Estndares de Seguridad

enero 12, 2007 por mmujica En lo que respecta a estndares de seguridad la Universidad Nacional de Colombia y esCERT Universidad Politcnica Catalunya (2.005) exponen que existen varios estndares internacionales relacionados con seguridad informtica que se consideran importantes en la actualidad o que deben ser referenciados por su importancia histrica. En este sentido, estn clasificados en seis (6) clases de estndares como son: para la administracin de seguridad de la informacin, para evaluacin de seguridad en sistemas, para desarrollo de aplicaciones, para servicios financieros, para riesgos y para autenticacin. Para la administracin de seguridad de la informacin:
y

La Internet Engineering Task Force (IETF) elabor el RFC2196 Site Security Handbook, que ofrece una gua prctica para quienes intentan asegurar servicios e informacin.

El estndar britnico BS 7799 es un estndar aceptado ampliamente que ha sido utilizado como base para elaborar otros estndares de seguridad de la informacin, incluyendo el ISO 17799 y el ISO 27001. Fue desarrollado por el British Standards Institute.

La Agencia Federal Para Seguridad en Informacin en Alemania ha generado el IT Baseline Protection Manual. Este documento presenta un conjunto de mtricas de seguridad recomendadas o safeguards, como se denominan en el manual, para sistemas IT tpicos.

La Organizacin para la cooperacin y el desarrollo econmicos en ingles (OECD) creo las Guidelines for the Security of Information Systems. Directrices de la OCDE para la seguridad de sistemas y redes de informacin.

Estndares para evaluacin de seguridad en sistemas:

y

La International Organization for Standardization (ISO) ha elaborado el estndar IS 15408. Este estndar, The Common Criteria for Information Technology Security Evaluation v2.1 (ISO IS 15408) es una mezcla mejorada de ITSEC, el Canadian criteria, y el US Federal Criteria.

La Serie Arco Iris Rainbow Series- ( Orange Book ) (EE.UU.) Una importante serie de documentos es la Rainbow Series, que delinea varios estndares de seguridad desarrollados en los Estados Unidos.

El Reino Unido elabor el Information Technology Security Evaluation Criteria (ITSEC) a comienzos de los aos 90, y es otro estndar histricamente importante. Fue elaborado, en algunos aspectos, basndose en el Orange Book.

Estndares para desarrollo de aplicaciones:

y

El Software Engineering Institute lider el desarrollo del Capability Maturity Model (CMM), que es un mtodo para garantizar madurez en procesos.

Un derivado del CMM es el System Security Engineering Capability Maturity Model (SSE-CMM). El SSE-CMM describe las caractersticas esenciales del proceso de la ingeniera de la seguridad de una organizacin que deben existir para asegurar la buena ingeniera de la seguridad.

Estndares para servicios financieros:

y

ISO 11131:1992 Banking and Related Financial Services; Sign-on Authentication

ISO 13569:1997 Banking and Related Financial Services Information Security Guidelines

Estndares para riesgo:

y

Acquisition Risk Management (EE.UU.) El Software Engineering Institute tiene algunos documentos sobre Acquisition Risk Management.

Estndares para autenticacin:

y

ISO 11131:1992 Banking and Related Financial Services; Sign-on Authentication

http://blog.iso27001standard.com/es/tag/iso-27001-es/

La importancia de la Declaracin de aplicabilidad para la norma ISO 27001

ByDejan Kosutic on April 18, 2011
Share

La importancia de la Declaracin de aplicabilidad (a veces conocida como DdA) generalmente es subestimada, como el Manual de calidad en la norma ISO 9001, ya que se trata del documento principal que define cmo usted implementar una gran parte de su sistema de seguridad de la informacin. De hecho, la Declaracin de aplicabilidad es el nexo principal entre la evaluacin y el tratamiento del riesgo y la implementacin de su sistema de seguridad de la informacin. El objetivo de este documento es definir cules de los 133 controles (medidas de seguridad) su geridos en el Anexo A de la norma ISO 27001 son los que usted implementar y, para los controles que correspondan, cmo se realizar su implementacin. Por qu es necesaria Ahora bien, por qu es necesario este documento cuando usted ya ha confeccionado el Informe sobe la evaluacin de riesgos, que tambin es obligatorio y que tambin define los controles necesarios? Estos son los motivos: Ante todo, durante el tratamiento de riesgos usted identific los controles que deban implementarse porque primero id entific los riesgos que era necesario disminuir. Sin embargo, en la DdA usted tambin identific los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc. Segundo, el Informe sobre la evaluacin de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (a veces, an ms); por eso, un documento de estas caractersticas no resulta realmente til en el uso operativo diario. En cambio, la Declaracin de aplicabilidad es bastante breve ya que tiene 133 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada. Tercero, y ms importante, la DdA debe documentar si cada control aplicable ya est implementado o no. Una estrategia efectiva, y que la mayora de los auditores buscar, tambin es describir cmo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (poltica, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza. De hecho, si solicita la certificacin ISO 27001, el auditor de certificacin tomar su Declaracin de aplicabilidad y recorrer su empresa verificando si ha implementado los controles de la forma en que lo ha detallado en su DdA. Es el principal documento que utilizan para realizar la auditora presencial. Muy pocas empresas se dan cuenta de que redactando una buena Declaracin de aplicabilidad pueden di sminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripcin del

procedimiento para ese control resultara demasiado breve, lo puede incluir en la DdA. De esta forma, estara evitando redactar otro d ocumento. Por qu es til Por experiencia, puedo afirmar que la mayora de las empresas que implementan el sistema de gestin de seguridad de la informacin de acuerdo a la norma ISO 27001 dedican mucho ms tiempo en redactar este documento que lo que hab an previsto. El motivo es que deben pensar cmo implementarn sus controles: Comprarn nuevos equipos? Modificarn el procedimiento? Contratarn un nuevo empleado? Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende q ue requiera mucho tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma sistemtica. Por lo tanto, no se debera tomar este documento simplemente como uno de esos documentos innecesarios que no tienen un a utilidad real. Piense que es la principal declaracin en la que usted define lo que desea hacer con su seguridad de la informacin. Si est redactado correctamente, la DdA es un resumen perfecto acerca de lo que se debe hacer en seguridad de la informacin, por qu se debe hacer y cmo se debe hacer. Haga clic aqu para descargar una plantilla gratuita de la Declaracin de aplicabilidad. read comments

Las mayores falencias de ISO 27001

ByDejan Kosutic on March 22, 2011
Share

Si usted ha estado leyendo mi blog, probablemente piense que estoy convencido de que la norma ISO 27001 es el documento ms perfecto que jams se haya escrito. Pero, en realidad, no es as. Trabajando con mis clientes y enseando sobre el tema, generalmente surgen las mism as debilidades de esta norma. A continuacin detallo cules son esas debilidades y mis sugerencias sobre cmo resolverlas: Trminos ambiguos Algunos de los requisitos de la norma no son muy claros:
y

El punto 4.3.1 c) indica que la documentacin del SGSI debe incluir procedimientos y controles que respalden el SGSI . Esto significa que se debe redactar un documento para cada uno de los controles que se aplican (hay 133 controles in el Anexo A)? En mi opinin, no es necesario. Generalmente sugiero a mis clientes que redacten solamente las polticas y procedimientos que son necesarios desde el punto de vista operativo y para disminuir los riesgos. Todos los dems controles pueden ser detallados en la Declaracin de aplicabilidad ya que esta declaracin debe incluir la descripcin de todos los controles que se implementan. Polticas y procedimientos (no) documentados : en muchos controles del Anexo A se mencionan polticas y procedimientos sin la palabra documentado . En efecto, ello implica que no es necesario redactar esas polticas y procedimientos, pero esto no queda claro para el 95% de quienes leen la norma.

