para los cuales se han implantando totalmente controles satis- factorios. 5. Poltica de seguridad 5.1 Poltica de seguri- dad de la informa- cin Piense en trminos de un manual o wiki de polticas de seguri- dad de la informacin que contenga un conjunto coherente e in- ternamente consistente de polticas, normas, procedimientos y directrices. Determine la frecuencia de revisin de la poltica de seguridad de la informacin y las formas de comunicacin a toda la orga- nizacin. La revisin de la idoneidad y adecuacin de la poltica de seguridad de la informacin puede ser incluida en las revi- siones de la direccin. Cobertura de la poltica (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado polticas y sus normas, pro- cedimientos y directrices asociadas. Grado de despliegue y adopcin de la poltica en la orga- nizacin (medido por auditora, gerencia o auto- evaluacin). Copyright 2007, ISO27001security forum Pgina 3 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 6. Aspectos organizativos de la seguridad de la informacin 6.1 Organizacin interna Reproduzca la estructura y tamao de otras funciones corpora- tivas especializadas, como Legal, Riesgos y Compliance. Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia global para man- tener los riesgos de seguridad de la informacin por deba- jo de umbrales explcitamente aceptados por la direccin. Porcentaje de empleados que han (a) recibido y (b) acep- tado formalmente, roles y responsabilidades de seguridad de la informacin. 6.2 Terceros Haga inventario de conexiones de red y flujos de informacin significativos con 3 as partes, evale sus riesgos y revise los controles de seguridad de informacin existentes respecto a los requisitos. Esto puede dar miedo, pero es 100% necesario! Considere exigir certificados en ISO/IEC 27001 a los partners ms crticos, tales como outsourcing de TI, proveedores de servicios de seguridad TI, etc. Porcentaje de conexiones con terceras partes que han si- do identificadas, evaluadas en cuanto a su riesgo y esti- madas como seguras. 7. Gestin de activos 7.1 Responsabilidad so- bre los activos Elabore y mantenga un inventario de activos de informacin (similar al preparado en su da para el Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsa- bles de proteger sus activos) y los detalles relevantes (p. ej., ubicacin, n de serie, n de versin, estado de desarrollo / pruebas / produccin, etc.). Use cdigos de barras para facilitar las tareas de realizacin de inventario y para vincular equipos de TI que entran y salen de las instalaciones con empleados. Porcentaje de activos de informacin en cada fase del proceso de clasificacin (identificado / inventariado / pro- pietario asignado / riesgo evaluado / clasificado / asegura- do). Porcentaje de activos de informacin claves para los cua- les se ha implantado una estrategia global para mitigar riesgos de seguridad de la informacin segn sea necesa- rio y para mantener dichos riesgos en niveles aceptables. 7.2 Clasificacin de la informacin Mantenga la sencillez! Distinga los requisitos de seguridad b- sicos (globales) de los avanzados, de acuerdo con el riesgo. Comience quizs con la confidencialidad, pero no olvide los re- quisitos de integridad y disponibilidad. Porcentaje de activos de informacin en cada categora de clasificacin (incluida la de "an sin clasificar"). Copyright 2007, ISO27001security forum Pgina 4 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 8. Seguridad ligada a los recursos humanos 8.1 Antes de la contra- tacin Conjuntamente con RRHH, asegure que se emplea un proceso de verificacin de antecedentes proporcional a la clasificacin de seguridad de aquella informacin a la que va a acceder el empleado a contratar. Dicho simplemente, el proceso de con- tratacin de un administrador de sistemas TI debera ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formacin, conocimientos, etc. Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.) que hayan si- do totalmente verificados y aprobados de acuerdo con las polticas de la empresa antes de comenzar a trabajar. 