La norma BS 7799 / ISO 17799 - · PDF fileLa norma BS 7799 / ISO 17799 Para un mejor...

23
La norma BS 7799 / ISO 17799 Para un mejor acercamiento a la seguridad de la información Documento de presentación Jacquelin Bisson, CISSP Analista en seguridad de la información, Callio Technologies René Saint-Germain, Presidente, Callio Technologies Resumen ejecutivo Para poner en ejecución las buenas prácticas de gestión en seguridad de la información, la mejor referencia es BS 7799 / ISO 17799, una norma reconocida internacionalmente en el dominio y muy utilizada para la redacción de las políticas de seguridad. La norma BS 7799 / ISO 17799 es redactada y publicada en dos partes: 1) ISO / CEI 17799 Parte 1 Código de buenas prácticas relativas a la gestión de la seguridad de la información. Es una guía que contiene consejos y recomendaciones que permite asegurar la seguridad de la información de la empresa dentro de los diez dominios de aplicación. 2) BS 7799 Parte 2 Las especificaciones relativas a la gestión de la seguridad de la información proponen recomendaciones con el fin de establecer un marco eficaz de gestión de la seguridad de la información. En el momento de una auditoría, es el documento que sirve de guía de evaluación para la certificación. Callio Secura 17799 reúne metodología, cuestionarios, guía e informaciones y herramientas necesarias para crear la infraestructura requerida para un sistema de gestión de la seguridad de la información y para acelerar su implantación. En este documento vamos a describir la implantación de la norma a nivel mundial y su adecuación al mercado hispanohablante, con referencias a la nueva certificación española UNE 71502:2004, basada en las normas internacionales ISO/IEC 17799.

Transcript of La norma BS 7799 / ISO 17799 - · PDF fileLa norma BS 7799 / ISO 17799 Para un mejor...

La norma BS 7799 / ISO 17799Para un mejor acercamiento a la

seguridad de la información

Documento de presentación

Jacquelin Bisson, CISSPAnalista en seguridad de la información, Callio Technologies

René Saint-Germain, Presidente, Callio Technologies

Resumen ejecutivo

Para poner en ejecución las buenas prácticas de gestión en seguridad de la información, la mejorreferencia es BS 7799 / ISO 17799, una norma reconocida internacionalmente en el dominio y muyutilizada para la redacción de las políticas de seguridad.

La norma BS 7799 / ISO 17799 es redactada y publicada en dos partes:

1) ISO / CEI 17799 Parte 1 Código de buenas prácticas relativas a la gestión de la seguridad de lainformación. Es una guía que contiene consejos y recomendaciones que permite asegurar laseguridad de la información de la empresa dentro de los diez dominios de aplicación.

2) BS 7799 Parte 2 Las especificaciones relativas a la gestión de la seguridad de la informaciónproponen recomendaciones con el fin de establecer un marco eficaz de gestión de la seguridad de lainformación. En el momento de una auditoría, es el documento que sirve de guía de evaluación parala certificación.

Callio Secura 17799 reúne metodología, cuestionarios, guía e informaciones y herramientasnecesarias para crear la infraestructura requerida para un sistema de gestión de la seguridad de lainformación y para acelerar su implantación.

En este documento vamos a describir la implantación de la norma a nivel mundial y su adecuaciónal mercado hispanohablante, con referencias a la nueva certificación española UNE 71502:2004,basada en las normas internacionales ISO/IEC 17799.

i© Callio Technologies

Perfil de la compañía

Creada en el año 2001, CallioTechnologies, se especializa en el dominiode la seguridad informática. Su primerproducto, Callio Secura 17799, es unsoftware que ofrece a las empresas laposibilidad de conformarse a la norma BS7799 / ISO 17799 concerniente a lagestión de la seguridad de las tecnologíasde la información.

El campo de experiencia de CallioTechnologies abarca el análisis de riesgos,la instalación de códigos de buenasprácticas en seguridad y de sistemas degestión de la seguridad de la información,la redacción de políticas de seguridadbasadas en BS 7799 / ISO 17799, lasauditorías de seguridad, los planes decontingencia y la formación en gestión delriesgo informático.

Nuestra misión es ofrecer a las empresas herramientasde análisis, de ayuda a las decisiones como así también de

aplicaciones con el fin de que les permita evaluar, administrary disminuir sus riesgos informáticos.

wwwwww.callio.com.callio.com

1www.callio.com© Callio Technologies

Resumen ejecutivo

La información es vital y constituye un activo importante para toda empresa. Para poner enejecución las buenas prácticas de gestión en seguridad de la información, la mejor referenciaes BS 7799 / ISO 17799, una norma reconocida internacionalmente en el dominio y muyutilizada para la redacción de las políticas de seguridad.

La norma BS 7799 / ISO 17799 es redactada y publicada en dos partes:

1) ISO / CEI 17799 Parte 1 Código de buenas prácticas relativas a la gestión de la seguridadde la información. Es una guía que contiene consejos y recomendaciones que permiteasegurar la seguridad de la información de la empresa dentro de los diez dominios deaplicación.

2) BS 7799 Parte 2 Las especificaciones relativas a la gestión de la seguridad de lainformación proponen recomendaciones con el fin de establecer un marco eficaz de gestiónde la seguridad de la información. En el momento de una auditoría, es el documento que sirvede guía de evaluación para la certificación.

Callio Secura 17799 reúne metodología, cuestionarios, guía e informaciones y herramientasnecesarias para crear la infraestructura requerida para un sistema de gestión de la seguridadde la información y para acelerar su implantación.

En España, el mes de marzo de 2004 se promulgó la norma UNE 71502:2004"Especificaciones para los Sistemas de Gestión de la Seguridad de la Información", quecontribuye a definir los requisitos para implantar un SGSI según las norma ISO/IEC 17799. Seañade por lo tanto otra posibilidad de obtener una certificación de cumplimiento de su SGSIrespecto a la ISO 17799.

