Normativa, tecnología y política para la seguridad informática


Seguridad para controlar las tecnologías digitales



Descargar 1.15 Mb.
Página6/14
Fecha de conversión22.09.2018
Tamaño1.15 Mb.
Vistas387
Descargas0
1   2   3   4   5   6   7   8   9   ...   14

2.2 Seguridad para controlar las tecnologías digitales


La aceptación generalizada de la validez de los documentos de papel firmados se debe a un conjunto de propiedades que se atribuyen a la firma manuscrita, entre las que se encuentran:

  • ser prueba de la autenticidad del firmante y de su voluntad de firmar;

  • la facilidad de detectar, por expertos, ataques a la integridad (ha sido manipulada o falsificada);

  • la imposibilidad de que sea separada del documento (es decir, no es reutilizable);

  • el documento firmado no es fácilmente alterable;

  • el documento firmado no puede ser repudiado por quien lo firmó;

Además, la firma manuscrita es barata y fácil de realizar.

La unidad clásica que forman el papel, el texto y la firma, se disocia en el medio electrónico. En éste el medio, el mensaje y la firma forman entidades separadas, pero al mismo tiempo obligadas a interactuar. La complejidad (tecnológica y administrativa) de la disociación entre medio, mensaje y firma, se añade la evolución tecnológica, que no sólo afecta a la capacidad de proceso, sino a la propia posibilidad de invocar los documentos electrónicos (por la evolución del hardware, soportes de información, sistemas operativos y los programas de aplicación). En este contexto, el archivo de los documentos electrónicos adquiere incertidumbres de cierta importancia.







Sistema convencional

Sistema digital

Medio

Papel

(contenido y firma inseparables del papel)

Plataforma informática (Hardware y Software)

Mensaje

Contenido

Archivo (necesita la plataforma informática para visualizarlo

Identidad

Firma

Firma digital

Autenticidad (origen)

-Registro de firma (bancario)

-Documento de identidad



-Autoridades de certificación centrales (o 'raíz) (RCA)

-Probablemente, Administraciones Públicas



Autenticación (comprobación)

Fedatarios públicos (nota-rios) o privados (grafólogos)

Infraestructuras de clave pública

Actualmente, la construcción de la confianza en el medio electrónico pasa por dotarle de propiedades similares a las que durante siglos han servido con otros soportes. La firma digital, que utiliza algoritmos criptográficos de clave pública y funciones resumen persigue conseguir para el universo electrónico esas mismas propiedades.

En efecto, los métodos y técnicas criptográficos (junto a otros métodos y tecnologías para la seguridad), permiten afrontar con cierto éxito muchos de los aspectos del problema, como lo son la protección de la integridad de los documentos electrónicos, su autenticidad y el no repudio del signataria. Es esta una visión positiva de la seguridad, esto es, no ligada a la defensa, sino capaz de implantar en el medio electrónico garantías que la experiencia y la práctica han demostrado útiles para el comercio, para las relaciones entre empresas, para los trámites burocráticos (como por ejemplo la declaración de impuestos) y, en fin, para las relaciones interpersonales.

Por otra parte, aparejado a la solución de problemas, surgen nuevas actividades productivas y formas de negocio, como es el caso de la industria del software para la seguridad o los prestadores de servicios de certificación, de los que se hablará más adelante.

2.3 Un ejemplo trivial de Análisis de Riesgos


Como puede verse, el empleo combinado de medidas que aseguren unas u otras condiciones de seguridad permite ampliar los resultados que pueden obtenerse. La obtención del resultado deseado exige por tanto cierto procedimiento previo de toma de decisión, en forma de un estudio o análisis que arranque de la definición clara del problema concreto de comunicación, real o previsible.

La ejecución, instalación o implantación de las medidas concretas para resolver el problema pretende conseguir unos niveles de dichas condiciones de seguridad que se consideren adecuados o al menos aceptables.

Estos niveles de adecuación o aceptabilidad se pueden y deben relacionar con un doble resultado de seguridad –concepto tomado como un estado más objetivable- y de confianza –concepto tomado como un estado más subjetivo-. Niveles y resultado dependen por tanto del entorno de los sistemas y objetos de estudio, para cuyo análisis actualmente se dispone de suficientes métodos y estándares internacionales. Éstos suelen emplear como referente central el concepto de Riesgo, opuesto a los de confianza y seguridad; concepto que puede tener acepciones distintas.19

La comprensión de las medidas que cumplimentan las condiciones de seguridad de un sistema puede aclararse poniendo como ejemplo la seguridad de otro ‘sistema’: el cuerpo y su salud. En este caso el cuerpo es el dominio compuesto por distintos activos (los órganos atacables) y las amenazas son los distintos agentes infecciosos que pululan en el entorno. Por ejemplo la amenaza se materializa como agresión de un agente vírico, en forma de afección gripal.

