Documente Academic
Documente Profesional
Documente Cultură
Introducción
Esto es un documento colaborativo creado por implantadores de ISO/IEC 27001 y 27002 pertenecientes al ISO27k implementers' forum. Queríamos documentar
y compartir algunas recomendaciones pragmáticas para implantar los estándares de gestión de seguridad de la información, además de potenciales métricas
para medir y reportar el estado de la seguridad de la información, referenciadas en ambos casos a los estándares ISO/IEC.
Alcance
Esta guía cubre todos los 39 objetivos de control listados en las secciones 5 a 15 de ISO/IEC 27002, además de la sección 4 de evaluación y tratamiento de
riesgos que les precede.
Objetivo
Este documento pretende ayudar a otros que estén implantando o planeando implantar los estándares ISO/IEC de gestión de seguridad de la información. Al
igual que los propios estándares ISO/IEC, se trata de un documento genérico y necesita ser adaptado a las necesidades específicas de cada uno.
Copyright
Este trabajo tiene copyright © 2007, ISO27k implementers' forum, algunos derechos reservados. Está licenciado bajo licencia Creative Commons
Attribution-Noncommercial-Share Alike 3.0. Vd. puede reproducir, distribuir, usar y crear trabajos derivados de este, siempre y cuando (a) no
sean vendidos o incorporados en ningún producto comercial, (b) sean correctamente atribuidos al ISO27k implementers’ forum
(www.ISO27001security.com), y (c) sean compartidos bajo los mismos términos que este.
5. Política de seguridad
Ref. Objetivo Consejos de implementación Posibles métricas
7. Gestión de activos
¿Lo que recibe vale lo que paga por ello? Dé respuesta a esta
pregunta y respáldela con hechos, estableciendo un sistema de Coste del tiempo de inactividad debido al incumplimiento
supervisión de terceros proveedores de servicios y sus respec- de los acuerdos de nivel de servicio.
Gestión de la provi-
tivas entregas de servicio. Revise periódicamente los acuerdos
10.2 sión de servicios por
de nivel de servicio (SLA) y compárelos con los registros de su- Evaluación del rendimiento de proveedores incluyendo la
terceros
pervisión. En algunos casos puede funcionar un sistema de
calidad de servicio, entrega, coste, etc.
premio y castigo. Esté atento a cambios que tengan impacto en
la seguridad.
10.3 Planificación y acep- Adopte procesos estructurados de planificación de capacidad Porcentaje de cambios de riesgo bajo, medio, alto y de
tación del sistema TI, desarrollo seguro, pruebas de seguridad, etc., usando es- emergencia.
Ref. Objetivo Consejos de implementación Posibles métricas
tándares aceptados como ISO 20000 (ITIL) donde sea posible. Número y tendencia de cambios revertidos y rechazados
frente a cambios exitosos.
Defina e imponga estándares de seguridad básica (mínimos Porcentaje de sistemas (a) que deberían cumplir con es-
aceptables) para todas las plataformas de sistemas operativos,
tándares de seguridad básica o similares y (b) cuya con-
usando las recomendaciones de seguridad de CIS, NIST, NSA
y fabricantes de sistemas operativos y, por supuesto, sus pro- formidad con dichos estándares ha sido comprobada me-
pias políticas de seguridad de la información. diante benchmarking o pruebas.
Combine controles tecnológicos (p. ej., software antivirus) con Tendencia en el número de virus, gusanos, troyanos o
Protección contra medidas no técnicas (educación, concienciación y formación). spam detectados y bloqueados.
10.4 código malicioso y ¡No sirve de mucho tener el mejor software antivirus del merca-
Número y costes acumulados de incidentes por software
móvil do si los empleados siguen abriendo e-mails de remitentes des-
conocidos o descargando ficheros de sitios no confiables! malicioso.
10.7 Manejo de los so- Asegure los soportes y la información en tránsito no solo físico Porcentaje de soportes de backup o archivo que están to-
portes sino electrónico (a través de las redes). talmente encriptados.
Cree la función diferenciada de "administrador de seguridad", Tiempo medio transcurrido entre la solicitud y la realiza-
con responsabilidades operativas para aplicar las reglas de ción de peticiones de cambio de accesos y número de so-
control de acceso definidas por los propietarios de las aplicacio-
licitudes de cambio de acceso cursadas en el mes anterior
Gestión de acceso
11.2 nes y la dirección de seguridad de la información. (con análisis de tendencias y comentarios acerca de cual-
de usuario
quier pico / valle (p. ej., "Implantada nueva aplicación fi-
Invierta en proporcionar al administrador de seguridad herra-
nanciera este mes").
mientas para realizar sus tareas lo más eficientemente posible.