2www.callio.com© Callio Technologies

La seguridad de la información siempreha sido un desafío muy importante parael conjunto de las Organizaciones.

La infección de los sistemas informáticospor el virus "I Love You", los ataquesterroristas del 11 de septiembre del 2001y la importante avería del sistemaeléctrico en el noreste de los EstadosUnidos son algunos ejemplos muyconocidos que justifican la necesidad deevaluar y de administrar los riesgosrelacionados a la información.

Desgraciadamente, las organizacionesse olvidan muy a menudo que laseguridad de la información es muchomás que la simple utilización de lastecnologías. En realidad, debería ser unproceso de gestión continua de riesgosque cubra toda la información que debeser protegida.

Existe un grupo de nuevas leyes que hacen legalmente responsables a los directivosde empresas si no protegen sus activos de información bajo amenaza de sanción. Ladiligencia razonable de los responsables o gerentes está en promover el interés y laprudencia necesaria en evaluar el riesgo y las medidas pertinentes para reducirlo o

eliminarlo.

Introducción

3www.callio.com© Callio Technologies

¿ Qué es la seguridad de la información?

"La seguridad de los sistemas de información no es una contradicción de términos... sí lo esla seguridad sin la gerencia de riesgo." (J.Bisson, 2003)

La información constituye un activo que,como todos los demás activos comercialesimportantes, es valioso para todaorganización; por eso es necesarioprotegerlo de una manera apropiada. Laseguridad de la información protege lainformación contra amenazas muy diversas,para asegurar la continuidad de lasactividades de la empresa, minimizar elperjuicio que puede ser causado y maximizarel rendimiento del capital invertido y lasposibilidades de negocios.

La información se presenta de diversasformas. Puede ser impresa o escrita sobrepapel, almacenada en soportes electrónicos,transmitida por correo o utilizando medioselectrónicos, expuesta sobre películas ohablada en conversaciones. Cualquiera seala forma que tenga la información o losmedios por los cuales es transmitida oalmacenada, ella debe ser siempre protegidade manera apropiada.

La seguridad de la información secaracteriza por como se preserva:

a) la confidencialidad: procurar que lainformación sea accesible sólo a laspersonas autorizadas a acceder a suutilización.

b) la integridad: asegurar la exactitud y lacompletitud de la información y los métodosde su procesamiento.

c) La disponibilidad: asegurar que los usuariosautorizados puedan acceder a la informacióny a los activos asociados cuando la requieran.

La seguridad de la información se obtieneaplicando un conjunto de medidas de control,que pueden tomar la forma de políticas, deprácticas, de procedimientos, de estructurasorganizacionales y de funciones de software.Estas medidas de control deben serestablecidas con el fin de que se cumplan losobjetivos de seguridad específicos de laorganización.

Fuente: ISO/CEI 17799 Parte 1: Código de buenasprácticas para la gestión de la seguridad de la

información

Fuente: ISO 17799

4www.callio.com© Callio Technologies

¿Qué es BS 7799 / ISO 17799?

BS 7799 / ISO 17799 tiene por objetivo "proporcionar una base común para la elaboración delas normas de seguridad de las organizaciones, un método de gestión eficaz de la seguridad y

establecer informes de confianza en las transacciones y las relaciones entre empresas".

La norma es publicada en dos partes:

ISO/CEI 17799 Parte 1: Código de buenasprácticas relativo a la gestión de la seguridadde la información;

BS 7799 Parte 2: Especificaciones relativas ala gestión de la seguridad de la información.

La norma internacional ISO / IEC 17799 fuedesarrollada por el organismo BritishStandards Institución (BSI) como BS 7799 yha sido adoptada según un " procedimientode vía rápida " por el Comité técnico mixtoISO/CEI JTC 1, Tecnologías de laInformación, de común acuerdo para suaprobación con los organismos nacionalesmiembros del ISO y del CEI.

ISO / IEC 17799 se presenta bajo la forma denotas de orientación y recomendaciones.Éstas han sido reunidas a posteriori de lasconsultas realizadas a las empresas másimportantes. Contiene diez dominiosespecíficos compuestos de 36 objetivos y de127 medidas de seguridad. He aquí una brevereseña de cada uno de los dominios:

1. Política de seguridad: proporcionardirectivas y consejos de gestión para mejorarla seguridad de los datos.

2. Seguridad de la organización: facilitar lagestión de la seguridad de la información enel seno de la organización.

ISO/CEI 17799 (1ª parte)

3. Clasificación y control de los activos:catalogar los activos y protegerloseficazmente.

4. Seguridad del personal: reducir los riesgosde error humano, robo, fraude y utilizaciónabusiva de los equipamientos.

5. Seguridad física y medioambiental:impedir la violación, el deterioro y laperturbación de las instalaciones y datosindustriales.

6. Gestión de las telecomunicaciones yoperaciones: garantizar un funcionamientoseguro y adecuado de los dispositivos detratamiento de la información.

7. Control de accesos: controlar el acceso alos datos.

8. Desarrollo y mantenimiento de lossistemas: garantizar que la seguridad estéincorporada a los sistemas de información.

9. Gestión de la continuidad de lasoperaciones de la empresa: reducir losefectos de las interrupciones de actividad yproteger los procesos esenciales de laempresa contra las averías y los siniestrosmayores.

10. Conformidad: prevenir losincumplimientos de las leyes penales ociviles, de las obligaciones reglamentarias ocontractuales y las exigencias de seguridad..

El esquema siguiente sugiere una arquitectura de los diez dominios de la norma. Cadadominio presenta una temática independiente estructurada alrededor de medidasadministrativas, lógicas y físicas y según un eje de orientación descendente, es decir, quetendrá un impacto desde el nivel de la dirección hasta el nivel operativo de la organización.

