SEGURIDAD DE LA INFORMACION ISO 27003 v2

Anuncio
SEGURIDAD DE LA INFORMACION - ISO 27003
TÉCNICAS DE SEGURIDAD. DIRECTRICES PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
PARTE I. MARCO TEORICO
El Sistema de Gestión de Seguridad de la Información – ISMS es la parte del sistema integral de
gestión, basado en un enfoque del riesgo de la información para establecer , implementar ,
operar, monitorear, revisar, mantener y mejorar la seguridad de la información. [NTP-ISO/IEC
27001]
Este sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación,
responsabilidades, practicas, procedimientos, procesos y recursos, basado en el modelo PDCA
(Figura 1).
Fuente: NTP 27001:2008
Figura 1 – Modelo PDCA aplicado al proceso ISMS
El Objetivo del ISO 27003 es proporcionar orientación práctica en el desarrollo del plan de
implementación para un Sistema de Gestión de Seguridad de Información.
Para el presente desarrollo del tema se tomó como referencia el Proyecto de Norma Peruana
PNTP-ISO/IEC 27003:2012 TECNOLOGÍA DE LA INFORMACIÓN. Técnicas de seguridad – Directrices
para la implementación de un sistema de gestión de la seguridad de la información, que es un
equivalente de la ISO/IEC 27003:2010 Information technology -- Security techniques -Information security management system implementation guidance, esto debido a la falta de
documentación oficial en español del presente ISO.
Algunas restricciones a considerar es que PNTP-ISO/IEC 27003:2012 no cubre las actividades de
operación y otras actividades del ISMS, sino que abarca los conceptos sobre cómo diseñar las
actividades que tendrán lugar después de que comiencen las operaciones del ISMS
Tiene como objeto y campo de aplicación los aspectos críticos necesarios para el diseño e
implementación exitosa de un Sistema de Gestión de la Seguridad de la Información (SGSI) de
acuerdo con NTP-ISO/IEC 27001:2008
1. ESTRUCTURA GENERAL DE CAPÍTULOS:
La PNTP-ISO/IEC 27003 explica la implementación de un SGSI enfocando en la iniciación,
planificación y definición del proyecto. El proceso de planificación de la implementación
final del SGSI contiene cinco fases y cada fase está representada por un capítulo
independiente. Todos los capítulos tienen una estructura similar, las cinco fases son:
a) Obtener la aprobación gerencial para iniciar un proyecto SGSI (Capítulo 5).
b) Definir el Alcance del SGSI y la Política del SGSI (Capítulo 6).
c) Realizar un Análisis de la Organización (Capítulo 7). d) Realizar una Evaluación del
d) Riesgo y planificar el Tratamiento del Riesgo (Capítulo 8).
e) Diseñar el SGSI (Capítulo 9).
La Figura 2 ilustra las cinco fases de la planificación del proyecto SGSI con las referencias a
las normas ISO/IEC y los documentos de salida principales.
Fuente: PNTP-ISO/IEC 27003
Figura 2 – Fases del proyecto SGSI
2. FASES DE IMPLEMENTACION DEL SGSI
2.1 DEFINIR EL ALCANCE, LÍMITES Y POLÍTICA DEL SGSI
El Objetivo de esta fase es definir detalladamente el alcance y los límites del SGSI y
desarrollar la política del SGSI, obteniendo el aval de la dirección.
2.2 REALIZAR UN ANÁLISIS DE REQUERIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN
El Objetivo de esta fase es definir los requerimientos relevantes a ser soportados por
el SGSI, identificar los activos de información y obtener el estado actual de la
seguridad dentro del alcance.
2.3 REALIZAR UNA EVALUACIÓN DEL RIESGO Y PLANIFICAR EL TRATAMIENTO DEL RIESGO
El Objetivo de esta fase es definir la metodología de evaluación del riesgo, identificar,
analizar y evaluar los riesgos de seguridad de información para seleccionar las
opciones de tratamiento del riesgo y seleccionar los objetivos de control y los
controles.