Tenga políticas claramente definidas para la protección, no sólo "Estado de la seguridad en entorno portátil / teletrabajo",
de los propios equipos informáticos portátiles (es decir, laptops,
es decir, un informe sobre el estado actual de la seguridad
PDAs, etc.), sino, en mayor medida, de la información almace-
nada en ellos. Por lo general, el valor de la información supera de equipos informáticos portátiles (laptops, PDAs, teléfo-
con mucho el del hardware. nos móviles, etc.), y de teletrabajo (en casa de los em-
Ordenadores portáti-
11.7 pleados, fuerza de trabajo móvil), con comentarios sobre
les y teletrabajo
Asegúrese de que el nivel de protección de los equipos infor- incidentes recientes/actuales, vulnerabilidades actuales de
máticos utilizados dentro de las instalaciones de la organiza- seguridad conocidas y pronósticos sobre cualquier riesgo
ción tiene su correspondencia en el nivel de protección de los
creciente, despliegue de configuraciones seguras, antivi-
equipos portátiles, en aspectos tales como antivirus, parches,
actualizaciones, software cortafuegos, etc. rus, firewalls personales, etc.
Procesamiento co- Para mayor confianza con datos vitales, construya e incorpore Porcentaje de sistemas para los cuales los controles de
12.2 rrecto en las aplica- funciones adicionales de validación y chequeo cruzado (p. ej., validación de datos se han (a) definido y (b) implementado
ciones sumas totalizadas de control). y demostrado eficaces mediante pruebas.
Asegure la coherencia y concienciación mediante personas y Porcentaje de planes de continuidad de negocio en cada
unidades organizativas relevantes en los planes de continuidad una de las fases del ciclo de vida (requerido / especificado
Aspectos de seguri- / documentado / probado).
de negocio.
dad de la informa-
14.1 ción en la gestión de Porcentaje de unidades organizativas con planes de conti-
Deberían llevarse a cabo las pruebas pertinentes (tales como
la continuidad del
pruebas sobre el papel, simulacros, pruebas de failover, etc.) nuidad de negocio que han sido adecuadamente (a) docu-
negocio
para (a) mantener los planes actualizados, (b) aumentar la con- mentados y (b) probados mediante tests apropiados en los
fianza de la dirección en los planes y (c) familiarizar a los em- últimos 12 meses.
pleados relevantes con sus funciones y responsabilidades bajo
condiciones de desastre.
15. Cumplimiento
Berinato, S., Campbell, G., Mena, C., y Lefler, D. (2005). "Influencing Senior Management - Security Metrics". Presentación al CSO Executive Council. Conse-
jos en la selección de métricas de seguridad S.M.A.R.T. [específicas -Specific-, medibles -Measurable-, alcanzables -Achievable-, relevantes -Relevant- y delimi-
tadas en el tiempo -Time bound-] que sean reducidas en número, actuales y precisas, validadas y aprobadas por las partes interesadas y (sobre todo) útiles.
Hinson, G. (2006). "7 Myths About Security Metrics". ISSA Journal, Julio. Plantea consideraciones de diseño de un sistema de métricas de seguridad, con al-
gunos ejemplos.
Hauser, J.R. and Katz, G.M. (1998). "Metrics: You Are What You Measure". MIT. Un artículo para la reflexión que avisa sobre los peligros de conducir un pro-
ceso en una dirección no pretendida, por el uso de métricas inapropiadas.
ISO/IEC 27001:2005. "International standard - Information technology - Security techniques - Information security management systems - Requirements".
ISO/IEC 27002:2005. "International standard - Information technology - Security techniques - Code of practice for information security management" [anterior-
mente conocida como ISO/IEC 17799:2005].
NIST (National Institute of Standards and Technology) (2003). “Security Metrics Guide for Information Technology Systems”. Special Publication 800-55. Inclu-
ye una lista extraordinariamente exhaustiva de posibles métricas (pero, desafortunadamente, no ayuda mucho en cómo seleccionar métricas útiles). El primer
borrador público de la Special Publication 800-80 "Guide for Developing Performance Metrics for Information Security" está disponible para comentarios.
Registro de cambios
Versión 1, 28 de Junio de 2007
Publicado por el ISO27k implementers' forum. Aportaciones de Gary Hinson, H Deura, K, Ramiah Marappan, Rainier Vergara y Richard O. Regalado.
Traducido del original inglés al español por Javier Ruiz Spohr (www.iso27000.es). 16 de Noviembre de 2007.
Feedback
Comentarios, preguntas y sugerencias de mejora (¡especialmente, sugerencias de mejora!) son bienvenidas a través del ISO27k implementers' forum o, directa-
mente, al administrador del foro Gary@isect.com