Consultar el Anexo B para conocer el índice de la norma ISO 17799

5www.callio.com© Callio Technologies

¿Que función Cumple ISO y CEI?La Organización internacional denormalización (ISO) y la Comisiónelectrotécnica internacional (CEI) constituyenun sistema especializado para lanormalización alrededor del mundo. Es através de comités técnicos que ambosorganismos participan conjuntamente en eldesarrollo y en la adopción de normasinternacionales, como fue el caso paraISO/CEI 17799.

Los comités técnicos, como el ISO / IEC JointTechnical Committee 1 ( ISO / IEC JTC1),difunden luego la norma a los múltiplesorganismos nacionales para su escrutinio. Enefecto, para ser reconocidainternacionalmente, una norma debe obtenerla aprobación de, al menos, un 75 % de losorganismos nacionales votantes.

BS 7799 proporciona las condiciones que serefieren a la gestión de la seguridad de lainformación. Compuesta de 10 dominios y de127 controles la norma ISO 17799, se aplicaa las etapas de elaboración, de puesta enejecución y de mantenimiento de un sistemade seguridad. Las organizaciones candidatas al registro sonevaluadas con respecto a este documento.

Una organización que basa su SGSI sobre lasdisposiciones de BS 7799 puede obtener elregistro de un organismo acreditado. Laorganización así demuestra a sus socios quesu sistema cumple tanto con los estándaresde la norma, como así también con lasexigencias de controles para la seguridad queson establecidos según sus propiasnecesidades.

BS 7799-2 (2e parte)

6www.callio.com© Callio Technologies

Es importante entender que una organizaciónque obtiene la certificación BS 7799-2 estambién considerada que cumplimenta con lanorma ISO 17799.

¿Para qué sirve un SGSI?"Para establecer la política y los objetivos deseguridad de la información de laorganización… y para lograr, a continuaciónestos objetivos".

Un sistema de gestión de la seguridadde la información (SGSI) ofrece un enfoquemetodológico para administrar la informaciónsensible con el fin de protegerla. Su ámbito deaplicación incluye a los empleados, losprocesos y los sistemas informáticos.

La seguridad de la información no setermina en la implementación de un “firewall” ocon la contratación de una empresa deseguridad. En este dominio, es necesariointegrar las múltiples iniciativas puestas enejecución dentro de una estrategia global con elfin de que cada elemento ofrezca un nivelóptimo de protección. Es a este nivel queintervienen los sistemas de gestión de laseguridad de la información permitiendocoordinar los esfuerzos para alcanzar unaseguridad óptima.

Un sistema de gestión debe incluir unmétodo de evaluación, medidas de protección yun proceso de documentación y de revisión.Esto último es el principio del modelo PHVA(Planificar-Hacer-Verificar-Actuar) desarrolladoinicialmente por Walter Shewhart ypopularizado por W. Edwards Deming. Por estemotivo es conocido frecuentemente como el"Ciclo Deming" que recuerda fuertemente almodelo de gestión de la calidad ISO 9001.

Planificar- Definir el alcance del SGSI y las políticas de seguridad- Identificar y evaluar los riesgos- Seleccionar los objetivos de control y controles queayudarán a manejar estos riesgos- Preparar el documento de la declaración deaplicabilidad

Hacer - Formular e implementar un plan de reducción deriesgos- Implementar los controles seleccionados a fin decumplir con los objetivos de dichos controles.

Verificar- Efectuar el control de los procedimientos- Proceder a exámenes periódicos para asegurar laeficacia del SGSI- Revisar los niveles de riesgos aceptables y residuales- Instaurar periódicamente auditorías internas para elSGSI

Actuar- Implantar las mejoras identificadas al SGSI - Realizar las acciones correctivas y preventivas- Mantener comunicaciones con todos los interesados- Validar las mejoras

Ya numerosos países, como Inglaterra,Australia, Noruega, Brasil y Japón utilizanampliamente BS 7799-2 como base decertificación para la gestión de su seguridadde la información.

7www.callio.com© Callio Technologies

Desde hace más de cien años, British Normal Institutión (BSI) realiza estudios con el fin deestablecer normas eficaces de alta calidad industrial. BS 7799 fue desarrollada a principios delos años 1990 como respuesta a las peticiones de la industria, el gobierno y los comerciantespara crear una estructura común de seguridad de la información. En 1995, el estándar BS 7799es oficialmente adoptado.

Pasaron cuatro años hasta su publicación, en mayo de 1999, de una segunda versión mayor dela norma BS 7799. Se aportan numerosas mejoras. En aquella época, la Organizacióninternacional de normalización (ISO) comienza a interesarse en los trabajos publicados por elinstituto inglés.

En diciembre del 2000, la organización ISO incorpora la primera parte de la norma BS 7799,rebautizada como ISO 17799. En septiembre del 2002,realiza una revisión de la segunda partede la norma BS 7799 con el fin de armonizarla con otras normas de gestión tales como ISO9001:2000 e ISO 14001:1996 así como con los principios de la Organización de cooperación yde desarrollos económicos (OCDE).

Actualmente, existen consultas a nivel internacional para mantener BS 7799/ISO 17799 alineadocon los principales cambios.

Historia de la norma

Conformidad, certificación y acreditación.

Con el fin de evitar confusiones, se brinda una breve definición de estos tres términos en elcontexto de un sistema de gestión de la seguridad de la información (SGSI).

La conformidad es una auto-evaluación realizada por una organización con el fin de validarque un sistema puesto en operación se ajusta a una norma.