Entidades externas y terceros: se utilizan indistintamente estos trminos, lo que puede generar confusin. Sera mucho mejor si se utilizara solamente un nico trmino. Organizacin de la norma Algunos de los requisitos de la norma estn dispersos o innecesariamente duplicados:

Algunos controles dire ctamente estn ubicados en el lugar incorrecto;por ejemplo, el punto A.11.7 Computacin mvil y tele -trabajo est ubicado en la seccin A.11 Control de acceso. Si bien cuando se trabaja con computacin mvil es necesario tener cuidado con el control de acc eso, la seccin A.11 no es el lugar ms natural para definir temas relacionados con computacin mvil y tele-trabajo. Los temas relacionados con las entidades externas estn dispersos por toda la norma: se los puede encontrar en A.6.2 Entidades externas, e n A.8 Seguridad relacionada con el personal y en A.10.2 Gestin de entrega de servicios de terceros. Con el avance de la computacin en la nube y otros tipos de tercerizacin, es aconsejable reunir todas esas reglas en un documento, o en un conjunto de d ocumentos, que se encargue de las entidades externas. La formacin y concienciacin de los empleados es requerida tanto por el punto 5.2.2 de la parte principal de la norma como por el control A.8.2.2. Esta duplicacin no solamente es innecesaria, sino que genera mayor confusin. En teora, cada control del Anexo A podra ser excluido, pero usted podra terminar excluyendo un requisito que en realidad no se puede excluir porque es requerido por la parte principal de la norma. Lo mismo ocurre con la Auditor a interna (punto 6 de la parte principal de la norma) y el control A.6.1.8 Revisin independiente de la seguridad de la informacin. Algunos de los controles del Anexo A pueden ser aplicados en forma realmente amplia y pueden incluir otros controles ; por ejemplo, el control A.7.1.3 Uso aceptable de los activos es tan general que podra abarcar, por ejemplo, a los controles A.7.2.2 (Manejo de informacin clasificada), A.8.3.2 (Devolucin de los activos despus de terminar el trabajo), A.9.2.1 (Proteccin de los equipos), A.10.7.1 (Gestin de medios removibles), A.10.7.2 (Eliminacin de medios), A.10.7.3 (Procedimientos de manejo de la informacin), etc. Generalmente, les aconsejo a mis clientes que redacten un nico documento que comprenda a todos estos contr oles. Problemas o no? Estos son algunos temas que a menudo aparecen como problemticos; sin embargo, para m no es as:

La norma es muy imprecisa, no contempla el nivel de detalle suficiente. Si fuera ms detallada sobre la tecnologa que se utilizar, en poco tiempo quedara desactualizada y si fuera ms detallada sobre los mtodos y/o soluciones organizativas, no podra aplicarse a todos los tamaos y tipos de organizaciones (un gran banco d ebe ser organizado de una forma bastante

diferente que una pequea agencia de mercadotecnia; sin embargo, ambas instituciones podran implementar la norma ISO 27001). La norma permite demasiada flexibilidad: con esto, los crticos apuntan al concepto de evaluacin del riesgo, en el que determinados controles de seguridad pueden ser excluidos si no existen riesgos relacionados. Entonces preguntan Cmo es posible excluir la creacin de copias de seguridad o la proteccin antivirus? En realidad, con el prog reso de las tecnologas del tipo computacin en la nube , esta clase de proteccin podra no ser responsabilidad de la organizacin que implementa la norma ISO 27001; aunque, en el caso que los riesgos de tercerizacin sean un poco elevados, se necesitara otro tipo de controles de seguridad. Y ahora qu? Esta norma seguramente necesitar un cambio. La versin actual de la ISO/IEC 27001:2005 ya tiene seis aos y es de esperar que la prxima revisin (para 2012 o 2013) se ocupe de la mayora de los temas m encionados arriba. Aunque estas falencias muchas veces pueden provocar confusiones, creo que todos los aspectos positivos de la norma valen mucho ms que los negativos. Y s, estoy realmente convencido de que esta norma es, por mucho, el mejor marco para la gestin de la seguridad de la informacin. read comments

Siete pasos para implementar polticas y procedimientos

ByDejan Kosutic on March 08, 2011

4Share
Alguna vez se ha encontrado en la situacin de tener que redactar una poltica o un procedimiento de seguridad? Y deseaba que su documento no terminara como tantos otros, juntando polvo en algn cajn olvidado? Estas son algunas ideas que podran servirle de ayuda Los pasos que voy a presentarle fueron diseados a partir de mi experiencia con diversos tipos de clientes, grandes y pequeos, oficiales y privados, con y sin fines de lucro, y creo que son aplicables a todos ellos. En realidad, estos pasos se pueden aplicar a cualquier tipo de polticas o procedimientos, no slo aquellos relacionados con las normas ISO 27001 o BS 25999-2. 1 Estudiar los requisitos Primero debe estudiar muy detalladamente diversos requisitos: Hay alguna legislacin que requiera incluir algo especfico por escrito? O, tal vez, un contrato con su cliente? O alguna otra poltica de alto nivel que ya exista en su organizacin (tal vez una norma corporativa)? Y, por supuesto, los requisitos de las normas ISO 27001 o BS25999 -2, si tiene intencin de cumplir con ellas. 2 Tomar en cuenta los resultados de su evaluacin de riesgos Su evaluacin de riesgos determinar qu temas debe abordar en su documento, pero tambin en qu grado; por ejemplo, es posible que necesite decidir si clasificar su informacin de acuerdo a su confidencialidad y, en ese caso, si necesita dos, tres o cuatro niveles de confidencialidad.

Este paso puede no ser importante de esta forma si su poltica o procedimiento no est relacionado con la seguridad de la informacin o con la continuidad del negocio. Sin embargo, los principios de gestin de riesgos tambin son aplicables a otras reas: gestin d e calidad (ISO 9001), gestin ambiental (ISO 14001), etc. Por ejemplo, en la ISO 9001 usted debe determinar hasta qu punto un proceso es crucial para su gestin de calidad y, en base a ello, decidir si lo documentar o no. 3 Optimizar y alinear sus documentos Algo que es importante tener en cuenta es la cantidad total de documentos; redactar diez documentos de una pgina o un documento de diez pginas? Es mucho ms sencillo administrar un documento, especialmente si el grupo de lectores al que se dirige es el mismo (pero no redacte un nico documento de 100 pginas). Adems, debe tener mucho cuidado de alinear su documento con otros escritos similares; es posible que los temas que est definiendo ya hayan sido parcialmente definidos en otro documento. En ese caso, puede no ser necesario redactar un nuevo documento, sino simplemente ampliar el existente. Si est redactando un nuevo documento sobre un tema ya tratado en otro, asegrese de no ser redundante, de no describir el mismo tema en ambos documentos. Luego ser una pesadilla actualizar ambos escritos; es mucho mejor que un documento haga referencia a otro, sin repetir lo mismo. 4 Estructurar el documento Tambin tiene que tener cuidado de respetar las normas de su empresa para darle un formato al documento; es posible que ya haya una plantilla con fuentes, encabezados, pies de pginas y dems aspectos predeterminados. Si usted ya ha implementado la norma ISO 27001 o la BS 25999 -2 (o cualquier otra norma de gestin), deber respetar un procedimiento para control de documentos. Este tipo de procedimiento no slo define el formato del documento sino tambin las reglas para su apro bacin, distribucin, etc. 5 Redactar el documento El criterio general es que cuanto ms pequea sea la organizacin y menores sean los riesgos, menos complejo ser su documento. No existe nada ms intil que redactar un extenso documento que nadie leer; usted debe comprender que la lectura del documento demanda tiempo y que el nivel de atencin que uno le presta es inversamente proporcional a la cantidad de lneas que tiene. Una buena tcnica para vencer la resistencia de otros empleados sobre este documento (a nadie le gusta el cambio, especialmente si ello implica una especie de obligacin de cambiar regularmente las contraseas) es involucrndolos en la redaccin o haciendo aportes al mismo; de esta forma comprendern por qu es necesario. 6 Conseguir la aprobacin del documento Este paso es un tanto evidente, pero su importancia fundamental es esta: si usted no es un funcionario de alto rango en su empresa, no tendr autoridad para hacer cumplir este documento. Es por ello que alguien en una posicin de esa jerarqua debe comprenderlo, aprobarlo y requerir activamente su implementacin. Suena sencillo, pero crame; no lo es. Este paso (y el siguiente) son donde la implementacin fracasa con mayor frecuencia.