Cualquier persona adopta habitualmente salvaguardas elementales que pueden llamarse organizativas (por ejemplo abrigarse si baja la temperatura, lavarse las manos antes de comer, evitar corrientes de aire). Pero ante posibles problemas suele realizar un ‘análisis de riesgos’: este indica que la vulnerabilidad aumenta al avanzar la epidemia gripal de todos los otoños y que el impacto previsible va desde simples molestias a secuelas importantes para su salud; con pérdida de algún día laborable a graves dificultades para mantener el proyecto que tiene entre manos. Esos dos factores, Vulnerabilidad e Impacto, permiten evaluar el riesgo de ‘coger’ la gripe y sus secuelas.

Si la persona considera importante el riesgo evaluado, prepara una batería de salvaguardas para ‘gestionar’ ese riesgo (no para anularlo, pues sería infactible erradicar el virus del entorno o no ir a trabajar varios meses para evitar contagios). Por tanto, como no puede evitar totalmente los ambientes contagiosos (el lugar de trabajo o el transporte público), la persona puede vacunarse como salvaguarda preventiva para reducir la vulnerabilidad (la probabilidad de coger la gripe). La vacuna es también una salvaguarda curativa pues reduce en parte el impacto sobre la salud (la virulencia del ataque).

El médico (un especialista en ‘Análisis y Gestión de Riesgos sanitarios’) puede creer conveniente reducir otros impactos, recetando antipiréticos (salvaguarda curativa contra la fiebre) y antibióticos (una salvaguarda no curativa contra agentes víricos, pero preventiva contra secuelas de la gripe, como infecciones bacterianas en el aparato cardio-respiratorio).

Otros riesgos (por ejemplo los laborales) se pueden aceptar o intentar reducir aplicando otras salvaguardas. El empleador acepta (por disposición legislativa) la ausencia del enfermo asalariado y el retraso del proyecto; o si es crítico, lanza la salvaguarda curativa de un sustituto. Un profesional liberal enfermo tendría un seguro de cobro para bajas por enfermedad como salvaguarda preventiva.


2.4 Riesgos y su análisis en un sistema de información


El control del riesgo en un sistema concreto de Cibernegocio es el núcleo básico de la confianza en su empleo y será por tanto la acepción desarrollada en estos capítulos sobre seguridad. Pero podría estudiarse también otro tipo de riesgo genérico, el inherente al negocio del Cibernegocio visto como la incertidumbre que puede transformarse en oportunidad; o bien el riesgo específico que comporta el proyecto de construcción de un sistema concreto de Cibernegocio (dos acepciones de riesgo que subyacen a muchas razones de este libro).

El riesgo suele definirse como la posibilidad de un impacto. Los métodos actuales de análisis y gestión de riesgos empiezan por acotar el Dominio cuya seguridad se quiere estudiar, delimitando losActivos que comprende y separándolos respecto al Entorno (para considerar su influencia sobre el Dominio). Dichos Activos son, en el caso del Cibernegocio, los sistemas que soportan directamente la información necesaria para el buen funcionamiento de la organización y la consecución de los objetivos propuestos; y en especial, la confianza en dicho funcionamiento. Los análisis de riesgos en el Cibernegocio conciernen tanto a la red (incluidos sus nodos de proceso) como a los equipos informáticos emisores y receptores de las transacciones. Sin embargo suele considerarse sólo la seguridad de las transacciones por la red, contando con que los usuarios habrán analizado y dominado la seguridad de sus equipos.



2.5. Niveles, ‘generaciones’ y escalones de seguridad

Los métodos (estudio y forma de solución) de SSI se han ido adaptando a la evolución y cambios de función de las sucesivas generaciones de SI, buscando niveles o estados de seguridad crecientes:

- En los primeros 70, autores y entidades expusieron básicamente en EE.UU. una primera ‘generación’ de métodos para analizar los riesgos de los SI y lograr un primer nivel elemental de seguridad. Métodos basados en listas de chequeo (checklists) y en modelos rudimentarios, pero efectivos, de relacionar causas y efectos relacionados con la seguridad de los sistemas, .