2.4 DISEÑAR EL SGSI
El objetivo de esta fase es completar el plan final de implementación del SGSI a través
de: el diseño de seguridad de la organización basado en las opciones seleccionadas
para el tratamiento del riesgo, así como los requisitos relativos a registro y
documentación y el diseño de los controles que integran las disposiciones de
seguridad en los procesos de TIC, físicos y organizacionales y del diseño de los
requisitos específicos del SGSI.
3. DESCRIPCION DE LA LISTA DE VERIFICACION
En el presente cuadro se muestra cada uno de los pasos a considerar para la
implementación de la SGSI en base a las fases descritas en el punto 2. Su propósito es:
• Proveer una lista de verificación de actividades requeridas para establecer e
implementar un SGSI;
• Apoyar el seguimiento del progreso de la implementación de un SGSI;
• Relacionar las actividades de implementación de un SGSI con sus respectivos
requisitos en NTP-ISO/IEC 27001.
FASE DE
IMPLEMENTACIÓN
ISO/IEC 27003
NRO. DE
PASO
1
5.Obtener la aprobación
de la dirección para la
implementación de un
SGSI
PASO PREREQUISITO
Ninguno
2
Lograr la comprensión de los sistemas de
gestión existentes
Ninguno
3
5.2 Definir objetivos, necesidades de
seguridad de información, requerimientos
del negocio para un SGSI
1,2
4
Obtener las normas reglamentarias, de
cumplimiento y de la industria aplicables a
la empresa
Ninguno
5
5.3 Definir alcance preliminar del SGSI
6
7
6. Definir alcance y
ACTIVIDAD, REFERENCIA ISO/IEC 27003
Obtener objetivos del negocio de la
organización
5.4 Crear el caso de negocio y el plan de
proyecto para aprobación de la dirección
5.5 Obtener aprobación de la dirección y
compromiso para iniciar un proyecto para
implementar un SGSI
Definir límites organizacionales
3,4
5
6
7
DOCUMENTO DE SALIDA
Lista de objetivos de negocio de la
organización
Descripción de sistemas de gestión
existentes
Resumen de los objetivos, necesidades de
seguridad de información y requerimientos
de negocio para el SGSI
Resumen de las normas reglamentarias, de
cumplimiento y de la industria aplicables a
la empresa
Descripción de alcance preliminar del
SGSI(5.3.1)
Definición de roles y responsabilidades del
SGSI (5.3.2)
Caso de negocio y plan de proyecto
propuesto
Aprobación de la dirección para iniciar un
proyecto para implementar un SGSI
• Descripción de límites organizacionales
política de un SGSI
• Funciones y estructura de la organización
• Intercambio de información a través de
límites
• Procesos de negocio y responsabilidad
sobre los activos de información dentro y
fuera del alcance
9
6.3 Definir límites de las tecnologías de la
información y las comunicaciones
7
10
6.4 Definir límites físicos
7
11
6.5 Finalizar límites para el alcance del SGSI
12
6.6 Desarrollar la política del SGSI
13
8,9,10
11
7.2 Definir los requerimientos de
seguridad de la información que den
soporte al SGSI
12
7.3 Identificar activos dentro del alcance
del SGSI
13
7 Realizar un análisis de
la organización
14
15
7.4 Generar una evaluación de seguridad
de la información
14
• Descripción de los límites de las TIC
• Descripción de sistemas de información y
redes de telecomunicación describiendo lo
comprendido y lo fuera del alcance
• Descripción de límites físicos para el SGSI
• Descripción de la organización y sus
características geográficas describiendo
alcance interno y externo
Un documento describiendo el alcance y
los límites del SGSI
Política del SGSI aprobada por la dirección
Lista de las principales funciones,
ubicaciones, sistemas de información,
redes de comunicación
Requerimientos de la organización
referentes a confidencialidad,
disponibilidad e integridad
Requerimientos de la organización
relacionados a requisitos legales y
reglamentarios, contractuales y de
seguridad de información del negocio
Lista de vulnerabilidades conocidas de la
organización
Descripción de los principales proceso de la
organización
Identificación de activos de información de
los principales procesos de la organización
Clasificación de proceso/activos críticos
• Documento del estado actual de
seguridad de la información de la
organización y su evaluación incluyendo
controles de seguridad existentes.