7 Capacitacin y concienciacin de sus emplead os Probablemente, este paso es el ms importante pero, lamentable y generalmente, es uno de los ms olvidados. Como se mencion anteriormente, los empleados estn cansados de los cambios permanentes y, seguramente, no recibirn con los brazos abiertos una nueva modificacin; especialmente si implica ms trabajo para ellos. Por lo tanto, es muy importante explicarles a sus empleados por qu es necesaria esta poltica o procedimiento, por qu es bueno no solamente para la empresa sino tambin para ellos mismo s. A veces, har falta capacitacin; sera incorrecto asumir que todos poseen las habilidades y conocimientos para implementar nuevas actividades. Para usted, que redact este documento, puede parecer sencillo y evidente, pero para ellos puede asemejarse a una ciruga cerebral. Fin de la historia? Si usted pens que haba llegado al final de la historia de la implementacin de su documento, est equivocado. El viaje recin empieza. No es suficiente tener una poltica o procedimiento perfectos que a todos l es encanta, tambin es necesario mantenerlo. Alguien debe velar por que este documento sea actualizado y mejorado, en caso contrario, nadie lo seguir teniendo en cuenta; y esa persona es, generalmente, la misma que lo ha redactado. No slo eso, alguien de be evaluar si este documento ha logrado su objetivo; nuevamente, esta persona podra ser usted. Como puede haber notado al leer este artculo, no es suficiente tener una buenaplantilla para contar con una poltica o procedimiento exitosos. Lo que se necesita es un enfoque sistemtico para su implementacin. Y al hacerlo, no se olvide de lo ms importante: el documento no es un fi n en s mismo; es solamente una herramienta para hacer que sus actividades y procesos se ejecuten sin problemas. No deje que ocurra lo contrario; que un documento de este tipo dificulte la ejecucin de esas actividades y procesos. read comments

Cunto cuesta la implementacin de la norma ISO 27001?

ByDejan Kosutic on February 08, 2011
Share

Esta es, habitualmente, una de las primeras preguntas que me hac en los potenciales clientes. Y aunque tenga que desilusionarlos, no puedo proporcionarles inmediatamente la cifra exacta. Por los siguientes motivos. Ante todo, el costo total de la implementacin depender del tamao de su organizacin (o del tamao de la (s) unidad(es) de negocio que se incluir(n) dentro del alcance de la norma ISO 27001), del grado crtico de la informacin (por ejemplo, la informacin de los bancos se considera ms crtica y requiere un nivel de proteccin mayor), de la tecnologa que utiliza la organizacin (por ejemplo, los centros de datos suelen tener mayores costos debido a sus complejos sistemas) y de las disposiciones legales (generalmente, los sectores pblicos y financieros estn muy controlados en relacin con la seguridad de la informacin).

Adems, sera imposible calcular los costos exactos antes de saber qu nivel de proteccin necesita. Primero debe realizar una evaluacin de riesgos, ya que este anlisis le mostrar qu medidas de seguridad necesita. Una vez que conozca el resultado de la evaluacin de riesgos, tendr que tener en cuenta los siguientes costos: 1. Costo de publicaciones y de capacitacin La implementacin de la norma ISO 27001 requiere cambios en su organizacin, y requiere tambin nuevas capacidades. Usted puede preparar a sus empleados comprando diversos libros sobre el tema y/o envindolos a cursos (presenciales o en lnea) de entre 1 y 5 das de duracin (consulte Cmo conocer ms sobre las normas ISO 27001 y BS 25999 -2). Y no se olvide de comprar la norma ISO 27001 propiamente dicha; con mucha frecuencia me encuentro con empresas que estn implementando la norma sin haberla visto realmente. 2. Costo de asistencia externa Desafortunadamente, capacitar a sus empleados no es suficiente. Si usted no cuenta con un gerente de proyecto con amplia experiencia en la implementacin de la norma ISO 27001 necesitar alguien que s tenga ese conocimiento; para ello, puede contratar a un consultor externo o puede optar por alguna alternativa en lnea (esto es lo que hacemos en Information Security & Business Continuity Academy). Lo ms valioso de tener alguien con experiencia que le ayude en este tipo de proyectos es que usted no terminar en callejones sin salida; es decir, no s e pasar meses y meses realizando actividades que no son realmente necesarias o no trabajar con toneladas de documentacin no requerida por la norma. Y esto realmente cuesta. Sin embargo, tenga cuidado con esto y no espere que el consultor haga toda la implementacin por usted; la norma ISO 27001 solamente podr ser implementada por sus empleados. 3. Costo de tecnologa Puede parecer raro, pero la mayora de las empresas con las que he trabajado no necesitaron de grandes inversiones en hardware, software n i en nada que se le parezca; todas estas cosas ya las tenan. Generalmente, el mayor desafo pas por cmo utilizar la tecnologa existente de forma ms segura. Sin embargo, s es necesario planificar este tipo de inversiones si resultan necesarias. 4. Costo del tiempo de los empleados La norma no se implementar sola, como tampoco podr ser implementada solamente por un consultor (si es que contrata alguno). A sus empleados les tomar tiempo identificar dnde estn los riesgos, cmo mejorar los procedimientos y polticas existentes o implementar nuevas; les demandar tiempo capacitarse para asumir las nuevas responsabilidades y para adaptarse a las nuevas normas. 5. Costo de la certificacin Si usted desea obtener una constancia pblica de que ha dado cumpl imiento a la norma ISO 27001, la entidad de certificacin tendr que realizar una auditora de certificacin, cuyo costo depender de la cantidad de das/hombre que le demande hacer el trabajo: podr ser desde menos de 10 das/hombre

para empresas pequeas hasta unas docenas de das/hombre para organizaciones ms grandes. El costo del da/hombre depende del mercado local. Tiene que tener mucho cuidado de no subestimar el costo real del proyecto de ISO 27001; si lo hace, la direccin comenzar a ver su proye cto de forma un tanto negativa. En cambio, si puede predecir acertadamente todos los costos demostrar su nivel de profesionalismo. Y no se olvide, siempre debe presentar tanto los costos como los beneficios (consulte Cuatro beneficios clave de la implementacin de la norma ISO 27001 ). read comments

Los 5 grandes mitos sobre ISO 27001

ByDejan Kosutic on January 24, 2011

5Share
Con mucha frecuencia escucho comentarios sobre la norma ISO 27001 y no s si ponerme a rer o a llorar. De hecho, es gracioso cmo la gente tiende a tomar decisiones sobre algo acerca de lo que saben muy poco. Estos son los errores conceptuales ms comunes: La norma requiere La norma requiere que se cambien las claves cada 3 meses . La norma requiere que se contraten a diversos proveedores . La norma requiere que la ubicacin alternativa de recuperacin ante desastres se encuentre, como mnimo, a 50km de distancia de la ubicacin principal . Es as? La norma no dice nada de todo esto. Desgraciadamente, esta es la clase de informacin falsa que escucho habitualmente. Muchas veces, la gente confunde mejores prcticas con requerimientos de la norma, pero el problema es que no todas las reglas de seguridad son aplicables para todos los tipos de organizaciones. Y quienes sostienen que esto est establ ecido en la norma, difcilmente la hayan ledo alguna vez. Dejaremos que el departamento de TI lo maneje Esta es la preferida de la direccin: La seguridad de la informacin tiene que ver con tecnologa de la informacin, no? Bueno, no exactamente. Los aspectos ms importantes de la seguridad de la informacin no slo incluyen medidas de TI, sino tambin temas organizacionales y gestin de recursos humanos, que, en general, se encuentran fuera del mbito del departamento de TI. Ver tambinSeguridad de la informacin o seguridad de TI . Lo implementaremos en unos pocos meses Podra ser posible que usted implemente la norma ISO 27001 en dos o tres meses, pero no funcionar; solamente obtendr un montn de polticas y procedimientos que nadie tendr en cuenta. La implementacin de la seguridad de la informacin quiere decir que tiene que implementar cambios, y esto lleva tiempo. Ni qu decir que usted debe implementar solamente los controles de seguridad que realmente necesita, y el anlisis de qu es necesario lleva tiempo; se llama evaluacin y tratamiento de riesgos. Esta norma no es nada ms que documentacin La documentacin es una parte importante en la implementacin de ISO 27001, pero no es un fin en s misma. Lo ms importante es que usted realice sus

actividades de forma segura, y la documentacin est all precisamente para ayudarle. Adems, los registros que genere le ayudarn a medir si alcanz sus objetivos de seguridad de la informacin y le permitirn corregir aquellas actividades que no lo han logrado. El nico beneficio de la norma es obtener una ventaja de comercializacin Estamos haciendo esto solamente para obtener el certificado, no es cierto? Bueno, esta es (desafortunadamente) la forma en la que piensa el 80 por ciento de las empresas. No estoy intentando discutir aqu si se debe, o no, utilizar a la norma ISO 27001 con fines de promocin y ventas, pero tambin puede obtener otros beneficios muy importantes; como evitar que le ocurra lo de WikiLeaks. Ver tambin Cuatro beneficios clave de la implementacin de la norma ISO 27001 yLecciones aprendidas a partir de WikiLeaks: Qu es exactamente la seguridad de la informacin? . Lo importante aqu es que primero hay que leer la norma ISO 27001 para poder dar una opinin sobre la misma, o, si le resulta demasiado aburrida (admito que lo es) como para leerla, consulte a alguien que la conozca de verdad. Y trate de ver otras ventajas, adems de la publicidad. Es decir, aumente sus posibilidades de realizar una inversin rentable en seguridad de la informacin. read comments

Lecciones aprendidas a partir de WikiLeaks: Qu es exactamente la seguridad de la informacin?