- Desde mediados los 80, una segunda 'generación' de métodos más formalizados logró un segundo nivel suficiente de seguridad; métodos como CRAMM, CCTA Risk Analysis and Management Method (CCTA es la Agencia interministerial británica de informática).

- En los últimos 90 ha despegado una tercera ‘generación’ de métodos -como MAGERIT en la Administración Pública española- que cubre un tercer nivel avanzado para los nuevos problemas de seguridad; métodos paralelos a la creciente sensibilidad legislativa y normativa en la materia.

- Apuntan ciertos rasgos de una cuarta ‘generación’ preocupada por un cuarto nivel de seguridad certificada de los componentes de la ‘cadena’ que asegure la confianza previsible en el sistema.

Este recurso a las 'generaciones' se emplea a menudo para ayudar a situar la evolución de otros sectores informáticos y sirve también para relacionar la evolución de los SI con respecto a la seguridad.20 los Sistemas de Información actuales se encontrarían, en general, pasando al tercer nivel o generación (con alguna excepción que ya está en la cuarta y una amplia cola que aún difícilmente sale de la segunda). La 'madurez' de la seguridad en dichos sistemas estaría 'un paso atrás', o sea con una generación retrasada respecto a la madurez de los SI. El grueso de sistemas está entre la primera y segunda generación y algunos empiezan a pasar a la tercera, en EEUU o Europa. En todo caso, la gestión de la seguridad en una Organización dada pasaría en cierta forma por ir pasando por las 4 generaciones o niveles sucesivamente, en forma de ‘escalones’ cada uno con su coste y contexto de aplicabilidad. Así, para llegar a la generación 4ª (certificar) se debería pasar por:

- escalón 0: el ‘sentido común’

- escalón 1: Cumplimiento de la legislación obligatoria (Reglamento de seguridad)

- escalón 2: Evaluación del Proceso de Gestión de Seguridad (con un Código de prácticas)



  • escalón 3: Análisis de los riesgos y Gestión de su resolución (con un Método como MAGERIT)

  • escalón 4: Adquisición de componentes certificados para integrarlos en los sistemas y certificación de los sistemas que sean críticos (siguiendo los Criterios Comunes u otros Criterios de Evaluación de Seguridad homologables).

2.6. Escalón 0: el sentido común

Todo problema de Seguridad termina con la instalación y uso de medidas o mecanismos de salvaguarda (abreviadamente ‘salvaguardas’) de varios tipos y complejidades, igual que todo problema de Sistemas de Información termina con la instalación y el uso de mecanismos informacionales para resolverlo (no forzosamente paquetes informáticos). No se debe infravalorar el peligro de no atender adecuadamente los riesgos, pero tampoco conviene supervalorar los costes y complicaciones de poner salvaguardas para controlarlos. En muchos casos, basta como salvaguarda el principio de “prestar atención para detectar el peligro y usar el sentido común para abortarlo”.

Ese sentido común indica que en seguridad vale el conocido ‘principio de la cadena’ que siempre se rompe por el eslabón más débil.21 Si se quiere que la ‘cadena’ de salvaguardas del Dominio mantengan su eficacia, hay que poner atención en conocer toda la cadena (sus enlaces) para centrar el sentido común en los eslabones débiles (los activos con mayor riesgo, vulnerabilidad o impacto).

La aplicación de este sentido común es sencilla, ya que parte del trabajo ya está hecho. Hay muchas salvaguardas de distintos tipos que ya están implantadas en muchos activos: las máquinas son cada vez más fiables y tienen muchos elementos redundantes; a nadie se le ocurre instalarlas en un espacio que no esté algo protegido; el software básico incluye muchas herramientas (ficheros de respaldo, contraseñas); muchos programas tienen algún control interno (como los programas contables por ejemplo que al menos ‘cuadran’); ya no se suele desarrollo trabajar sin instrucciones. En instalaciones y en sistemas normales, puede ser suficiente reforzar y sistematizar este tipo de salvaguardas para neutralizar la mayor parte de riesgos.



2.7. Escalón 1: Cumplimiento de la legislación obligatoria

El Real Decreto 994/1999 de 11 de junio aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, desarrollando los artículos 9 y 44.3h de la Ley Orgánica 15/1999 de Protección de dichos Datos.