La certificación (también llamada registro) es conferida por un organismo acreditado decertificación cuando una organización finaliza con éxito una auditoría independiente.Certificando de esta manera, que el sistema de gestión cumple las exigencias de una normaparticular, por ejemplo BS 7799-2.

La acreditación constituye los medios por los cuales una organización autorizada (elorganismo de acreditación) reconoce formalmente la competencia de un organismo decertificación que debe evaluar, certificar y registrar el SGSI de una organización con respectoa estándares publicados.

8www.callio.com© Callio Technologies

BS 7799 / ISO 17799 puede ser utilizada por cualquier tipo de organización o de compañía,privada o pública. Si la organización utiliza sistemas internos o externos que poseeninformaciones confidenciales, si depende de estos sistemas para el funcionamiento normal desus operaciones o si simplemente desea probar su nivel de seguridad de la informaciónconformándose a una norma reconocida, la norma BS 7799 / ISO 17799 particularmente pasaa ser muy interesante. El cuadro siguiente muestra los tipos de utilización de la norma.

¿A quién va dirigida ISO 17799?

Evidentemente, cuanto máselevado es el riesgo en laorganización, esta últimadebe poner más atención ala seguridad de sus datos.Es el caso particular para lossectores gubernamentales,financieros y de salud, comolo demuestra la figuraadjunta:

Tipo de empresa Tamaño Objetivo principal Utilización de la normaPequeña empresau organismo

Inferior a 200empleados

Sensibilizar a ladirección general de laseguridad de lainformación

La norma ISO 17799contiene los temas deseguridad que debentratarse como base degestión

Empresa media(centralizada odescentralizada)

Inferior a 1000empleados

Crear una cultura deseguridad globalcompatible

La norma contiene lasprácticas necesarias paraconstituir una política deseguridad de la información

Empresa muygrande

Superior a1000empleadas

Obtener unacertificación deseguridad

Utilización de BS7799-2para crear un documentoreferencial de seguridadinterno

9www.callio.com© Callio Technologies

Evidentemente, el hecho de utilizar la normaISO 17799 o de obtener la certificación BS7799-2 no prueba que la organización sea100 % segura. A decir verdad, la seguridadcompleta no existe a menos de unainactividad total. No obstante, la adopciónde la norma internacional proporcionainnegablemente ventajas que todo buengerente debería tener en cuenta.

Aspecto organizacional Compromiso: el registro permite garantizar ydemostrar la eficacia de los esfuerzosdesarrollados para asegurar la organizaciónen todos sus niveles y probar la diligenciarazonable de sus administradores.

Aspecto legalConformidad: el registro permite demostrara las autoridades competentes que laorganización observa todas las leyes ynormativas aplicables. En este aspecto, lanorma es complementaria de otras normasy legislaciones ya existentes, por ejemploHIPAA, Privacy Act of 1974, ComputerSecurity Act of 1987, National InfrastructureAct of 1996, Gramm-Leach-Bliley Act of1999, Government Information SecurityReform Act of 2001.

Aspecto funcionalGestión de los riesgos: obtención de unmejor conocimiento de los sistemas deinformación, sus fallas y los medios deprotección. Garantiza también una mejordisponibilidad de los materiales y datos.

Aspecto comercialCredibilidad y confianza: los socios, losaccionistas y los clientes se tranquilizan alconstatar la importancia que la organización

Beneficios de la norma

concede a la protección de la información.Una certificación también puede brindar unadiferenciación sobre la competencia y en elmercado. Algunas licitaciones internacionalesya comienzan a pedir una gestión ISO17799.

Aspecto financieroReducción de los costos vinculados a losincidentes y posibilidad de disminución de lasprimas de seguro.

Aspecto humanoMejora la sensibilización del personal a laseguridad y a sus responsabilidades en laorganización.

10www.callio.com© Callio Technologies

" La popularidad de la norma BS 7799-2 / ISO 17799 se explica en parte por su flexibilidad ysu complementariedad con las otras normas existentes en seguridad de la información y de

las tecnologías de la información. "

Complementariedad de BS 7799 / ISO 17799

Mientras que ISO 17799 expone lasmejores prácticas de gestión para laseguridad de la información y para lacreación de políticas de seguridad, ISO13335, denominada GMITS - Guidelinesfor the management of IT Security,constituye su hermano mayor. Esta normaaborda un poco más las tecnologíasconectadas a la información y aporta uncontenido de valor agregado sobre elenfoque de evaluación de los riesgos. Incluso es posible establecer unacomparación de las medidas de protecciónpropuestas en la cuarta guía (Part 4:Selection of safeguards) de la serie, queincluye cinco, ofrecida en ISO 13335 a loscontroles sugeridos en ISO 17799.

Existe también una fuertecomplementariedad entre las normas ISO17799 e ISO 15408. Esta última, mejorconocida bajo el nombre de CriteriosComunes, permite certificar los niveles de

defensa proporcionados por los dispositivosde seguridad de los sistemas de información.Ella cubre los aspectos técnicos, mientrasque ISO 17799 cubre aún más los aspectosorganizacionales y administrativos de laseguridad.

También existe un vínculo entre ISO 17799 ylos números 18044, 17944, 18028, 14516 dela Organización internacional denormalización, como lo resume la figurasiguiente:

Desde la nueva revisión en el 2002, BS7799-2 se armoniza en lo sucesivo con las normasde otros sistemas de gestión conocidas,como ISO 9001:2000 e ISO 14001:1996.

En efecto, numerosas son las empresas queconocen o poseen un sistema de gestión dela calidad (SGQ) ISO 9001 o un sistema degestión del medio ambiente (SGE) ISO14001. BS 7799-2 utiliza ahora la mismaestructura y tiene las mismas exigencias paraelaborar un sistema de gestión de seguridadde la información (SGSI).

Consultar el Anexo E para más detalles.