ByDejan Kosutic on January 10, 2011

4Share
En estos das, WikiLeaks se transform en una historia extraordinaria por un buen motivo: no es muy habitual encontrar publicados en Internet documentos confidenciales del gobierno ms poderoso del mundo. Y algunos de estos documentos son, para decirlo respetuosamente, embarazosos. No voy a escribir aqu sobre si fue legal o no que WikiLeaks publicara esa informacin, si la informacin debera haberse dado a conocer o no porque es de inters pblico, qu suceder con el fundador de WikiLeaks (al momento de redactar este artculo, Julian Assange se encontraba detenido), etc. El problema es que si WikiLeaks es cerrado, aparec er un nuevo WikiLeaks. En otras palabras, la amenaza de fuga de informacin a la opinin pblica aumenta constantemente (A propsito, antes de ser encarcelado, Julian Assange haba anunciado que publicara informacin discriminatoria sobre uno de los principales bancos de EE. UU. y sobre negligencias en sus actividades). Aqu quiero tocar el punto de vista corporativo. Qu pasara si somos nosotros el prximo objetivo de WikiLeaks o de su clon? Cmo garantizar la seguridad de nuestra informacin y evitar el dao de un incidente tan importante? Un simple ejemplo Pero cmo es la seguridad de la informacin en la prctica? Tomemos un simple ejemplo. Por ejemplo, usted deja con frecuencia su ordenador porttil en su automvil, sobre el asiento trasero. Es mu y probable que, tarde o temprano, se lo roben.

Qu puede hacer para disminuir ese riesgo? Ante todo, puede crear una regla (redactando un procedimiento o una poltica) que establezca que los ordenadores personales no pueden ser dejados en un vehculo desa tendido; o que se debe estacionar el vehculo en un lugar que tenga algn tipo de proteccin fsica. Segundo, puede proteger su informacin configurando una clave segura y encriptando sus datos. Adems, puede exigirles a sus empleados que firmen una declaracin por medio de la cual se hacen legalmente responsables por el dao que pueda resultar. Pero ninguna de estas medidas ser efectiva si no les explic las reglas a sus empleados a travs de una breve capacitacin. Qu conclusiones puede sacar de este e jemplo? La seguridad de la informacin nunca es una nica medida de seguridad, siempre abarca varias juntas. Y estas medidas de seguridad no son solamente relacionadas con TI, sino que tambin involucran cuestiones organizativas, gestin de recursos humanos, seguridad fsica y proteccin legal. El problema es que esto fue slo un ejemplo de un nico ordenador personal, sin amenazas internas. Ahora piense qu tan complejo es proteger la informacin en su empresa, donde la informacin se archiva no solamente en sus ordenadores sino tambin en diversos servidores; no solamente en los cajones de su escritorio sino en todos sus telfonos mviles; no solamente en unidades USB sino tambin en la cabeza de todos los empleados. Y es posible que tenga algn empleado d escontento. Parece una tarea imposible? Difcil, s. Pero no imposible. Cmo encararlo? Lo que necesita para resolver este complejo problema es un marco referencial. La buena noticia es que ese marco referencial ya existe bajo la forma de normas. La ms divulgada es la ISO 27001, la principal norma internacional para gestin de seguridad de informacin, pero tambin hay otras: COBIT, serie SP 800 de NIST, PCI DSS, etc. Me enfocar aqu en la norma ISO 27001; pienso que le otorga una buena base para edificar el sistema de seguridad de la informacin porque suministra un catlogo de 133 controles de seguridad y ofrece flexibilidad para aplicar solamente aquellos controles que son rea lmente necesarios en relacin con los riesgos. Pero lo mejor que tiene es que define un marco referencial de gestin para controlar y atender los asuntos de seguridad, logrando, de esta forma, que la gestin de la seguridad sea parte de la gestin general de una organizacin. Resumiendo, esta norma le permite tomar en cuenta toda la informacin en diversos formatos y todos los riesgos y le ofrece una gua para resolver cada problema potencial y para mantener segura su informacin. Consecuencias para el nego cio Entonces, deberan las corporaciones temer que se filtre a la opinin pblica su informacin? Si estn haciendo algo ilegal o no tico, seguramente que s. Sin embargo, las empresas que trabajan legalmente, si desean proteger su negocio, no pueden pen sar nicamente en trminos de rendimiento de la inversin, participacin de mercado, capacidades principales y visin a largo plazo. Su estrategia tambin debe comprender temas de seguridad ya que tener informacin insegura les puede costar mucho ms que, por ejemplo, el lanzamiento fallido de un nuevo producto. Por seguridad no me refiero

solamente a seguridad fsica, simplemente porque ya no es suficiente; la tecnologa hace posible que se filtre informacin de diversas formas. Lo que se necesita es un enfoque integral de seguridad de la informacin; no importa si utiliza la norma ISO 27001, COBIT o algn otro marco referencial, siempre y cuando lo haga en forma sistemtica. Y no es un esfuerzo de una nica vez, es un trabajo permanente. Y s, no es algo q ue su gente de TI pueda hacer sola. Es algo en lo que debe participar toda la empresa, comenzando por la junta directiva. read comments

Cmo conocer ms sobre las normas ISO 27001 y BS 25999-2

ByDejan Kosutic on November 30, 2010

3Share
La autoinstruccin es, sin dudas, una de las mejores formas de hacer posible la implementacin de las normas ISO 27001 y BS 25999-2. Debido a que hay cada vez ms y ms tipos de cursos disponibles, intentar explicar sus beneficios y sus diferencias. El primero es la lista de cursos presenciales. Estos cursos an son mayora, pero estn perdiendo terreno sostenidamente a mano de los cursos en lnea (se explican al final del presente artculo). Curso de Auditor Lder en ISO 27001 o BS 25999-2 Este es el curso ms popular, tanto para ISO 27001 como para BS 25999-2; dura 5 das y termina con un examen escrito. El examen es bastante difcil; por lo tanto, bien podra considerarse que este es el mejor curso para esas dos normas. Si aprueba el examen, usted puede convertirse en auditor para una entidad de certificacin. Pero ese no es el principal beneficio: es el ms til para profesionales que implementan las normas porque les proporciona una excelente perspectiva sobre las mismas y les brinda explicaciones exhaustivas sobre lo que pedirn los auditores en la auditora de certificacin. Por consiguiente, es til tanto para auditores como para consultores. El pblico al que est orientado este curso est compuesto por profesionales con mediana o mucha experiencia en seguridad de la informacin, continuidad del negocio, auditora o TI. Se recomienda que realice solamente cursos reconocidos (por ej., por el IRCA irca.org). Curso de Consultor Lder en ISO 27001 o BS 25999 -2 Este curso es un tanto parecido al Curso de Auditor Lder en ISO 27001 o BS 25999-2, pero no es tan popular. La diferencia es que este curso se centra en las tcnicas de implementacin ms que en las tcnicas de auditora; por lo tanto, si la certificacin no es lo que le interesa, puede encontrar ms apropiado este curso. En este caso, el pblico al que est orientado el curso es similar: profesionales con mediana o mucha experiencia en seguridad de la informacin, continuidad del negocio o TI. Curso de Auditor Interno en ISO 27001 o BS 25999-2 Este curso es una versin no tan profunda del Curso de Auditor Lder en ISO 27001 o BS 25999 -2; generalmente dura 2 o 3 das, puede o no tener un