El Reglamento exige de hecho el escalón más elemental de salvaguardas (tras aplicar el sentido común para activar con eficacia las medidas elementales que suelen venir ya instaladas con los sistemas). Contiene 29 artículos organizados en 6 capítulos y una Disposición transitoria única. Ésta indica los plazos de implantación de las medidas (6, 12 y 24 meses según los niveles los niveles básico, medio y alto respectivamente, para los sistemas de información en funcionamiento; y 36 meses para adecuar los que “no permitan tecnológicamente la implantación de alguna de las medidas de seguridad previstas en el presente Reglamento” (plazo que acaba el 11 de junio del 2002). Estas medidas de seguridad “se configuran como las básicas que han de cumplir todos los ficheros que contengan datos de carácter personal”.

El Capítulo I de Disposiciones generales da como objeto del Reglamento “establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica 5/1992” (ahora la 15/1999). Las “medidas de seguridad exigibles”, válidas para accesos a través de redes de comunicaciones, ficheros temporales y tratamiento fuera de los locales de ubicación (que ha de autorizar expresamente el responsable del fichero), se clasifican en 3 niveles:



- Medidas de nivel B básico para todos los ficheros que contengan datos de carácter personal.

- Medidas de nivel M medio (además de las de nivel básico) para “los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992” ( ) y “cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo”.

- Medidas de nivel A alto (además de las anteriores) para “los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir”.

Los Capítulos II, III y IV detallan las Medidas de seguridad de nivel básico, medio y alto, empezando por el Documento de seguridad, que “deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo” y cuyo contenido “deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal”.

Las medidas se agrupan en 13 secciones y se exigen de forma creciente, según el nivel de los datos:

- Todos los niveles (reforzados en el medio y/o en el alto)

1. Funciones y obligaciones del personal

2. Registro de incidencias

3. Identificación y autenticación

4. Control de acceso

5. Gestión de soportes

6. Copias de respaldo y recuperación

- Nivel medio y/o reforzado en el nivel alto

7. Responsable de seguridad

8. Control de acceso físico

9. Auditoría

10. Pruebas con datos reales

- Sólo nivel alto

11. Distribución de soportes

12. Registro de accesos

13. Telecomunicaciones

Las medidas, sus secciones y niveles de aplicación y los artículos del Real Decreto se resumen así:




Artº

Medidas de seguridad a tomar y registrar obligatoriamente (así como a auditar si

Niveles

Ley

                1. cabe) en el DOCUMENTO DE SEGURIDAD

B

M

A

8.1

El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal, y a los sistemas de información

B

M

A

8.2

Contenido mínimo del documento de seguridad:













- Ámbito de aplicación con especificación detallada de los recursos protegidos

B

M

A




- Medidas, normas, procedimientos, reglas y estándares

B

M

A




- Funciones y obligaciones del personal

B

M

A




- Estructura de los ficheros y descripción de los SI que los tratan

B

M

A




- Procedimiento de notificación, gestión y respuesta ante las incidencias

B

M

A




- Procedimientos de realización de copias de respaldo y recuperación de datos

B

M

A

15

Además el documento de seguridad deberá contener para los niveles medio y alto:













- Identificación del responsable(s) de seguridad




M

A




- Controles periódicos para verificar el cumplimiento de lo establecido en el documento




M

A




- Medidas a adoptar en caso de reutilización o de desecho de soportes




M

A

1. Funciones y obligaciones del personal










9.1

Las funciones y obligaciones de cada uno estarán claramente definidas y documentadas

B

M

A

9.2

El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento

B

M

A

2. Registro de incidencias










10

El procedimiento de notificación y gestión de incidencias contendrá el tipo, momento, persona que notifica, a quién se le comunica y los efectos derivados de la misma

B

M

A

21.1

El registro consignará los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.




M

A

21.2

Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos



M

A

3. Identificación y autenticación










11.1

El responsable del fichero se encargará de que exista una relación actualizada de usuarios con acceso autorizado al sistema de información, con procedimientos de identificación y autenticación para dicho acceso

B

M

A

11.2

En caso de autenticación con contraseñas, existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad

B

M

A

11.3

Las contraseñas se cambiarán periódicamente y su almacenamiento será de forma ininteligible mientras estén vigentes

B

M

A

18.1

El responsable del fichero establecerá un mecanismo que permita de forma inequívoca y personalizada la identificación de todo usuario que intente acceder al sistema de información y la verificación de que está autorizado



M

A

18.2

Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema.