11www.callio.com© Callio Technologies

Varios gobiernos a través del mundo ya establecieron normativas y proyectos de leyes queprecisan la forma en que las compañías deben administrar y controlar la seguridad de lainformación. El objetivo es simple: forzar a la dirección y a los consejos de administración a serresponsables de la seguridad de la información y motivarlos a demostrar la " diligencia razonable" donde ellos den prueba de la protección de sus activos. Entre estas reglamentaciones, seencuentran Sarbanes-Oxley Act of 2002 (SOX), Gramm-Leach-Bliley Act (GLBA) y HealthInsurance Portability and Accountability Act of 1996 (HIPAA), LOPD (Ley Orgánica de Protecciónde Datos), LSSI (Ley de Servicios de la Sociedad de la Información).

Complementariedad con las legislaciones existentes

Legislaciónreciente

¿A quién se aplica ? ¿ Qué cubre? ¿ Cuáles son las multasposibles?

¿ Cuándo la conformidades obligatoria?

Sarbanes-Oxley Act de2002

A toda compañía registradabajo el Exchange Act oque tiene una declaraciónde inscripción en esperabajo Security Act.

Obliga a los jefes dedirección y a directoresfinancieros a prestarjuramento que susdeclaracionesfinancieras soncompletas y exactas.

Toda destrucción,modificación o falsificaciónde los documentos por losmiembros de la direcciónpuede generar multas openas de encarcelamientoque llegan hasta los diezaños.

El plazo para ajustarse aSOX era el 30 deseptiembre de 2003; lasorganizaciones debíantener un control internosobre todos sus informesfinancieros y su gobierno.

Gramm-Leach-BlileyAct de 1999

A las institucionesfinancieras

Asegura la protecciónde las informacionespersonales no públicaspara la distribución fuerade la red de lainstitución financiera.

Una violación flagrante deesta ley puede generar unamulta considerable y hastacinco años de prisión.

La fecha real paraestablecer un programa deseguridad de la informaciónde conformidad con GLBAera el 1 de julio de 2001.

HealthInsurancePortabilityandAccountabilityAct (HIPAA)

A toda entidad implicadaen la informacióndigitalizada por loscuidados de salud,incluyendo entre otros losproveedores, losempleados y losaseguradores.

Garantiza laportabilidad, laprotección de la vidaprivada y la seguridadde la informaciónmédica de losindividuos.

Una violación de estalegislación puede implicarmultas de 100 $ a 250.000$ o diez años de prisión.

La fecha límite paraconformarse a HIPAA es el21 de abril de 2005 paralas grandes organizacionesy el 21 de abril del 2006para las pequeñasempresas.

LOPD (LeyOrgánica deProtección deDatos)Ámbitoeuropeo

Cualquier compañía quecapture, guarde o tratedatos de terceros.

Asegura la protecciónde la informaciónpersonal (no pública) yel derecho a larectificación ycancelación de los datospor el ciudadano.

Hasta 600.000 euros Actualmente es obligatoriopara todas las empresas.

NIC (NormasInternacionalesdeContabilidad)Ámbitoeuropeo

A toda entidad que coticeen los mercados decapitales.

Calcula el riesgooperativo de negocio pormotivo dellfuncionamiento oindisponibilidad de lasTI.

Superior a 600.000 euros Implantación durante el2005, obligatorio en el2006.

Basilea II A las institucionesfinancieras.

Calcula el riesgooperativo de negocio pormotivo del malfuncionamiento oindisponibilidad de lasTI.

Inclusive el retiro de lalicencia bancaria.

2006 para nivel Fundation,2007 para el nivelAdvanced

12www.callio.com© Callio Technologies

La novedad es que el hecho de conformarse a una u a otra de estas reglamentaciones constituyenejemplos concretos y prácticos de sistemas de gestión de la seguridad de la información. Por ejemplo,HIPAA aborda los mismos temas que la norma ISO 17799 poniendo al mismo tiempo el énfasis sobre laprotección de la información privada. Por su parte, el modelo de gestión PHVA (Planificar-Hacer-Verificar-Actuar) de BS 7799-2 se alinea muy bien con las cuatro etapas de GLBA:

Una conformidad con ISO 17799 y BS 7799-2 también permite definir las políticas de seguridad y losprocedimientos necesarios para controlar la información sensible de la organización y la referida en SOX.

1. Identificar y evaluar los riesgos sobre la información de los clientes;2. Desarrollar un plan que contenga las políticas y procedimientos para administrar y controlar estos riesgos;3. Poner en ejecución y probar el plan;4. Ajustar el plan en forma continua.

13www.callio.com© Callio Technologies

Implementación de un SGSI

El gráfico siguiente describe cada una de las ocho etapas de implantación de un SGSI:

Cómo validar un marco de gestión y qué hacer antes de la llegada de un auditor externo para la certificación BS 7799-2.

Asegurar el compromiso dce la dirección. Seleccionar y formar a los miembros del equipo inicial de proyecto.

Iniciación del proyecto

Administración del riesgo

Preparación parala auditoría

Auditoría

Evaluación de riesgos

Formación y Sensibilización

Definicióndel SGSI

Definir el alcance y los límites del marco de gestión de la seguridad de la información. Esta etapa es determinante para el éxito del proyecto.

Diagnosticar el nivel de conformidad ISO 17799. Hacer un inventario y evaluar los activos que deben protegerse. Identificar y evaluar las amenazas y vulnerabilidades. Calcular un valor de riesgo asociado.

Conocer cómo la selección y la implantación de los controles permiten reducir los riesgos a un nivel aceptable para la organización.

Los empleados pueden ser un eslabón débil en la cadena de seguridad de una organización. Aprender a crear un verdadero programa de sensibilización de la seguridad de la información.