examen y el contenido es una versin condensada del curso mencionado. La principal diferencia es que con este curso usted no puede hacer carrera como auditor en una entidad de certificacin. Sin embargo, si desea obtener una introduccin sistemtica al mundo de las normas ISO 27001 o BS 25999 -2 o si evala convertirse en auditor interno en su empresa, este curso es el indicado para usted. El pblico al que est orientado est conformado por profesionales con poca o mediana experiencia en seguridad de la informacin, continuidad del negocio o TI. Curso Base o Curso Introductorio para ISO 27001 o BS 25999-2 Estos cursos generalmente duran uno o dos das. Su objetiv o no es ensearle tcnicas de auditora o implementacin sino darle una visin general de los requisitos y de los temas de implementacin. Si usted no cuenta con mucho tiempo y desea conocer qu experimentar su empresa durante la implementacin, s evale uno de estos cursos. El pblico al que estn orientados son la direccin o profesionales sin experiencia en seguridad de la informacin o continuidad del negocio. Otros cursos sobre seguridad de la informacin o continuidad del negocio Es posible que haya escuchado sobre cursos de Auditor Certificado de Sistemas de Informacin (CISA, por sus siglas en ingls), Administrador Certificado de Sistemas de Informacin (CISM) o Profesional Certificado en Sistemas de Seguridad de la Informacin (CISSP). Aunque cre o que estas opciones son muy tiles para una carrera en seguridad de la informacin o continuidad del negocio, no son directamente relevantes para las normas ISO 27001 o BS 25999-2. Por lo tanto, pienso que debera tomar los cursos de CISA, CISM y/o CISSP despus de haber realizado cursos directamente relacionados con las dos normas. Cursos en lnea Adems de los mencionados cursos presenciales, los cursos en lnea (ya sea en el formato de e-learning o webinar en vivo) tienen cada vez ms presencia, en parte por los menores costos, ya que no tienen gastos de viajes ni representan tiempo perdido fuera de la oficina. Hay cada vez ms y ms empresas en Internet que ofrecen ms y ms contenidos de calidad (incluida nuestra Information Security & Business Continuity Academy ). Usted puede encontrar cursos que duran desde una hora (por ej., webinars gratuitos) hasta varias semanas (por ej., cursos de e -learning). El principal beneficio de los cu rsos en lnea es que usted puede adquirir conocimientos ms relevantes en un menor perodo de tiempo y por menos dinero; aunque la efectividad real de este tipo de cursos an es una incgnita. Pero, independientemente del formato o tipo de curso que haga, asegrese de una cosa: la utilidad de la inversin se ver rpidamente. read comments

Controles del Anexo A de la norma ISO 27001

ByDejan Kosutic on October 20, 2010
Share

El Anexo A de la norma ISO 27001 es, probablemente, el anexo ms nombrado de todas las normas de gestin. Por qu se habla tanto sobre l? Por qu a veces es controvertido? Si usted ya ha ledo el Anexo A, ha observado que all se enumeran 133 controles de seguridad. En ese caso, para qu se usa la parte principal de la norma? Objetivo El Anexo A contiene los siguientes puntos (a veces denominados como dominios del Anexo A de la norma ISO 27001):
y y y y y y y y y y y

A.5 Poltica de seguridad A.6 Organizacin de la seguridad de la informacin A.7 Gestin de activos A.8 Seguridad relacionada con el personal A.9 Seguridad fsica y del entorno A.10 Gestin de comunicaciones y operaciones A.11 Control de acceso A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de la informacin A.13 Gestin de los incidentes de seguridad de la informacin A.14 Gestin de la continuidad del negocio A.15 Cumplimiento Como ya se ha mencionado, el Anexo A contiene 133 controles que, como se puede observar por los nombres de los puntos, no se centran solamente en tecnologas de la informacin; tambin incluyen seguridad fsica, proteccin legal, gestin de recursos humanos, asuntos organizacionales, etc. Por lo tanto, puede considerar al Anexo A como una especie de catlogo de medidas de seguridad para utilizar durante el proceso de tratamiento: una vez que identifica riesgos no aceptables en la evaluacin de riesgos, el Anexo A le ayudar a escoger los controles adecuados para disminuir esos riesgos. Y le asegura no olvidar ningn control importante. El Anexo A es donde se juntan las normas ISO 27001 e ISO 27002. Los controles de la norma ISO 27002 tienen los mismos nombres que en el Anexo A de la norma ISO 27001; pero la diferencia se encuentra en el nivel de detalle: la ISO 27001 slo proporciona una breve descripcin de un control , mientras que la ISO 27002 ofrece lineamientos detallados sobre cmo implementar el control. Desventajas Si usted piensa que, por lo mencionado hasta ahora, el Anexo A es la herramienta perfecta de implementacin para su proyecto de seguridad de la informacin, no sea tan optimista. Tambin cuenta con algunas cosas que no tienen sentido. Por ejemplo, algunos controles definen casi los mismos temas, generando, a veces, confusin; como, por ejemplo, los puntos A.9.2.6 (Eliminacin segura o re-uso del equipo) y A.10.7.2 (Eliminacin de medios). Por otro lado, algunos temas, como relaciones con terceros, estn dispersos en varios puntos del Anexo A; por ejemplo, puede encontrar este tema en los puntos A.6.2 (Entidades externas), A.8 (Seguridad relacionada con e l personal) y A.10.2 (Gestin de entrega de servicios de terceros) y en el control A.12.5.5

(Desarrollo de outsourced software). Esto hace que, en ocasiones, el Anexo A sea difcil de usar como herramienta de implementacin. Pero esas no son las nicas ambigedades. En algunos de los controles, el Anexo A menciona polticas y procedimientos y, sin embargo, no requiere que tengan que ser documentados. Puede parecer gracioso, pero la norma requiere polticas o procedimientos escritos solamente donde aparece l a palabra documentado . Cuando se analiza todo el Anexo A, se observa que menciona la palabra documentado en slo 6 controles (A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1); eso significa que usted puede implementar todos los dems controles sin documentarlos. Sin embargo, no debe abusar de esta flexibilidad del Anexo A. Cuanto ms grande es la organizacin, mayor cantidad de documentos debe generar para garantizar que todo el mundo es consciente de (y cumple con) sus procedimientos de seguridad. Por otro lado, debe tener mucho cuidado de no excederse con la documentacin, ya que si es excesiva, nadie la tendr en cuenta. Relacin con la parte principal de la norma ISO 27001 La parte principal de la norma, o ms precisamente los puntos obligato rios 4 a 8, contienen la parte de gestin de la norma y establecen el ciclo PDCA (las fases de Planificacin-Implementacin-Verificacin-Mantenimiento), incluyendo evaluacin y tratamiento de riesgos, control de documentacin, control de registros, provisin de recursos, auditora interna, revisin por parte de la direccin, medidas correctivas y preventivas, etc. Como se mencion anteriormente, el proceso de evaluacin y tratamiento de riesgos es la principal conexin entre los puntos 4 a 8 y los controles del Anexo A: le ayudar a decidir si son necesarios, o no, aplicar controles especficos del Anexo A para disminuir los riesgos. Esto significa que los puntos 4 a 8 y el Anexo A no pueden existir uno sin el otro: la evaluacin de riesgos no tiene sentido si no hay controles para disminuir los riesgos, y la nica forma de determinar la aplicabilidad de los controles es a travs de la evaluacin de riesgos. En mi opinin, este enfoque sobre los riesgos y sobre la flexibilidad de aplicar controles de seguridad de acuerdo con lo que usted considera adecuado, son los mejores aspectos de la norma ISO 27001. Slo tiene que asegurarse de aprovecharlos completamente. read comments