8.2 Durante la contrata- cin La responsabilidad con respecto a la proteccin de la informa- cin no finaliza cuando un empleado se va a casa o abandona la organizacin. Asegure que esto se documenta claramente en materiales de concienciacin, contratos de empleo, etc. Contemple la posibilidad de una revisin anual por RRHH de los contratos junto con los empleados para refrescar las expec- tativas expuestas en los trminos y condiciones de empleo, in- cluyendo su compromiso con la seguridad de la informacin. Respuesta a las actividades de concienciacin en seguri- dad medidas por, p. ej., el nmero de e-mails y llamadas relativas a iniciativas de concienciacin individuales. 8.3 Cese o cambio de puesto de trabajo Vase Seccin 7.1. La devolucin de los activos de la organi- zacin cuando un empleado se marcha sera mucho ms senci- lla de verificar si el inventario de activos ha sido actualizado y verificado regularmente. Examine qu accesos necesita revocar en primer lugar cuando un empleado presenta su carta de dimisin: cules son los sistemas ms crticos o vulnerables? Haga un seguimiento del uso del e-mail por estas personas an- tes de salir definitivamente de la empresa, por si comienzan a sacar informacin confidencial (sujeto a las polticas aplicables y a consideraciones legales sobre privacidad). Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la organizacin, separados por las categoras de activos (pendientes de desactivacin) e inactivos (pendientes de archivo y borrado). Copyright 2007, ISO27001security forum Pgina 5 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 9. Seguridad fsica y ambiental 9.1 reas seguras El estndar parece centrarse en el CPD pero hay muchas otras reas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estnda- res se refieren a asegurar la informacin, no slo las TI). Examine la entrada y salida de personas a/de su organizacin. Hasta dnde podra llegar el repartidor de pizza o el mensaje- ro sin ser parado, identificado y acompaado? Qu podran ver, llevarse o escuchar mientras estn dentro? Algunas orga- nizaciones usan tarjetas de identificacin de colores para indi- car las reas accesibles por los visitantes (p. ej., azul para la 1 planta, verde para la 3, etc.; ahora, si ve a alguien con una identificacin verde en la 4 planta, retngalo). Asegrese de retirar todos los pases de empleado y de visita cuando se vayan. Haga que los sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de visi- ta que se vuelvan opacos o muestren de alguna manera que ya no son vlidos a las x horas de haberse emitido. Informes de inspecciones peridicas de seguridad fsica de instalaciones, incluyendo actualizacin regular del es- tado de medidas correctivas identificadas en inspecciones previas que an estn pendientes. 9.2 Seguridad de los equipos Haga que los vigilantes de seguridad impidan a cualquiera (em- pleados, visitas, personas de soporte TI, mensajeros, personal de mudanzas, etc.) sacar equipos informticos de las instala- ciones sin autorizacin escrita. Convirtalo en un elemento di- suasorio visible mediante chequeos aleatorios (o, incluso, arcos de deteccin de metales). Est especialmente atento a puertas traseras, rampas de carga, salidas para fumadores, etc. Tome en consideracin el uso de cdigos de barras para hacer los chequeos ms eficientes. Nmero de chequeos (a personas a la salida y a existen- cias en stock) realizados en el ltimo mes y porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes informticos u otras cuestiones de seguridad. Copyright 2007, ISO27001security forum Pgina 6 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 10. Gestin de comunicaciones y operaciones 10.1 Responsabilidades y procedimientos de operacin Documente procedimientos, normas y directrices de seguridad de la informacin, adems de roles y responsabilidades, identi- ficadas en el manual de poltica de seguridad de la organiza- cin. Mtricas de madurez de procesos TI relativos a seguridad, tales como el semiperiodo de aplicacin de parches de seguridad (tiempo que ha llevado parchear al menos la mi- tad de los sistemas vulnerables -esta medida evita la cola variable provocada por los pocos sistemas inevitables que permanecen sin parchear por no ser de uso diario, estar normalmente fuera de la oficina o cualquier otra razn-). 