• Documento de las deficiencias de la
organización evaluadas y valoradas
• Alcance para la evaluación del riesgo
16
8.2 Realizar una evaluación del riesgo
15
• Metodología de evaluación del riesgo
aprobada, alineada con el contexto de
gestión de riesgos de la organización.
• Criterio de aceptación del riesgo.
8. Realizar una
evaluación del riesgo y
Seleccionar Opciones de
Tratamiento del Riesgo
17
8.3 Seleccionar objetivos de control y
controles
16
18
8.4 Obtener aprobación de la dirección
para implementar un SGSI
17
19
Aprobación de la dirección del riesgo
residual
18
Evaluación del riesgo de alto nivel
documentada
Identificar la necesidad de una evaluación
del riesgo más detallada
Evaluación de riesgos detallada
Resultados totales de la evaluación de
riesgos
Riesgos y las opciones identificadas para el
tratamiento del mismo
Objetivos de control y controles para la
reducción de riesgos seleccionados.
Aprobación de la dirección documentada
del riesgo residual propuesto (debería ser
la salida de 8.4)
20
Autorización de la dirección para
implementar y operar el SGSI
19
21
Preparar declaración de aplicabilidad
18
22
9.2 Diseñar la seguridad de la organización
20
23
9.3 Diseñar la seguridad de la información
física y de las TIC
20, 21
24
9.4 Diseñar la seguridad de la información
específica del SGSI
22,23
9 Diseñar el SGSI
25
26
27
9.5 Producir el plan final del proyecto SGSI
25
28
El plan final del proyecto SGSI
28
Autorización de la dirección documentada
para implementar y operar SGSI (debería
ser la salida de 8.4)
Declaración de aplicabilidad
Estructura de la organización y sus roles y
responsabilidades relacionados con la
seguridad de la información
• Identificación de documentación
relacionada al SGSI
• Plantillas para los registros del SGSI e
instrucciones para su uso y
almacenamiento
Documento de política de seguridad de
información
Línea base de políticas de seguridad de la
información y procedimientos (y si es
aplicable planes para desarrollar políticas,
procedimientos, etc. específicos)
Implementación del plan de proyecto para
el proceso de implementación para los
controles de seguridad físicos y de las TIC
seleccionados
Procedimientos describiendo el reporte y
los procesos de revisión por la dirección.
Descripciones para auditorías,
seguimientos y mediciones
Programa de entrenamiento y
concientización
Plan de proyecto de implementación
aprobado por la dirección para los
procesos de implementación
Plan de proyecto de implementación del
SGSI especifico de la organización
cubriendo el plan de ejecución de las
actividades para seguridad de la
información organizacional, física y de las
TIC, así como también los Requerimientos
específicos para implementar un SGSI de
acuerdo al resultado de las actividades
incluidas en ISO/IEC 27003
Fuente: PNTP-ISO/IEC 27003 – Anexo A / Descripción de Lista de Verificación
PARTE II. CASO PRÁCTICO
CASO FICTICIO: Aplicación de la NTP/ISO 27003 en la Fábrica de Software WANCA-SOFT
I.
Obtención de la aprobación de la dirección para la implementación de un SGSI
Esta parte permitió que la alta gerencia de la empresa entendiera la importancia del proyecto y la necesidad
del apoyo del recurso humano, factor vital para el inicio de la fase de levantamiento de información. Esta
fase fue exitosa gracias a que se mostraron puntos tales como: cumplimiento y rendimiento de la inversión
de una forma eficaz, haciéndoles entender que si una organización cumple con la normatividad sobre
protección de datos sensibles, privacidad y control de TI, los resultados a futuro mejorarían de forma
sustancial el impacto estratégico de la compañía, y aunque represente un gasto considerable, genera así
mismo a futuro un Retorno de la Inversión (ROI – Return Over Investment) y una ganancia financiera
representados en incidentes o desastres durante el proceso de desarrollo de software.
II.