Lista de apoyo para implementacin de ISO 27001

ByDejan Kosutic on September 28, 2010

9Share
Si usted est empezando a implementar la norma ISO 27001, probablemente est buscando una forma sencilla para hacerlo. Permtame desilusionarlo: no existe una forma sencilla para lograrlo. Sin embargo, intenta r facilitarle el trabajo. Este es un listado de diecisis pasos que deber seguir si desea obtener la certificacin ISO 27001: 1. Obtener el apoyo de la direccin Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, de acuerdo con mi experiencia, es el principal

motivo en el fracaso de los proyectos para la implementacin de la norma ISO 27001 ya que la direccin no desti na suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero. (Lea Cuatro beneficios clave de la implementacin de la norma ISO 27001 para presentarle el tema a la direccin) 2. Tomarlo como un proyecto Como ya se ha dicho, la implementacin de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o ms de un ao). Si no define claramente qu es lo que se har, quin lo har y en qu perodo de tiempo (por ej., aplicar la gestin del proyecto), es probable que nunca termine el trabajo. 3. Definir el alcance Si se trata de una gran organiz acin, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto. ( Problemas para definir el alcance de la norma ISO 27001 ) 4. Redactar una Poltica de SGSI La Poltica de SGSI es el documento ms importante en su SGSI: no debe ser demasiado detallado pero debe definir algunos temas bs icos sobre la seguridad de la informacin en su organizacin. Pero cul es su objetivo si no es minucioso? El objetivo es que la direccin defina qu desea lograr y cmo controlarlo. (Poltica de Seguridad de la Informacin: qu nivel de detalle debera tener?) 5. Definir la metodologa de Evaluacin de riesgos La evaluacin de riesgos es la tarea ms compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como tambin definir el nivel aceptable de riesgo. Si esas reglas no estn definid as claramente, usted podra encontrarse en una situacin en la que obtendra resultados inservibles. (Consejos sobre la evaluacin de riesgos para empresas pequeas) 6. Realizar la evaluacin y el tratamiento de riesgos Aqu, usted tiene que implementar lo que defini en el paso anterior. En organizaciones ms grandes puede demandar varios meses, por lo tanto, debe coordinar esta tarea con mucho cuidado. Lo importante es obtener una visin integral de los peligros sobre la informacin de su organizacin. El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables (generalmente se hace planificando el uso de c ontroles del Anexo A). En este paso, se debe redactar un Informe sobre la evaluacin de riesgos que documente todos los pasos tomados durante el proceso de evaluacin y tratamiento de riesgos. Tambin es necesario conseguir la aprobacin de los riesgos residuales; ya sea en un documento separado o como parte de la Declaracin de aplicabilidad. 7. Redactar la Declaracin de aplicabilidad Luego de finalizar su proceso de tratamiento de riesgos, sabr exactamente qu controles del Anexo necesita (hay un total de 133 controles pero, probablemente, no los necesite a todos). El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir

cules son aplicables y cules no, definir los motivos de esa decisin, los objetivos que se lograrn con los controles y describir cmo se implementarn. La Declaracin de aplicabilidad tambin es el documento ms apropiado para obtener la autorizacin de la direccin para implementar el SGSI. 8. Redactar el Plan de tratamiento del riesgo Justo cuando pensaba que haba resuelto todos los documentos relacionados con el riesgo, aqu aparece otro. El objetivo del Plan de tratamiento del riesgo es definir claramente cmo se implementarn los controles de la DdA, quin lo har, cundo, con qu presup uesto, etc. Este documento es, en realidad, un plan de implementacin enfocado sobre sus controles; sin el cual, usted no podra coordinar los pasos siguientes del proyecto. 9. Determinar cmo medir la eficacia de los controles Otra tarea que, generalmente , es subestimada. El tema aqu es, si usted no puede medir lo que ha hecho, cmo puede estar seguro de que ha logrado el objetivo? Por lo tanto, asegrese de determinar cmo medir el logro de los objetivos establecidos tanto para todo el SGSI como para c ada control aplicable de la Declaracin de aplicabilidad. 10. Implementacin de controles y procedimientos obligatorios Es ms fcil decirlo que hacerlo. Aqu es cuando debe implementar los cuatro procedimientos obligatorios y los controles correspondientes del Anexo A. Esta es, habitualmente, la tarea ms riesgosa de su proyecto ya que, generalmente, implica la aplicacin de nuevas tecnologas pero, sobre todo, la implementacin de nuevas conductas en su organizacin. Muchas veces las nuevas polticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente, se resisten al cam bio; es por ello que la siguiente tarea (capacitacin y concienciacin) es vital para prevenir ese riesgo. 11. Implementar programas de capacitacin y concienciacin Si quiere que sus empleados implementen todas las nuevas polticas y procedimientos, primero debe explicarles por qu son necesarios y debe capacitarlos para que puedan actuar segn lo esperado. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementacin de la norma ISO 27001. 12. Hacer funcionar el SGSI Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de su organizacin. La palabra ms importante aqu es: registros . A los auditores les encantan los registros; sin registros le resultar muy difcil probar que una actividad se haya realizado realmente. Pero, ante todo, los registros deberan ayudarle. Con ellos, usted puede supervisar qu est sucediendo, sabr realmente si sus empleados (y proveedores) estn realizando sus tareas segn lo requerido. 13. Supervisin del SGSI Qu est sucediendo en su SGSI? Cuntos incidentes tiene? De qu tipo? Todos los procedimientos se efectan correctamente? Aqu es donde se cruzan los objetivos de los controles con la metodologa de medicin; debe verificar si los resultados q ue obtiene cumplen con lo que se estableci en los objetivos. Si no se cumplen, es evidente que algo est mal y debe aplicar medidas correctivas y/o preventivas.

14. Auditora interna Muchas veces las personas no son conscientes de que estn haciendo algo mal (por otro lado, a veces s lo saben pero no quieren que nadie lo descubra). Pero no ser consciente de los problemas existentes o potenciales puede daar a su organizacin, por eso debe realizar auditoras internas para descubrir este tipo de cosas. Lo importante aqu no es activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas. (Dilemas con los auditores internos de las normas ISO 27001 y BS 25999 -2) 15. Revisin por parte de la direccin La direccin no tiene que configurar el cortafuegos, pero s debe saber qu est sucediendo en el SGSI; es decir, si todo el mundo ejecut sus tareas, si el SGSI obtiene los resultados deseados, etc. En base a estos aspectos, la direccin debe tomar algunas decisiones importantes. 16. Medidas correctivas y preventivas El objetivo del sistema de gestin es garantizar que todo lo que est mal (las denominadas no conformidades ) sea corregido o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemticamente; es decir, que se identifique la raz de una no conformidad y se solucione y se con trole. Tal vez, este artculo haya aclarado qu es necesario hacer. Aunque implementar la norma ISO 27001 no sea una tarea sencilla, no necesariamente tiene que ser tan complicado. Solamente debe planificar detalladamente cada paso, y no se preocupe obten dr su certificado. Aqu puede descargar el diagrama del proceso de implementacin de la norma ISO 27001 que muestra todos estos pasos junto con la documentacin requerida. read comments

ISO 27001 vs. ISO 27002

ByDejan Kosutic on September 13, 2010
Share

Si se ha topado con las normas ISO 27001 y ISO 27002, probablemente haya notado que la ISO 27002 es mucho ms detallada y mucho ms precisa. Entonces, cul es el objetivo de la ISO 27001? Ante todo, no es posible obtener la certificacin ISO 27002 porque no es una norma de gestin. Qu significa una norma de gestin? Significa que este tipo de norma define cmo ejecutar un sistema; y en el caso de la ISO 27001, esta norma define el sistema de gestin de seguridad de la informacin (SGSI). Por lo tanto, la certificacin en ISO 27001 s es posible. Este sistema de gestin significa que la seguridad de la informacin debe ser planificada, implementada, supervisada, revisada y mejorada. Significa que la gestin tiene sus responsabilidades especficas, que se deben establecer, medir y revisar objetivos, que se deben realizar auditoras inte rnas, etc. Todos esos elementos estn establecidos en la ISO 27001, pero no en la ISO 27002. Los controles de la norma ISO 27002 tienen la misma denominacin que los indicados en el Anexo A de la ISO 27001; por ejemplo, en la ISO 27002 el control 6.1.6 se denomina Contacto con autoridades, mientras que en la ISO 27001 es el A.6.1.6 Contacto con au toridades. Pero la diferencia radica en el

nivel de detalle; en general, la ISO 27002 explica un control en toda una pgina, mientras que la ISO 27001 slo le dedica una oracin a cada uno. Por ltimo, la diferencia est en que la ISO 27002 no distingue en tre los controles que son aplicables a una organizacin determinada y los que no lo son. Por otro lado, la ISO 27001 exige la realizacin de una evaluacin de riesgos sobre cada control para identificar si es necesario disminuir los riesgos y, en caso que sea necesario, hasta qu punto deben aplicarse. La pregunta es: Por qu existen ambas normas en forma separada, por que no han sido integradas utilizando los aspectos positivos de cada una? La respuesta est en la utilidad: si fuera una nica norma, sera demasiado compleja y larga como para que sea prctica. Cada norma de la serie ISO 27001 est diseada con un enfoque preciso: si desea crear la estructura de la seguridad de la informacin en su organizacin y definir su encuadre, debera usar la ISO 2700 1; si desea implementar controles, debera usar la ISO 27002; si desea realizar la evaluacin y tratamiento de riesgos, debera usar la ISO 27005; etc. Para finalizar, se podra decir que sin la descripcin proporcionada por la ISO 27002, los controles def inidos en el Anexo A de la ISO 27001 no se podran implementar. Sin embargo, sin el marco de gestin de la ISO 27001, la ISO 27002 sera simplemente un esfuerzo aislado de unos pocos apasionados por la seguridad de la informacin, sin la aceptacin de la a lta direccin y, por lo tanto, sin efectos reales sobre la organizacin.