M

A

4. Control de acceso










12.1

Los usuarios sólo tendrán acceso autorizado a datos y recursos necesarios para sus funciones.

B

M

A

12.2

El responsable del fichero establecerá mecanismos que eviten el acceso de un usuario a información o recursos sin los derechos autorizados

B

M

A

12.3

La relación de usuarios contendrá el acceso autorizado para cada uno.

B

M

A

12.4

Sólo el personal autorizado podrá conceder, alterar o anular el acceso autorizado, según los criterios establecidos por el responsable del fichero

B

M

A

5. Gestión de soportes










13.1

Los soportes informáticos permitirán identificar el tipo de información que contienen, inventariarse y almacenarse en lugar con acceso restringido al personal autorizado

B

M

A

13.2

La salida de soportes informáticos que contengan datos de carácter personal, únicamente podrá ser autorizada por el responsable del fichero

B

M

A

20.1

El registro de entrada de soportes informáticos permitirá conocer el tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío y el responsable de la recepción (que deberá estar debidamente autorizado)



M

A

20.2

El registro de salida de soportes informáticos permitirá conocer el tipo de soporte, fecha y hora, destinatario, número de soportes, tipo de información que contienen, forma de envío y el responsable de la entrega que deberá estar debidamente autorizado



M

A

20.3

Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán, las medidas necesarias para impedir cualquier recuperación posterior de la información con anterioridad a su baja en el inventario



M

A

20.4

Cuando los soportes vayan a salir fuera de los locales donde estén ubicados los ficheros por operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada



M

A

6. Copias de respaldo y recuperación










14.1

El responsable del fichero se encargará de verificar la definición y aplicación de los procedimientos de realización de copias de respaldo y recuperación de datos

B

M

A

14.2

Los procedimientos de copias de respaldo y recuperación de los datos deberán garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción

B

M

A

14.3

Se harán Copias de respaldo al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos

B

M

A

25

Se conservará una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar distinto a aquél donde estén los equipos informáticos que los tratan





A

7. Responsable de seguridad










16

El responsable del fichero designará uno o varios responsables de seguridad que coordinarán y controlarán las medidas de seguridad. No supone delegación de la responsabilidad del responsable del fichero




M

A

8. Control de acceso físico










19

Exclusivamente el personal autorizado podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información



M

A

9. Auditoría










17.1

Los sistemas de información e instalaciones se someterán a una auditoría interna o externa, que verifique el cumplimiento del Reglamento, los procedimientos e instrucciones, al menos, cada dos años



M

A

17.2

El informe de auditoría dictaminará sobre la adecuación de las medidas y controles, identificará deficiencias y propondrá medidas correctoras o complementarias. Deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas



M

A

17.3

Los informes serán analizados por el responsable de seguridad, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos



M

A

10. Pruebas con datos reales










22

Anteriormente a la implantación o modificación de los sistemas de información, las pruebas a no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado



M

A

11. Distribución de soportes










23

La distribución de soportes se hará cifrando los datos o usando otro mecanismo que garantice que la información no sea inteligible ni manipulada durante su transporte





A

12. Registro de accesos










24.1

De cada acceso se guardarán, como mínimo: identificación del usuario, fecha y hora en que se realizó, fichero accedido, tipo de acceso y si ha sido autorizado o denegado





A

24.2

En el caso del acceso autorizado, será preciso guardar la información que permita identificar el registro accedido





A

24.3

Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad, sin que se permita en ningún caso la desactivación de los mismos





A

24.4

El período mínimo de conservación de los datos registrados será de dos años







A

24.5

El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos cada mes





A

13. Telecomunicaciones










26

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada





A

Por último el Capítulo V sobre Infracciones y sanciones, así como el VI sobre Competencias del Director de la Agencia de Protección de Datos, se atienen a lo que establece la Ley Orgánica 15/1999 y se verán en el contexto de ésta.

2.8. Escalón 2: Evaluación del Proceso de Gestión de Seguridad

En el escalón 1 las posibles Inspecciones de la Agencia de Protección de Datos al Documento de Seguridad que debe estar a su disposición, junto a las Auditorías que exige el Real Decreto en los niveles medio y alto, pueden verse como una certificación implícita y obligada del proceso de gestión de seguridad seguido por la Organización para conseguir el estado de seguridad evaluado.

