Monthly Archives: marzo 2007

Comprobar nivel de madurez bajo la ISO 27001

Posted by admin on marzo 22, 2007 8 comments

He estado traduciendo (e interpretando) una sección de un interesante artículo publicado en la revista IT Audit sobre cómo saber el nivel de madurez de una organización bajo la ISO 27001.

Son 15 secciones (bastante abiertas, nada de checklist) en las que se tratan todos los temas que exige la ISO, sin entrar en detalle en los 133 controles de la norma, pero dando una muy buena visión del estado en el que se encuentra una organización. Próximamente hablaré sobre los 133 controles…

Ahí las tenéis:

  1. ¿Existe un documento que especifique el alcance del SGSI? Según ISO 27001, se requiere un documento del alcance al planear la puesta en práctica del estándar. El documento debe enumerar todos los procesos, instalaciones, y tecnologías del negocio disponibles dentro de la organización, junto con los tipos de información dentro del SGSI. Al identificar el alcance del SGSI, las compañías deben definir claramente las dependencias y los interfaces entre la organización y las entidades externas.
  2. ¿Están los procesos del negocio y flujos de información bien definidos y documentados? Contestar a esta pregunta ayuda a determinar los activos de la información dentro del alcance de la conformidad y de su importancia, así como para diseñar un sistema apropiado de controles para proteger la información mientras que se almacena, se procesa, y se transmite a través de varios departamentos y unidades de negocio.
  3. ¿Existe una lista de los activos de la información? ¿Es actual? Todos los activos que afecten a la seguridad de la organización se deben incluir en una lista de activos de la información. Los activos de la información incluyen típicamente a software, hardware, documentos, informes, bases de datos, aplicaciones, y propietarios de aplicaciones. Una lista estructurada debe ser mantenida y debe incluir los activos o los grupos de activos disponibles dentro de la compañía, su localización, uso y propietario. La lista se debe poner al día regularmente para asegurar que la información que se revisa durante el proceso de la certificación de la conformidad es exacta.
  4. ¿Dónde están clasificados los activos de información? Los activos de información deben ser clasificados en base a su importancia para la organización y a su nivel de impacto (riesgo). También en base a si su confidencialidad, disponibilidad e integridad podría estar comprometida.
  5. ¿Existe una política de alto nivel de seguridad? Algo crítico a la hora de implementar un estándar de seguridad de la información es contar con una política de seguridad. La política debe trasladar claramente a la gerencia la necesidad de proteger y establecer un marco de seguridad de los negocios. Debe también identificar todos los riesgos de seguridad, cómo serán manejados, y los criterios necesarios para evaluar dichos riesgos.
  6. ¿Tiene la organización implementado un proceso de valoración del riesgo? Un ejercicio cuidadoso de valoración de riesgos debe ser conducido a considerar el valor y las vulnerabilidades de los activos de TI de la organización, los procesos internos y las amenazas exteriores que podrían explotar estas vulnerabilidades, y la probabilidad de cada amenaza. Si existe una metodología de valoración de riesgo, el estándar recomienda que las organizaciones continúen usando esta metodología.
  7. ¿Hay una lista de los controles disponible? Los controles necesarios se deben identificar en base a la información obtenida en el proceso de valoración de riesgos y en el acercamiento total de la organización para atenuar el riesgo. Los controles seleccionados del anexo A del estándar – que identifica 133 controles divididos en 11 dominios – terminan de completar una declaración de aplicabilidad (SOA). Una revisión completa del anexo A actúa como mecanismo de supervisión para identificar si algunas áreas de control se han excluido en el proceso de certificación bajo la norma, en cuyo caso habrá que justificar el por qué de esa exclusión.
  8. ¿Están los procedimientos de seguridad documentados e implementados? Se deben tomar medidas para mantener un sistema estructurado de documentos que detallen todos los procedimientos de seguridad, que deben ser documentados y supervisados para asegurar que se ponen en ejecución según las políticas de seguridad establecidas.
  9. ¿Hay un proceso de gestión de la continuidad del negocio? Un proceso de gestión de la continuidad del negocio debe estar definido el marco de la compañía. Un análisis detallado del impacto del negocio basado en el plan de continuidad se debe elaborar, probar y poner al día periódicamente.
  10. ¿Hay un plan de concienciación de seguridad de la información? Los esfuerzos de la gerencia en cuanto a gestión y documentación de la seguridad de la información deben ir acompañados por un plan de concienciación en seguridad de la información, dirigido a todos los empleados, para que estos tengan el entrenamiento adecuado y los conocimientos exigibles en seguridad de la información.
  11. ¿Hay un proceso de auditoría interna? Una auditoría interna se debe realizar para asegurar la conformidad con el estándar y adherencia a las políticas y a los procedimientos de la seguridad de la organización
  12. ¿Hay un análisis diferencial (gap analysis) respecto a la norma? Otro parámetro importante a determinarse es el nivel de conformidad con los 133 controles del estándar. Un gap analysis ayuda a la organización a establecer controles apropiados, relevantes para las unidades principales de negocio. Este análisis puede hacerse en cualquier etapa del proceso de la conformidad. Muchas organizaciones realizan el gap analysis al principio del proceso de la conformidad para determinar el nivel de la madurez de la compañía.
  13. ¿Hay acciones correctivas y preventivas identificadas e implementadas en la organización? El estándar se adhiere al ciclo Plan-Do-Check-Act para ayudar a la organización a saber hasta dónde y cómo ha progresado a lo largo del proceso. Esto influye directamente en las valoraciones estimadas de tiempo y de costes para alcanzar conformidad. Para completar el ciclo PDCA, las brechas identificadas en la auditoría interna deben ser tratadas identificando los controles correctivos y preventivos necesarios y la alineación de la compañía basada en este análisis.
  14. ¿Existen mecanismos para medir eficacia de los controles implantados? Medir la eficacia de los controles establecidos es un de los últimos cambios hechos al estándar. Según la ISO 27001, las organizaciones deben establecer métricas para medir la eficacia de los controles y para producir resultados comparables y reproducibles.
  15. ¿Existe una revisión por parte de la gerencia de los planes de valoración y tratamiento de riesgos? Los planes de tratamiento y valoración de riesgos deben ser revisados por la gerencia de la organización con una periodicidad establecida, al menos anualmente, formando esta revisión parte de la revisión que la gerencia debe hacer del SGSI de forma periódica.