Segn diversas fuentes, la principal norma sobre continuidad del negocio BS 25999-2 ser reemplazada por la norma internacional ISO 22301 hacia fines de 2011. Este tipo de transiciones es normal; lo mismo sucede con la mayora de las normas de gestin, como sucedi, por ejemplo, con la ISO 27001, que en 2005 sustituy a la BS 7799-2. Entonces, cules son los principales cambios que introducir la ISO 22301 en comparacin con la BS 25999-2? Una aclaracin importante al respecto: como la ISO 22301 an no ha sido publicada, la versin final de la norma todava no existe; por lo cual, algunas de las cosas que he escrito aqu podran no estar en dicha versin. Estoy utilizando una versin preliminar publicada en el sitio Web BSi Draft Review en febrero de 2011. La ISO 22301 tendr el siguiente ttulo: ISO 22301, Seguridad de la sociedad: Sistemas de continuidad del negocio. Requisitos. Aunque seguridad de la sociedad pueda sonar un poco extrao en el contexto de continuidad del negocio, veamos cmo lo define ISO: estandarizacin en el rea de seguridad de la sociedad, orientada a incrementar las habilidades en gestin de crisis y continuidad del negocio; por ejemplo, a travs de mayor interoperatividad tcnica, humana, organizativa y funcional, como tambin concienciacin situacional compartida entre todas las partes interesadas. A primera vista, es evidente que la estructura de la ISO 22301 es muy diferente a la de la BS 25999-2; aunque todos los elementos bsicos de esta ltima, s estn incluidos en la ISO 22301.

Vemoslo con mayor profundidad.

Semejanzas

La mayor semejanza es que todos los elementos principales de continuidad del negocio de la BS 25999-2 tambin estarn presentes en la ISO 22301: poltica de continuidad del negocio, anlisis del impacto en el negocio, evaluacin de riesgos, estrategia de continuidad del negocio (en ISO 22301 se denominar opciones de continuidad del negocio), planes de continuidad del negocio, prueba y verificacin, etc. El Anlisis del impacto en el negocio probablemente sea dividido en varios puntos y demandar mayor precisin. Los requisitos para los planes de continuidad del negocio, incluidos los procedimientos de respuesta y los planes de recuperacin, tambin estn mucho ms detallados; por ej., la parte de comunicacin. La parte de gestin de la BS 25999-2 tambin ser transferida a la nueva norma: control de documentos, auditora interna, revisin por parte de la direccin, medidas correctivas y preventivas, gestin de recursos humanos, etc. (una aclaracin, estos elementos estn presentes en todas las otras normas de gestin: ISO 9001, ISO 14001, ISO 27001). Sin embargo, la documentacin ser denominada informacin documentada, y a las medidas preventivas se les dar el nombre de medidas para atender incidentes e inquietudes.
y diferencias

En la ISO 22301, el modelo Planificacin-Implementacin-Verificacin-Mantenimiento (PDCA, por sus siglas en ingls), en comparacin con la BS 25999-2, est desarrollado con menos claridad an; a pesar de que la BS 25999-2 no es tan clara como la ISO 27001 sobre este punto. La ISO 22301 obviamente pondr mucho ms nfasis en establecer los objetivos, en verificar el rendimiento y en las mediciones; acercando, de esta forma, la continuidad del negocio a la forma de pensar de la alta direccin. Siguiendo esa lnea, la ISO 22301 instala expectativas ms definidas en relacin a la gestin y las resume en una nica seccin. La ISO 22301 solucionar una de las falencias de la BS 25999-2 y demandar una planificacin y preparacin de recursos para asegurar la continuidad del negocio mucho ms detallada ya que esos requisitos ahora son ms extensos y estn estructurados con mayor claridad. Por ltimo, lo que ser distinto de la ISO 22301, por ser una norma internacional, es que las entidades de certificacin sern mucho ms exigentes en su certificacin, por lo cual obtendr ms reconocimiento con mayor rapidez. Como conclusin, se puede afirmar que todos los elementos bsicos de de la BS 259992 probablemente estn incluidos tambin en la ISO 22301; slo que en sta, sern ms precisos y exigentes. Las organizaciones que ya han implementado la BS 25999-2 y

deseen actualizarse a la ISO 22301, debern prestar mayor atencin a los detalles y debern invertir ms tiempo en la preparacin y mantenimiento de sus sistemas. Por otro lado, la ISO 22301 seguramente les ayudar a potenciar su nivel de resiliencia y de credibilidad; lo mismo que sucedi con la ISO 27001 seis aos atrs, cuando reemplaz a la BS 7799-2.

Autor: Dejan Kosutic Fuente: Republicado desde "ISO 27001 & BS 25999 blog http://blog.iso27001standard.com"

Continuidad del negocio para empresas pequeas; es necesaria o no?

'By 'Dejan Kosutic on April 04, 2011 Share Tiene sentido implementar la continuidad del negocio en empresas pequeas? Por qu podran necesitar algo tan costoso como esto si el dueo del negocio tiene en su cabeza toda la informacin que necesita? Permtanme comenzar con una historia que escuch recientemente: una pequea empresa, que vende diversos tipos de equipamiento a una gran base de clientes, sufri un robo. El ladrn irrumpi en sus oficinas durante la noche y rob todos los ordenadores, adems de otros elementos de valor. Si bien el propietario de esta empresa haba realizado una copia de seguridad de los datos, el problema es que esa copia estaba resguardada en otro ordenador dentro de la misma oficina. Muy poco tiempo despus, la compaa qued en bancarrota; simplemente porque no pudo recuperar informacin esencial para su negocio. Este es un ejemplo clsico del sndrome A m no me va a pasar que aqueja a la mayora de las pequeas empresas. Marco referencial para continuidad del negocio Esto quiere decir que las compaas pequeas necesitan invertir en costosas ubicaciones de recuperacin ante desastres con equipamiento que permita un alto nivel de disponibilidad? Por supuesto que no. En algunos casos, la continuidad del negocio realmente no es necesaria porque el dueo del negocio s tiene toda la informacin en su cabeza, pero estos casos son muy excepcionales. Cuntos de ellos no tienen un ordenador porttil con distintos tipos de informacin importante? El slo pensar en cmo permitir la disponibilidad de esta

informacin en el caso que se produzca un desastre ya es parte de un esfuerzo de continuidad del negocio. Los dueos de las pequeas empresas deben evaluar detenidamente qu informacin y dems recursos son importantes para sus negocios, cmo garantizar que esa informacin y recursos estn disponibles en caso que se produzca un desastre y qu pasos se deben seguir para recuperar las actividades del negocio en esos casos extremos. Estos pasos no son ms que la ejecucin del anlisis del impacto en el negocio, de la estrategia de continuidad del negocio, y de los planes de continuidad del negocio; de la misma forma en que lo hara cualquier compaa ms grande al implementar la continuidad del negocio. Todo esto se detalla en la principal norma sobre este tema: BS 25999-2. Cmo prepararse Ahora bien, la diferencia entre empresas pequeas y grandes radica en la complejidad y en el costo de los preparativos que las ms pequeas deben afrontar para la continuidad del negocio:
y