10.2 Gestin de la provi- sin de servicios por terceros Lo que recibe vale lo que paga por ello? D respuesta a esta pregunta y respldela con hechos, estableciendo un sistema de supervisin de terceros proveedores de servicios y sus respec- tivas entregas de servicio. Revise peridicamente los acuerdos de nivel de servicio (SLA) y comprelos con los registros de supervisin. En algunos casos puede funcionar un sistema de premio y castigo. Est atento a cambios que tengan impacto en la seguridad. Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluacin del rendimiento de proveedores incluyendo la calidad de servicio, entrega, coste, etc. 10.3 Planificacin y acep- tacin del sistema Adopte procesos estructurados de planificacin de capacidad TI, desarrollo seguro, pruebas de seguridad, etc., usando es- tndares aceptados como ISO 20000 (ITIL) donde sea posible. Defina e imponga estndares de seguridad bsica (mnimos aceptables) para todas las plataformas de sistemas operativos, usando las recomendaciones de seguridad de CIS, NIST, NSA y fabricantes de sistemas operativos y, por supuesto, sus pro- pias polticas de seguridad de la informacin. Porcentaje de cambios de riesgo bajo, medio, alto y de emergencia. Nmero y tendencia de cambios revertidos y rechazados frente a cambios exitosos. Porcentaje de sistemas (a) que deberan cumplir con es- tndares de seguridad bsica o similares y (b) cuya con- formidad con dichos estndares ha sido comprobada me- diante benchmarking o pruebas. 10.4 Proteccin contra cdigo malicioso y mvil Combine controles tecnolgicos (p. ej., software antivirus) con medidas no tcnicas (educacin, concienciacin y formacin). No sirve de mucho tener el mejor software antivirus del merca- do si los empleados siguen abriendo e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables! Tendencia en el nmero de virus, gusanos, troyanos o spam detectados y bloqueados. Nmero y costes acumulados de incidentes por software malicioso. Copyright 2007, ISO27001security forum Pgina 7 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 10.5 Copias de seguridad Implante procedimientos de backup y recuperacin que satisfa- gan no slo requisitos contractuales sino tambin requisitos de negocio "internos" de la organizacin. Bsese en la evaluacin de riesgos realizada para determinar cules son los activos de informacin ms importantes y use esta informacin para crear su estrategia de backup y recuperacin. Hay que decidir y es- tablecer el tipo de almacenamiento, soporte a utilizar, aplica- cin de backup, frecuencia de copia y prueba de soportes. Encripte copias de seguridad y archivos que contengan datos sensibles o valiosos (en realidad, sern prcticamente todos porque, si no, para qu hacer copias de seguridad?). Porcentaje de operaciones de backup exitosas. Porcentaje de recuperaciones de prueba exitosas. Tiempo medio transcurrido desde la recogida de los so- portes de backup de su almacenamiento fuera de las ins- talaciones hasta la recuperacin exitosa de los datos en todas ubicaciones principales. Porcentaje de backups y archivos con datos sensibles o valiosos que estn encriptados. 10.6 Gestin de la segu- ridad de las redes Prepare e implante estndares, directrices y procedimientos de seguridad tcnicos para redes y herramientas de seguridad de red como IDS/IPS (deteccin y prevencin de intrusiones), ges- tin de vulnerabilidades, etc. Nmero de incidentes de seguridad de red identificados en el mes anterior, dividido por categoras de leve / impor- tante / grave, con anlisis de tendencias y descripcin comentada de todo incidente serio y tendencia adversa. 10.7 Manejo de los so- portes Asegure los soportes y la informacin en trnsito no solo fsico sino electrnico (a travs de las redes). Encripte todos los datos sensibles o valiosos antes de ser transportados. Porcentaje de soportes de backup o archivo que estn to- talmente encriptados. 10.8 Intercambio de in- formacin Estudie canales de comunicaciones alternativos y "pre- autorizados", en especial direcciones de e-mail secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si caen las redes. El verificar canales de comunica- cin alternativos reducir el estrs en caso de un incidente real. Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b) implementado satisfactoriamente los requisitos de seguridad de la informacin. 