Conocer las etapas realizadas por los auditores externos y sobre los organismos de certificación acreditados BS 7799-2.

Cómo y por qué mejorar la eficacia de un SGSI de acuerdo con el modelo de gestión reconocido por ISO.

Control y mejora continua

Cómo validar un marco de gestión y qué hacer antes de la llegada de un auditor externo para la certificación BS 7799-2.

Asegurar el compromiso dce la dirección. Seleccionar y formar a los miembros del equipo inicial de proyecto.

Iniciación del proyecto

Administración del riesgo

Preparación parala auditoría

Auditoría

Evaluación de riesgos

Formación y Sensibilización

Definicióndel SGSI

Definir el alcance y los límites del marco de gestión de la seguridad de la información. Esta etapa es determinante para el éxito del proyecto.

Diagnosticar el nivel de conformidad ISO 17799. Hacer un inventario y evaluar los activos que deben protegerse. Identificar y evaluar las amenazas y vulnerabilidades. Calcular un valor de riesgo asociado.

Conocer cómo la selección y la implantación de los controles permiten reducir los riesgos a un nivel aceptable para la organización.

Los empleados pueden ser un eslabón débil en la cadena de seguridad de una organización. Aprender a crear un verdadero programa de sensibilización de la seguridad de la información.

Conocer las etapas realizadas por los auditores externos y sobre los organismos de certificación acreditados BS 7799-2.

Cómo y por qué mejorar la eficacia de un SGSI de acuerdo con el modelo de gestión reconocido por ISO.

Control y mejora continua

Asegurar el compromiso dce la dirección. Seleccionar y formar a los miembros del equipo inicial de proyecto.

Iniciación del proyecto

Administración del riesgo

Preparación parala auditoría

Auditoría

Evaluación de riesgos

Formación y Sensibilización

Definicióndel SGSI

Definir el alcance y los límites del marco de gestión de la seguridad de la información. Esta etapa es determinante para el éxito del proyecto.

Diagnosticar el nivel de conformidad ISO 17799. Hacer un inventario y evaluar los activos que deben protegerse. Identificar y evaluar las amenazas y vulnerabilidades. Calcular un valor de riesgo asociado.

Conocer cómo la selección y la implantación de los controles permiten reducir los riesgos a un nivel aceptable para la organización.

Los empleados pueden ser un eslabón débil en la cadena de seguridad de una organización. Aprender a crear un verdadero programa de sensibilización de la seguridad de la información.

Conocer las etapas realizadas por los auditores externos y sobre los organismos de certificación acreditados BS 7799-2.

Cómo y por qué mejorar la eficacia de un SGSI de acuerdo con el modelo de gestión reconocido por ISO.

Control y mejora continua

Iniciación del proyecto

Administración del riesgo

Preparación parala auditoría

Auditoría

Evaluación de riesgos

Formación y Sensibilización

Definicióndel SGSI

Definir el alcance y los límites del marco de gestión de la seguridad de la información. Esta etapa es determinante para el éxito del proyecto.

Diagnosticar el nivel de conformidad ISO 17799. Hacer un inventario y evaluar los activos que deben protegerse. Identificar y evaluar las amenazas y vulnerabilidades. Calcular un valor de riesgo asociado.

Conocer cómo la selección y la implantación de los controles permiten reducir los riesgos a un nivel aceptable para la organización.

Los empleados pueden ser un eslabón débil en la cadena de seguridad de una organización. Aprender a crear un verdadero programa de sensibilización de la seguridad de la información.

Conocer las etapas realizadas por los auditores externos y sobre los organismos de certificación acreditados BS 7799-2.

Cómo y por qué mejorar la eficacia de un SGSI de acuerdo con el modelo de gestión reconocido por ISO.

Control y mejora continua

Administración del riesgo

Preparación parala auditoría

Auditoría

Evaluación de riesgos

Formación y Sensibilización

Definicióndel SGSI

Definir el alcance y los límites del marco de gestión de la seguridad de la información. Esta etapa es determinante para el éxito del proyecto.

Diagnosticar el nivel de conformidad ISO 17799. Hacer un inventario y evaluar los activos que deben protegerse. Identificar y evaluar las amenazas y vulnerabilidades. Calcular un valor de riesgo asociado.

Conocer cómo la selección y la implantación de los controles permiten reducir los riesgos a un nivel aceptable para la organización.

Los empleados pueden ser un eslabón débil en la cadena de seguridad de una organización. Aprender a crear un verdadero programa de sensibilización de la seguridad de la información.

Conocer las etapas realizadas por los auditores externos y sobre los organismos de certificación acreditados BS 7799-2.

Cómo y por qué mejorar la eficacia de un SGSI de acuerdo con el modelo de gestión reconocido por ISO.

Control y mejora continuaControl y mejora continuaControl y mejora continua

14www.callio.com© Callio Technologies

La documentación de un SGSI es una exigencia importante de la implantación y se articula entorno a dos ejes:1) La descripción de la estrategia del organismo, sus objetivos, la evaluación de riesgos y las

medidas tomadas para atenuarlos.2) El control y el seguimiento del funcionamiento del SGSI. Existen por lo menos cuatro niveles

de documentación como lo demuestra la figura siguiente:

ObstáculosAlgunos obstáculos pueden encontrarse en la implantación de un SGSI, a saber:

- Temor, resistencia a los cambios - Riesgo de que los cambios realizados en un área requieran ajustes en otras áreas - Aumento de los costos - Insuficiente conocimiento del enfoque utilizado - Tareas que parecen insuperables

Para ayudar a superarlos, algunos factores de éxito deberían ser considerados.

Factores de éxitoLa experiencia ha probado que los factores enumerados a continuación son a menudo crucialespara garantizar el éxito de la implementación de gestión de la seguridad de la información en unaorganización.