Este escalón 2 conlleva una Evaluación del Proceso de Gestión de Seguridad de la Organización con ayuda del Código de Práctica de la Gestión de Seguridad de la Información, norma internacional IS 17799 que puede conducir desde el 2001 a una certificación explícita y voluntaria de dicho proceso (si una Organización media desea acreditar ese proceso, superando el examen de entidades auditoras calificadas e independientes que den confianza a terceros, por ejemplo clientes actuales o futuros).22 AENOR, la Asociación Española de Normalización federada a ISO, está desarrollando una norma española complementaria para estructurar dicha certificación a partir de la IS 17799.23

Esta necesidad de certificados parte de constatar una dependencia creciente en las organizaciones de los sistemas y servicios de información; por lo que son cada vez más vulnerables a las amenazas a su seguridad (que también crecen al interconectar las redes públicas con las privadas y al compartir los recursos de información. No sólo muchos sistemas de información no se han diseñado para ser seguros; la informática distribuida debilita la eficacia de un control central y especializado.

La seguridad conseguible con medios técnicos debe completarse con medios organizativos que comprendan una gestión adecuada (con responsabilidades internas y ayuda externa de consultoría) y procedimientos que consigan la participación de empleados, suministradores, clientes y accionistas.

Una Organización debe así establecer y mantener un SGSI, Sistema de Gestión de Seguridad de la Información bien documentado, que precise los activos a proteger, el enfoque de la gestión del riesgo, los objetivos y medidas a tomar, así como al grado requerido de aseguramiento. Para identificar sus necesidades de seguridad, la Organización parte de tres fuentes principales.

- la evaluación de los riesgos de la Organización, identificando las amenazas a los activos, su vulnerabilidad y su impacto potencial;

- Los requerimientos legales y contractuales del entorno que deben satisfacer la Organización, sus socios comerciales, los contratistas y los proveedores de servicios;

- los principios, objetivos y requerimientos propios para el proceso de la información que la Organización ha desarrollado para soportar sus operaciones.

La documentación del SGSI (evidencia de las acciones emprendidas, marco de la gestión, procedimientos de su implantación, gestión y operación) así como la Implantación y mantenimiento efectivos en la Organización de los objetivos y medidas elegidos, incluyen Registros como evidencia del cumplimiento de los requerimientos (con sus propios procedimientos para identificar, mantener, proteger, recuperar y suprimir dichos registros).

Para el desarrollo del marco adecuado del SGSI la Organización debe emprender un proceso de 6 pasos que identifiquen y documenten sus objetivos y medidas (véase la siguiente figura):


Paso 1: Definir la política




Documento de política

Alcance del SGSI

Amenazas,Impactos Vulnerabilidades

Paso 2: Definir el alcance del SGSI

Activos de información

Resultados y conclusi



Enfoque sobre la gestión de riesgos y grado requerido de aseguramento

Paso 3: Evaluar los riesgos


Evaluación de riesgos

Objetivos y medidas de seguridad


Paso 5: Seleccionar los objetivos y medidas de control a implantar



Paso 4: Gestionar los riesgos

Objetivos y medidas de seguridad seleccionados



Medidas de control seleccionadas

Paso 6: Preparar la aplicabilidad




Documento de aplicabilidad

La norma recoge las siguientes 10 secciones, que cubren buena parte de las 13 secciones del Documento de Seguridad (escalón 1):

- Política de seguridad

- Organización de la Seguridad

- Clasificación y control de amenazas

- Seguridad en aspectos personales

- Seguridad física y del entorno

- Gestión de comunicaciones y operaciones

- Control de accesos

- Desarrollo y mantenimiento de sistemas

- Gestión de continuidad del negocio

- Conformidad



En algunas de estas secciones, la norma identifica 8 medidas de control que considera esenciales como mejor práctica habitual para conseguir la seguridad de la información: La documentación de la política de seguridad de la información; La Adjudicación de responsabilidades de seguridad; La formación y entrenamiento para la seguridad de la información; La relación de las incidencias de seguridad; La gestión de la continuidad del negocio; Los derechos de la propiedad intelectual; La salvaguarda de los registros de la Organización; La protección de datos e intimidad sobre la información personal.


Compartir con tus amigos:
1   2   3   4   5   6   7   8   9   ...   14


La base de datos está protegida por derechos de autor ©psicolog.org 2019
enviar mensaje

enter | registro
    Página principal


subir archivos