10.9 Servicios de comer- cio electrnico Trabaje estrechamente con las unidades de negocio para des- arrollar un eBusiness seguro, incorporando requisitos de segu- ridad de la informacin en los proyectos, y con ello en los sis- temas de eCommerce, desde el principio (tambin en cualquier cambio/actualizacin posterior). Insista en el valor aadido de la seguridad en la reduccin de riesgos comerciales, legales y operativos asociados al eBusiness. Trabaje los 3 aspectos cla- ve de la seguridad: confidencialidad, integridad y disponibilidad. "Estado de la eSeguridad", es decir, un informe sobre el nivel global de confianza de la direccin, basado en el anlisis de los ltimos tests de penetracin, incidentes ac- tuales o recientes, vulnerabilidades actuales conocidas, cambios planificados, etc. Copyright 2007, ISO27001security forum Pgina 8 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 10.10 Supervisin El viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no puedes medir o monitorizar" es tambin v- lido para la seguridad de la informacin. La necesidad de im- plantar procesos de supervisin es ms evidente ahora que la medicin de la eficacia de los controles se ha convertido en un requisito especfico. Analice la criticidad e importancia de los datos que va a monitorizar y cmo esto afecta a los objetivos globales de negocio de la organizacin en relacin a la seguri- dad de la informacin. Porcentaje de sistemas cuyos logs de seguridad (a) estn adecuadamente configurados, (b) son transferidos con seguridad a un sistema de gestin centralizada de logs y (c) son monitorizados/revisados/evaluados regularmente. Tendencia en el nmero de entradas en los logs de segu- ridad que (a) han sido registradas, (b) han sido analizadas y (c) han conducido a actividades de seguimiento. 11. Control de accesos 11.1 Requisitos de nego- cio para el control de accesos Los propietarios de activos de informacin que son responsa- bles ante la direccin de la proteccin "sus" activos deberan tener la capacidad de definir y/o aprobar las reglas de control de acceso y otros controles de seguridad. Asegrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes. Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identifi- cados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) defini- do las reglas de control de acceso basadas en roles. 11.2 Gestin de acceso de usuario Cree la funcin diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de control de acceso definidas por los propietarios de las aplica- ciones y la direccin de seguridad de la informacin. Invierta en proporcionar al administrador de seguridad herra- mientas para realizar sus tareas lo ms eficientemente posible. Tiempo medio transcurrido entre la solicitud y la realiza- cin de peticiones de cambio de accesos y nmero de so- licitudes de cambio de acceso cursadas en el mes anterior (con anlisis de tendencias y comentarios acerca de cual- quier pico / valle (p. ej., "Implantada nueva aplicacin fi- nanciera este mes"). 11.3 Responsabilidades del usuario Asegrese de que se establecen las responsabilidades de se- guridad y que son entendidas por el personal afectado. Una buena estrategia es definir y documentar claramente las res- ponsabilidades relativas a seguridad de la informacin en las descripciones o perfiles de los puestos de trabajo. Son impres- cindibles las revisiones peridicas para incluir cualquier cambio. Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisin anual de objetivos), para recordar- les sus responsabilidades y recoger cualquier cambio. Porcentaje de descripciones de puesto de trabajo que in- cluyen responsabilidades en seguridad de la informacin (a) totalmente documentadas y (b) formalmente acepta- das. Copyright 2007, ISO27001security forum Pgina 9 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 11.4 Control de acceso a la red Mantenga el equilibrio entre controles de seguridad perimetra- les (LAN/WAN) e internos (LAN/LAN), frente a controles de se- guridad en aplicaciones (defensa en profundidad). Estadsticas de cortafuegos, tales como porcentaje de pa- quetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a pginas web prohibidas; nmero de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/crticos). 11.5 Control de acceso al sistema operativo Implante estndares de seguridad bsica para todas las plata- formas informticas y de comunicaciones, recogiendo las mejo- res prcticas de CIS, NIST, fabricantes de sistemas, etc. Estadsticas de vulnerabilidad de sistemas y redes, como n de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categoras del fabricante o propias). 