Documentación de un SGSI

Control y mejora continua

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Política, evaluación del riesgo,declaración de aplicabilidad

Describe el proceso: quién, qué,cuándo, dónde

Describe cómo se efectúan las tareas y lasactividades

Proporciona pruebas objetivas de conformidadcon las exigencias del SGSI

Manual de seguridad

Procedimientos

Fichas de trabajo,formularios, etc.

Registro

15www.callio.com© Callio Technologies

a) una política, objetivos y actividades de seguridad que reflejan los objetivos de la empresa.d) Una puesta en ejecución de la gestión de la seguridad que sea compatible con la cultura dela organización.c) un apoyo y un compromiso visibles de la dirección.d) una buena comprensión de las exigencias de seguridad, de la evaluación de los riesgos yde la gestión de los riesgos.e) una presentación eficaz de las cuestiones de seguridad a todos los responsables yempleados.f) la distribución a todos los empleados y a todos los proveedores de las directrices sobre lapolítica y las normas de seguridad de la información.g) una formación y una educación conveniente.h) un sistema de medidas completo y equilibrado utilizado para evaluar la eficacia de la gestiónde la seguridad de la información y la aplicación de los requerimientos de mejoras resultantesde dicha evaluación.

Resumen de: BS 7799 / ISO 17799¿Qué es la norma?

Una guía de recomendacionesestructuradas, reconocidainternacionalmente, dedicada a laseguridad de la información.

Un proceso conciso para evaluar,establecer, mantener y administrar laseguridad de la información.

El resultado de un consorcio deempresas para responder a lasnecesidades de la industria.

Un proceso equilibrado entre laseguridad física, técnica,procedimientos y la seguridad delpersonal.

La norma no es :

Un estándar técnico

Una norma tecnológica u orientada alproducto.

Una metodología de evaluación deequipamiento como los criterios comunes (CC/ ISO 15408). Sin embargo, escomplementaria y puede aprovechar losniveles de aseguramiento de evaluaciónencontrado en los Criterios Comunes (EAL).

ISO 17799 no es un sistema que permite unacertificación de la seguridad (por el momento,solo BS 7799-2 y sus derivados nacionalesofrecen un esquema de certificación).

ISO 17799 no detalla ninguna obligación encuanto al método de evaluación del riesgo,basta con elegir el que responde a lasnecesidades.

16www.callio.com© Callio Technologies

Existe hoy en el mercado un gran rango de productos y servicios en seguridad informática.Muchos de ellos se basan en medidas de protección físicas (cerraduras, barreras, cierres,extinguidores, guardianes, etc.) y controles técnicos (firewall, biométrica, encriptación, etc.). Perocuando llega el momento de adoptar medidas de protección administrativas, las empresas amenudo tienden a olvidarse de su importancia.

Sin embargo, la seguridad de la información no es exhaustiva sin la elaboración y la publicaciónde políticas de seguridad y de procedimientos, de programas de sensibilización y de formaciónde los empleados sólo para nombrar algunas. La seguridad de la información es un procesocontinuo de gestión de los riesgos y necesita herramientas que respondan a estas necesidades.

Ciertamente ISO 17799 es lo que le hace falta a una empresa para administrar mejor la seguridadde la información. Para ayudar a su implantación, es conveniente utilizar un software multiusuarioque reúna toda la información necesaria así como las principales herramientas para lograr elobjetivo. Una de estas herramientas debe ser la evaluación de riesgos simple y eficaz, que genererecomendaciones basadas en las buenas prácticas ISO 17799 para cada uno de los contextosdefinidos. Añadiendo a esto una metodología completa, cuestionarios de conformidad, ungenerador automático de políticas de seguridad, un gestor documental integrado en la Web,ejemplos, plantillas y guías de información sobre la implantación y sobre la auditoría de loscontroles ISO 17799, los gerentes comprenderán rápidamente que tal herramienta puedeeconomizar mucho tiempo y dinero a la empresa. Para los interesados, tal software existe y sellama Callio Secura 17799, creado por la compañía Callio Technologies inc. Es posible descargaruna versión de demostración del software Callio Secura 17799 de la siguiente dirección:www.callio.com

Naturalmente, también es posible contratar una empresa de asesores para la implantación de lanorma, pero es conveniente asegurarse que este último utiliza un software del mismo género.

Herramientas de software y recursos disponibles

Metodología, método y norma Una metodología es un acercamiento riguroso y estandarizado que utiliza herramientas comocuestionarios y software especializados que permiten hacer el análisis de seguridad de lainformación.

Una metodología utiliza métodos, es decir, medios para llegar eficazmente al resultado deseado.Este resultado habitualmente se formula en una norma.

Una norma puede definirse como un documento de referencia basado en un consenso que cubreun amplio interés industrial o económico y establecido por un proceso voluntario.

Está claro que el método será la herramienta utilizada para satisfacer las exigencias de unanorma.

(fuente : OLF)

17www.callio.com© Callio Technologies

Solución de software

Una de las principales ventajas de BS 7799 / ISO17799 se sitúa a nivel de la confianza del público. Lanorma constituye una señal de confianza para laseguridad global de la empresa, al igual que ISO 9000representa una garantía de la calidad.

Aquí una lista de ventajas relacionadas a laimplantación de la norma BS 7799/ISO 17799 con laaplicación Web Callio Secura 17799:

- Disminuir el tiempo de implantación de la norma BS 7799 / ISO 17799 como así también los costes asociados.

- Centralizar la gestión de las políticas y procedimientos.

- Estandarizar el proceso de implantación de la norma BS 7799/ISO 17799

- Garantizar la eficacia de los procesos establecidoscon el fin de reducir los costos de gestión

- Facilitar la puesta al día y los ajustes en la documentación

18www.callio.com© Callio Technologies

La alineación de la seguridad de la información con la misión de la organización se haconvertido esencial. La confidencialidad, la integridad y la disponibilidad de la información sonimportantes para mantener la ventaja competitiva, los beneficios disponibles (flujo de caja), laconformidad jurídica y la imagen comercial.