Definir alcance y política de un SGSI
Por la complejidad de la implementación de la norma, se recomendó definir de manera sistemática el
alcance del proyecto, en las áreas de DESARROLLO DE SOFTWARE y SEGURIDAD DE RECURSOS HUMANOS.
Cualquier otro proceso que la organización considere incluir dentro del SGSI es válido, lo que se recomienda
es que la decisión de incluir más procesos sea con base en un análisis que en efecto sugiera la importancia
de incluir dicho proceso, no se quiere hacer un SGSI muy robusto y poco efectivo, por el contrario, hacerlo lo
más simple posible es una buena práctica, más aun cuando la organización empieza desde ceros el
desarrollo del Sistema.
III.
Realizar un análisis de la organización
a) Identificación de activos dentro del alcance del SGSI: Para este punto se sugirió realizar un inventario
de los activos para tener un control más riguroso de los mismos. Toda la información y activos asociados
a los recursos para el tratamiento de la información, deberían tener un propietario y pertenecer a una
parte designada de la Organización.
Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar cuál era la
situación actual de la Organización, se realizó un análisis de gap, cuyos resultados se muestran en la
figura 1, donde se puede apreciar que un 20% de los activos de la Comunidad no tienen un
procedimiento implantado, lo cual representa un porcentaje bastante alto.
Figura 1. Análisis gestión de activos
b) Evaluación de seguridad de la información en relación a los recursos humanos: Tuvo como objetivo
evaluar si los empleados, contratistas y usuarios de terceras partes, entienden sus responsabilidades y
son aptos para ejercer las funciones para las cuales fueron considerados, con el fin reducir el riesgo de
hurto, fraude o uso inadecuado de las instalaciones.
IV.
Evaluación del riesgo y Selección de Opciones de Tratamiento del Riesgo
a)
Se realizo una evaluación del riesgo en base a la metodología que cuenta Wanka-Soft el cual se
denomina MERWS (Metodología de Evaluación de Riesgos Wanka-Soft), La evaluación de riesgo se
dio sobre el proceso de Desarrollo de Software y los Recursos Humanos. Esta metodología permitió:
Identificar los riesgos
Analizar y evaluar los riesgos encontrados
Definir objetivos de Control y Controles para el tratamiento de riesgos
Proponer opciones para el tratamiento de riesgos
b) Asimismo se realizo el análisis de las amenazas y vulnerabilidades, lo cual requirió las siguientes
actividades:
Realizar una lista de las amenazas que puedan presentarse en forma accidental o intencional
con relación a los activos de información. Diferenciar estas amenazas de las vulnerabilidades de
los activos ya que el análisis debe radicar en las amenazas.
Identificar los riesgos internos de los procesos analizando tanto las actividades que se
desarrollan como las amenazas identificadas.
Identificar los riesgos externos de los procesos. Es necesario analizar los riesgos que se pueden
presentar cuando se subcontrata un servicio o existe personal externo a la organización.
Realizar un análisis del ambiente organizacional, el ambiente tecnológico y los aspectos
socioculturales que rodea la Organización para definir las amenazas a las que pueden estar
expuestos los activos.
EXTERNO
-
AMENAZAS
- Suplantación de identidad
- Virus informático o código malicioso
- Robo de información del área de
desarrollo
- Hackers – espionaje
- Hurto por personal externo
RIESGOS
- Perdida de información causada por
virus o un código malicioso
- Plagio de informes de resultados
- La filtración de información de los
proceso de desarrollo de software
- Perdida de estatus y reconocimiento
de la empresa en el mercado
-
-
INTERNO
Acceso no autorizado al área de
desarrollo
Hurto por colaboradores
Alteración de resultados
Divulgación de la información
Uso indebido de la imagen corporativa
Sabotaje
Falla del servidor o sistema
Emisión de informes de resultados no
confiables al ser alterados por
conveniencia
Perdida de información por fallos en el
servidor
Perdida de confidencialidad
Incoherencia en la información
entregada al cliente
Altos costos por reproceso de análisis
Ilustración de Amenazas y riesgos identificados.
c)
d)
V.
Aprobación de la dirección para implementar un SGSI El criterio de aceptación estara
Descargar