11.6 Control de acceso a la aplicacin y a la informacin Implante estndares de seguridad bsica para todas las aplica- ciones y middleware, recogiendo las mejores prcticas y check- lists de CIS, NIST, fabricantes de software, etc. Porcentaje de plataformas totalmente conformes con los estndares de seguridad bsica (comprobado mediante pruebas independientes), con anotaciones sobre los sis- temas no conformes (p. ej., "Sistema de finanzas ser ac- tualizado para ser conforme en cuarto trimestre)". 11.7 Ordenadores portti- les y teletrabajo Tenga polticas claramente definidas para la proteccin, no slo de los propios equipos informticos porttiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin almace- nada en ellos. Por lo general, el valor de la informacin supera con mucho el del hardware. Asegrese de que el nivel de proteccin de los equipos infor- mticos utilizados dentro de las instalaciones de la organiza- cin tiene su correspondencia en el nivel de proteccin de los equipos porttiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc. "Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe sobre el estado actual de la seguridad de equipos informticos porttiles (laptops, PDAs, telfo- nos mviles, etc.), y de teletrabajo (en casa de los em- pleados, fuerza de trabajo mvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, despliegue de configuraciones seguras, antivi- rus, firewalls personales, etc. Copyright 2007, ISO27001security forum Pgina 10 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 12. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin 12.1 Requisitos de segu- ridad de los siste- mas de informacin Involucre a los "propietarios de activos de informacin" en eva- luaciones de riesgos a alto nivel y consiga su aprobacin de los requisitos de seguridad que surjan. Si son realmente responsa- bles de proteger sus activos, es en inters suyo el hacerlo bien. Est al tanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medi- das protectoras o defensivas apropiadas. Numerosas referen- cias ofrecen orientacin sobre la implementacin, como, p. ej., OWASP. Ver 11.1 12.2 Procesamiento co- rrecto en las aplica- ciones Siempre que sea posible, utilice libreras y funciones estndar para necesidades corrientes como validacin de datos de en- trada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validacin y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba auto- matizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyeccin SQL, etc. Porcentaje de sistemas para los cuales los controles de validacin de datos se han (a) definido y (b) implementado y demostrado eficaces mediante pruebas. 12.3 Controles criptogr- ficos Utilice estndares formales actuales tales como AES, en lugar de algoritmos de cosecha propia. La implementacin es crucial! Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente controles criptogrficos apropiados (periodo de reporte de 3 a 12 meses). 12.4 Seguridad de los ar- chivos de sistema Aplique consistentemente estndares de seguridad bsica, asegurando que se siguen las recomendaciones de CIS, NIST, fabricantes de sistemas, etc. Porcentaje de sistemas evaluados de forma independiente como totalmente conformes con los estndares de seguri- dad bsica aprobados, respecto a aquellos que no han si- do evaluados, no son conformes o para los que no se han aprobado dichos estndares. Copyright 2007, ISO27001security forum Pgina 11 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 12.5 Seguridad en los procesos de desa- rrollo y soporte Incorpore la seguridad de la informacin al ciclo de vida de de- sarrollo de sistemas en todas sus fases, desde la concepcin hasta la desaparicin de un sistema, por medio de la inclusin de "recordatorios" sobre seguridad en los procedimientos y m- todos de desarrollo, operaciones y gestin de cambios. Trate el desarrollo e implementacin de software como un pro- ceso de cambio. Integre las mejoras de seguridad en las activi- dades de gestin de cambios (p. ej., documentacin y forma- cin procedimental para usuarios y administradores). "Estado de la seguridad en sistemas en desarrollo", es decir, un informe sobre el estado actual de la