Manual de testeo de seguridad

Posted by admin on marzo 20, 2007 None comments

ISECOM ha traducido al español hace algunos meses este manual para hacer tests de seguridad en nuestros sistemas de información.

En español tenemos disponible la versión 2.1 , pero en inglés está la 2.2 y varios “release” de la 3.

Disponible en todas sus versiones y lenguajes aquí: osstmm

Proyecto de ley de conservación de datos

Posted by admin on marzo 17, 2007 None comments

Leo en Barrapunto:

“El Boletín Oficial del Congreso de los Diputados publicó ayer el Proyecto de Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones” .

En resumen dice que hay que conservar durante 12 meses datos relativos a las comunicaciones realizadas que contengan ciertos tipos de información como por ejemplo datos de llamadas, para que puedan ser rastreadas… en fín…

  • Destinatarios: operadores que presten servicios de comunicaciones electrónicas o exploten redes públicas de comunicaciones.
  • Se excluye guardar el contenido de las comunicaciones electrónicas y la información consultada utilizando una red de comunicaciones electrónicas.
  • También se dispone la obligación de identificar a todos los compradores de tarjetas prepago para telefonía móvil, imposibilitando así su anonimato.
  • Y muchas más cosas…con su correspondiente sanción si no se cumplen

Más información

Aquí también

Elaboración de planes de concienciación

Posted by admin on marzo 17, 2007 None comments

La ENISA (Agencia Europea de la seguridad de la información y las comunicaciones) ha traducido al castellano su guía para la elaboración de planes de concienciación/sensibilización sobre la seguridad de la información. Recomiendo su lectura

Guía de seguridad en PYME´S

Posted by admin on marzo 17, 2007 48 comments

TIMUR desarrolla con la colaboración de la Consejería de Industria y Medio Ambiente y la Dirección General de Innovación Tecnológica y Sociedad de la Información, esta guía que es un manual de referencia, para sensibilizar y hacer llegar a las Pymes de la Región de Murcia la información que necesitan para adoptar las medidas de seguridad informática que garanticen la protección de sus sistemas de información, asi como el cumplimiento de la legislación vigente. Asi mismo, permitirá al lector, familiarizarse con los conceptos del nuevo marco normativo en materia de seguridad de la información y protección de datos de carácter personal. Se puede acceder a ella aquí Guía de Seguridad en PYMES

Plan de continuidad del negocio

Posted by admin on marzo 16, 2007 5 comments

Después de varios días buscando información sobre planes de continuidad de negocio para implantar la ISO 27001 he leído en algún foro que no es obligatorio, aunque si muy recomendable:

“BCP es excluible, y es excluible, como todos los demás controles, si se demuestra con el análisis de riesgo que su exclusión no afecta el logro de los objetivos de negocio” .

“Es importante aclarar que en la auditoría de otorgamiento,
usted debe demostrar que la exclusión de un control no afecta la
capacidad de la organización para cumplir sus objetivos de negocio y
esto puede realizarse mediante la evidencia de controles
compensatorios.

En resumen, tener 27001 no implica tener BCP.”

Fuente: lista de correo de segurinfo

¿Qué opináis?

Primer post

Posted by admin on marzo 16, 2007 None comments

Hola, este es el primer post del blog, por lo que tampoco tendrá grandes contenidos.

Iremos publicando todo tipo de noticias e información relacionadas con la auditoría y la seguridad informática.

Dejad vuestros comentarios, ya que de eso se trata.

Un saludo