Considerar la óptica de una certificación tiende a probar también la diligencia razonable de laalta dirección y de sus gerentes para la protección de sus activos. Desarrollar una política deseguridad de la información basada en ISO 17799 se hace pues la infraestructura de base.BS 7799 / ISO 17799 es especialmente pertinente en este contexto. En esta fase, se trata quelas empresas se informen de las exigencias de la norma y así mejorar los conocimientosrelativos a la gestión de la seguridad de la información.

Para lograr asegurar la implantación de un sistema de seguridad de la información eficaz yadecuado, el mejor modo es obtener, en combinación con servicios profesionales externos y/ointernos, una herramienta de software como la aplicación Web Callio Secura 17799. Estesoftware propone cuatro módulos principales, una evaluación del riesgo, una administracióndel riesgo, un generador de políticas y una herramienta de gestión de documentos. Al mismotiempo poderoso y de fácil utilización, Callio Secura 17799 le permite a los usuarios ajustarsea BS 7799/ISO 17799.

Conclusión

Más de 80 000 empresas a través del mundo cumplimentan la norma BS7799 / ISO 17799 incluidas las siguientes:- Fujitsu Limited- KPMG- Marconi Secure Systems- Sony Bank inc.- Toshiba IS Corporate

Y usted... ¿ piensa implementar el más alto estándar en materia degestión de riesgos de la información?

19www.callio.com© Callio Technologies

British Standards Institution. 7 enero 2004, http://www.bsi-global.com.

British Standards Institution. BS 7799-2:2002: Information security management systems - specification withguidance for use. Londres: 2002

British Standards Institution. PD 3001:2002: Preparing for BS 7799-2 Certification. Londres. 2002.

British Standards Institution. PD 3002:2002: Guide to BS 7799 Risk Assessment. Londres: 2002.

British Standards Institution. PD 3003:2002: Are you ready for a BS 7799 Part 2 Audit. Londres: 2002.

British Standards Institution. PD 3004:2002: Guide to the implementation and auditing of BS 7799 controls.Londres. 2002.

British Standards Institution. PD 3005:2002: Guide on the selection of BS 7799 Part 2 controls. Londres. 2002.

Calder, Alan and Steve Watkins. IT Governance, Data Security & BS 7799/ISO 17799 A Manager's Guide toEffective Information Security. Londres: Kogan Page, 2003.

Clusif: Club de la sécurité des systèmes d'information français. 5 enero 2004, www.clusif.asso.fr.

"Effective Internal Control of Sensitive Information: Implications of the Sabanes-Oxley Act for CEOs, CFOs andother Corporate Directors." Sealed Media. 6 jan. 2004, http://www.sealedmedia.com.

International Electrotechnical Commission. 6 enero 2004, http://www.iec.ch.

International Organization for Standardization. 6 enero 2004, http://www.iso.org.

International Organization for Standardization/International Electrotechnical Commission. International StandardISO/IEC 17799: Information technology - Code of practice for information security management. Genève: ISO,2000.

International Organization for Standardization/International Electrotechnical Commission. International StandardISO/IEC TR 13335-1:1996 Guidelines for the management of IT security - Part 1: Concepts and models for ITSecurity. Genève: ISO,1996.

International Organization for Standardization/International Electrotechnical Commission. International StandardISO/IEC TR 13335-2:1997 Guidelines for the management of IT security - Part 2: Managing and planning ITSecurity. Genève: ISO, 1997.

International Organization for Standardization/International Electrotechnical Commission. International StandardISO/IEC TR 13335-3:1998 Guidelines for the management of IT security - Part 3: Techniques for the managementof IT security. Genève: ISO, 1998.

International Organization for Standardization/International Electrotechnical Commission. International StandardISO/IEC TR 13335-4:2000 Guidelines for the management of IT security - Part 4: Selection of safeguards. Genève:ISO, 2000.

Anexo A. Referencias

20www.callio.com© Callio Technologies

International Organization for Standardization/International Electrotechnical Commission. International StandardISO/IEC TR 13335-5:2001 Guidelines for the management of IT security - Part 5: Management guidance onnetwork security. Genève: ISO, 2001.

ISMS International User Group. 5 enero 2004, http://www.xisec.com.

Ramakrishnan, Prasanna, CISSP. "Information Security Management Systems." The CISSP and SSCP Open StudyGuides Website. 2003. CISSP and SSCP. 5 jan. 2004,http://www.cccure.org/modules.php?name=Downloads&d_op=viewdownloaddetails&lid=159&ttitle=Information_Security_Mangement_Systems.

AENOR.- Asociación Española de Normalización y Certificación:

Norma UNE 71502:2004.-http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=71502

Norma UNE 71501-1 IN - Conceptos y modelos para la seguridad TI, equivalente al Informe Técnico ISO/IEC TR13335-1:1996.-http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=71501-1

Norma UNE 71501-2 IN - Gestión y Planificación de la Seguridad en TI, equivalente al Informe Técnico ISO/IECTR 13335-2:1997.-http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=71501-2

Norma UNE 71501-3 IN - Guía para la gestión de la seguridad de TI, equivalente al Informe Técnico ISO/IEC TR13335-3:1998.-http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=71501-2

Callio Technologies740, Galt Ouest, bureau 10

Sherbrooke, (Québec)Canadá, J1H 1Z3

www.callio.com

Teléfono : (819) 820-8222Llamada sin costo: 1-866-211-8222

Fax: (819) 820-9518Información: [email protected]

Recursos Humanos: [email protected]: [email protected]