seguridad en los procesos de desarrollo de software, con comentarios sobre incidentes recientes/actuales, vulnerabilidades ac- tuales de seguridad conocidas y pronsticos sobre cual- quier riesgo creciente, etc. 12.6 Gestin de la vulne- rabilidad tcnica Haga un seguimiento constante de parches de seguridad me- diante herramientas de gestin de vulnerabilidades y/o actuali- zacin automtica siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). Evale la relevancia y criticidad o urgencia de los parches en su entorno tecnolgico. Pruebe y aplique los parches crticos, o tome otras medidas de proteccin, tan rpida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estn siendo explotadas fuera activamente. Evite quedarse tan atrs en la rutina de actualizacin de versiones que sus sis- temas queden fuera de soporte por el fabricante. Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas vulnera- bles -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como porttiles fuera de la empresa o almacenados-). 13. Gestin de incidentes en la seguridad de la informacin 13.1 Notificacin de eventos y puntos dbiles de la seguri- dad de la informa- cin Establezca y d a conocer una hotline (generalmente, el help- desk habitual de TI) para que la gente pueda informar de inci- dentes, eventos y problemas de seguridad. Estadsticas del helpdesk de TI, con anlisis sobre el n- mero y tipos de llamadas relativas a seguridad de la in- formacin (p. ej., cambios de contrasea; porcentaje de preguntas acerca de riesgos y controles de seguridad de la informacin respecto al total de preguntas). A partir de las estadsticas, cree y publique una tabla de clasificacin por departamentos (ajustada segn el nmero de emplea- dos por departamento), mostrando aquellos que estn cla- ramente concienciados con la seguridad, frente a los que no lo estn. Copyright 2007, ISO27001security forum Pgina 12 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 13.2 Gestin de inciden- tes de seguridad de la informacin y me- joras Las revisiones post-incidente y los casos de estudio para inci- dentes serios, tales como fraudes, ilustran los puntos dbiles de control, identifican oportunidades de mejora y conforman por s mismos un mecanismo eficaz de concienciacin en seguri- dad. Nmero y gravedad de incidentes; evaluaciones de los costes de analizar, detener y reparar los incidentes y cual- quier prdida tangible o intangible producida. Porcentaje de incidentes de seguridad que han causado costes por encima de umbrales aceptables definidos por la direccin. 14. Gestin de la continuidad del negocio 14.1 Aspectos de seguri- dad de la informa- cin en la gestin de la continuidad del negocio Considere la gestin de continuidad de negocio como un pro- ceso con entradas procedentes de diversas funciones (alta di- reccin, TI, operaciones, RRHH, etc.) y actividades (evaluacin de riesgos, etc.). Asegure la coherencia y concienciacin mediante personas y unidades organizativas relevantes en los planes de continuidad de negocio. Deberan llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros, pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la con- fianza de la direccin en los planes y (c) familiarizar a los em- pleados relevantes con sus funciones y responsabilidades bajo condiciones de desastre. Obtenga consejos de implantacin en BS 25999 - Gestin de la Continuidad de Negocio. Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida (requerido / especificado / documentado / probado). Porcentaje de unidades organizativas con planes de con- tinuidad de negocio que han sido adecuadamente (a) do- cumentados y (b) probados mediante tests apropiados en los ltimos 12 meses. Copyright 2007, ISO27001security forum Pgina 13 de 14 Ref. Objetivo Consejos de implementacin Posibles mtricas 15. Cumplimiento 15.1 Cumplimiento de los requisitos legales Obtenga asesoramiento legal competente, especialmente si la organizacin opera o tiene clientes en mltiples jurisdicciones. Nmero de cuestiones o recomendaciones de cumplimien- to legal, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de ries- go (alto, medio o bajo). Porcentaje de requisitos externos clave que, mediante au- ditoras objetivas o de otra forma admisible, han sido con- siderados conformes. 15.2 Cumplimiento de las polticas y normas de seguridad y cum- plimiento tcnico Alinee los procesos de auto-evaluacin de controles de seguri- dad con las auto-evaluaciones de gobierno corporativo, cum- plimiento legal y regulador, etc., complementados por revisio- nes de la direccin y verificaciones externas de buen funciona- miento. Nmero de cuestiones o recomendaciones de poltica in- terna y otros aspectos de cumplimiento, agrupadas y ana- lizadas por su estado (cerradas, abiertas, nuevas, retrasa- das) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de revisiones de cumplimiento de seguridad de la informacin sin incumplimientos sustanciales. 15.3 Consideraciones de las auditoras de los sistemas de infor- macin Invierta en auditora TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estndares y mtodos de buenas prcticas similares como referencias de comparacin. Examine ISO 19011 "Directrices para la auditora de los siste- mas de gestin de la calidad y/o ambiental" como fuente valio- sa para la realizacin de auditoras internas del SGSI. ISO 19011 proporciona un marco excelente para crear un programa de auditoras internas y contiene asimismo las cualificaciones del equipo de auditora interna. Nmero de cuestiones o recomendaciones de auditora, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de hallazgos de auditora relativos a seguridad de la informacin que han sido resueltos y cerrados, res- pecto al total de abiertos en el mismo periodo. Tiempo medio real de resolucin/cierre de recomendacio- nes, respecto a los plazos acordados por la direccin al fi- nal de las auditoras. *** Fin de la tabla *** Copyright 2007, ISO27k implementers forum www.ISO27001security.com Pgina 14 de 14 Referencias de fuentes adicionales de informacin Berinato, S. (2005). "A Few Good Metrics". CIO-Asia, Septiembre. Centrado en la seleccin y medida de unas pocas mtricas tiles, antes que un gran nme- ro de ellas intiles. Ideas creativas de presentacin en informes a la direccin. Berinato, S., Campbell, G., Mena, C., y Lefler, D. (2005). "Influencing Senior Management - Security Metrics". Presentacin al CSO Executive Council. Conse- jos en la seleccin de mtricas de seguridad S.M.A.R.T. [especficas -Specific-, medibles -Measurable-, alcanzables -Achievable-, relevantes -Relevant- y delimi- tadas en el tiempo -Time bound-] que sean reducidas en nmero, actuales y precisas, validadas y aprobadas por las partes interesadas y (sobre todo) tiles. Hinson, G. (2006). "7 Myths About Security Metrics". ISSA J ournal, J ulio. Plantea consideraciones de diseo de un sistema de mtricas de seguridad, con al- gunos ejemplos. Hauser, J .R. and Katz, G.M. (1998). "Metrics: You Are What You Measure". MIT. Un artculo para la reflexin que avisa sobre los peligros de conducir un pro- ceso en una direccin no pretendida, por el uso de mtricas inapropiadas. ISO/IEC 27001:2005. "International standard - Information technology - Security techniques - Information security management systems - Requirements". ISO/IEC 27002:2005. "International standard - Information technology - Security techniques - Code of practice for information security management" [anterior- mente conocida como ISO/IEC 17799:2005]. NIST (National Institute of Standards and Technology) (2003). Security Metrics Guide for Information Technology Systems. Special Publication 800-55. Inclu- ye una lista extraordinariamente exhaustiva de posibles mtricas (pero, desafortunadamente, no ayuda mucho en cmo seleccionar mtricas tiles). El primer borrador pblico de la Special Publication 800-80 "Guide for Developing Performance Metrics for Information Security" est disponible para comentarios. Registro de cambios Versin 1, 28 de J unio de 2007 Publicado por el ISO27k implementers' forum. Aportaciones de Gary Hinson, H Deura, K, Ramiah Marappan, Rainier Vergara y Richard O. Regalado. Traducido del original ingls al espaol por J avier Ruiz Spohr (www.iso27000.es). 16 de Noviembre de 2007. Feedback Comentarios, preguntas y sugerencias de mejora (especialmente, sugerencias de mejora!) son bienvenidas a travs del ISO27k implementers' forum o, direc- tamente, al administrador del foro Gary@isect.com
Manual de un CISO: Reflexiones no convencionales sobre la gerencia de la seguridad de la información en un mundo VICA (Volátil, Incierto, Complejo y Ambiguo)