Copias de seguridad de datos electrnicos: las empresas pequeas pueden utilizar algunas de las herramientas que realizan copias de seguridad de los datos de sus ordenadores en la nube en forma casi instantnea. Por supuesto que se deben tomar los recaudos pertinentes para que todos los datos necesarios sean incluidos. Copias de seguridad de documentos en papel: ahora las empresas pequeas pueden eliminar casi por completo de sus actividades diarias los documentos en papel y pueden transferir todo a formato electrnico. En casos excepcionales en que deben existir documentos en papel, estos pueden ser escaneados dentro del marco de la continuidad del negocio. Ubicaciones alternativas para oficinas: en la mayora de los casos ser suficiente que los empleados continen trabajando desde sus hogares; la condicin sera que tuvieran una conexin a Internet, ordenadores porttiles o PC y claves. Si el trabajo desde el hogar no es lo ms adecuado, siempre es posible alquilar una habitacin de hotel en menos de una hora. Hardware: a menos que se utilice un tipo especial de ordenador para una actividad comercial, es muy sencillo encontrar uno alternativo: en casa, generalmente, hay un ordenador particular o se puede pedir prestado uno a algn pariente o se puede comprar uno en cualquier negocio de computacin. Personal: probablemente este sea el aspecto ms difcil. Supongamos que un empleado no est disponible y que es el nico que conoce determinada informacin (por ejemplo, claves administrativas, los pasos que hay que seguir para un proyecto importante, etc.); para esos casos, los preparativos pasaran por documentar toda esta informacin para que pueda ser utilizada sin necesidad de que el empleado est presente. Otro ejemplo sera si falta un empleado y nadie ms tiene el tiempo ni los conocimientos para reemplazarlo; en este caso, la preparacin pasara por identificar de antemano quin tendra disponibilidad para ser contratado con poca anticipacin para realizar el trabajo del empleado que no est. Por supuesto que aqu la clave es identificar a alguien que posea las habilidades o aptitudes adecuadas.

Como conclusin: no hay diferencia entre organizaciones grandes y pequeas en relacin al marco de la continuidad del negocio; ambas deben pensar detenidamente qu preparativos necesitan realizar para superar una situacin de desastre. La diferencia est en el nivel de los preparativos, ya que las empresas ms pequeas pueden hacerlos con muy poca inversin. 0saves Save If you enjoyed this post, please consider leaving a comment in a box below or subscribing to the RSS feed to have future articles delivered to your feed reader. This post is also available in: Ingls, Alemn, Japons, Croata, Portugus, Brasil

Las mayores falencias de ISO 27001 La importancia de la Declaracin de aplicabilidad para la norma ISO 27001

La importancia de la Declaracin de aplicabilidad para la norma ISO 27001

'By 'Dejan Kosutic on April 18, 2011 Share La importancia de la Declaracin de aplicabilidad (a veces conocida como DdA) generalmente es subestimada, como el Manual de calidad en la norma ISO 9001, ya que se trata del documento principal que define cmo usted implementar una gran parte de su sistema de seguridad de la informacin. De hecho, la Declaracin de aplicabilidad es el nexo principal entre la evaluacin y el tratamiento del riesgo y la implementacin de su sistema de seguridad de la informacin. El objetivo de este documento es definir cules de los 133 controles (medidas de seguridad) sugeridos en el Anexo A de la norma ISO 27001 son los que usted implementar y, para los controles que correspondan, cmo se realizar su implementacin. Por qu es necesaria Ahora bien, por qu es necesario este documento cuando usted ya ha confeccionado el Informe sobe la evaluacin de riesgos, que tambin es obligatorio y que tambin define los controles necesarios? Estos son los motivos:

Ante todo, durante el tratamiento de riesgos usted identific los controles que deban implementarse porque primero identific los riesgos que era necesario disminuir. Sin embargo, en la DdA usted tambin identific los controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc. Segundo, el Informe sobre la evaluacin de riesgos puede resultar bastante largo: algunas organizaciones pueden identificar algunos miles de riesgos (a veces, an ms); por eso, un documento de estas caractersticas no resulta realmente til en el uso operativo diario. En cambio, la Declaracin de aplicabilidad es bastante breve ya que tiene 133 filas (cada una representa un control); esto permite que pueda ser presentada ante la gerencia y que pueda ser actualizada. Tercero, y ms importante, la DdA debe documentar si cada control aplicable ya est implementado o no. Una estrategia efectiva, y que la mayora de los auditores buscar, tambin es describir cmo se implementa cada control aplicable; por ejemplo, haciendo referencia a un documento (poltica, procedimiento, instrucciones de funcionamiento, etc.) o detallando brevemente el procedimiento vigente o el equipo que se utiliza.

De hecho, si solicita la certificacin ISO 27001, el auditor de certificacin tomar su Declaracin de aplicabilidad y recorrer su empresa verificando si ha implementado los controles de la forma en que lo ha detallado en su DdA. Es el principal documento que utilizan para realizar la auditora presencial. Muy pocas empresas se dan cuenta de que redactando una buena Declaracin de aplicabilidad pueden disminuir la cantidad de otros documentos; por ejemplo, si desea documentar un determinado control, pero la descripcin del procedimiento para ese control resultara demasiado breve, lo puede incluir en la DdA. De esta forma, estara evitando redactar otro documento. Por qu es til Por experiencia, puedo afirmar que la mayora de las empresas que implementan el sistema de gestin de seguridad de la informacin de acuerdo a la norma ISO 27001 dedican mucho ms tiempo en redactar este documento que lo que haban previsto. El motivo es que deben pensar cmo implementarn sus controles: Comprarn nuevos equipos? Modificarn el procedimiento? Contratarn un nuevo empleado? Estas son decisiones bastante importantes (y, a veces, costosas), por ello no sorprende que requiera mucho tiempo tomarlas. Lo bueno acerca de la DdA es que obliga a las organizaciones a hacer las cosas de forma sistemtica. Por lo tanto, no se debera tomar este documento simplemente como uno de esos documentos innecesarios que no tienen una utilidad real. Piense que es la principal declaracin en la que usted define lo que desea hacer con su seguridad de la informacin. Si est redactado correctamente, la DdA es un resumen perfecto acerca de lo que se debe hacer en seguridad de la informacin, por qu se debe hacer y cmo se debe hacer. Haga clic aqu para descargar una plantilla gratuita de la Declaracin de aplicabilidad.

1saves Save If you enjoyed this post, please consider leaving a comment in a box below or subscribing to the RSS feed to have future articles delivered to your feed reader. This post is also available in: Ingls, Alemn, Japons, Croata, Portugus, Brasil

Continuidad de Negocio BS 25999

Minimizacin de interrupciones Maximizacin de la recuperacin

y

Descripcin general
y

Beneficios
y

Formacin Pasos hacia la certificacin

La continuidad de la actividad en caso de una interrupcin, ya sea debido a un siniestro o catstrofe importante o bien debido a un incidente menor, es un requisito fundamental para cualqu ier organizacin. BS 25999, la primera norma britnica para la gestin de continuidad de negocio (Business Continuity Management -BCM), se ha concebido para ayudar a minimizar el riesgo de interrupciones de estas caractersticas. La norma ayuda a establecer las bases de un sistema BCM y se ha concebido para mantener en marcha las actividades durante las circunstancias ms inesperadas y desafiantes: protege a los empleados, su reputacin y proporciona la capacidad de continuar con la actividad y el comercio. BS 25999 ha sido desarrollada por un amplio grupo de expertos de primera categora que constituyen una muestra representativa de sectores de la industria y de la Administracin para establecer el proceso, los principios y la terminologa de la gestin de continuidad de la actividad comercial. Proporciona una base para comprender, desarrollar e implantar la continuidad de negocio en una organizacin y otorga confianza en los negocios de B2B y de B2C. Asimismo, contiene un conjunto exhaustivo de controles bas ados en las mejores

prcticas de BCM y abarca todo el ciclo de vida de la gestin de continuidad de negocio

Para quin es significativo?

BS 25999 es una norma adecuada para toda organizacin, grande o pequea, de cualquier sector. Es especialmente apropia da para organizaciones que operan en entornos de alto riesgo, como las finanzas, telecomunicaciones, transporte y el sector pblico, donde la capacidad de continuar la actividad comercial es primordial para la organizacin en s, as como para sus clientes y partes interesadas.

El estndar
BS 25999 comprende dos partes:
y la parte 1, el cdigo de buenas prcticas, que ya ha sido publicada y

proporciona unas recomendaciones de buenas prcticas en cuanto a BCM. Esta primera parte es simplemente un documento de gua..
y la parte 2, la especificacin, fu publicada el pasado 20 de noviembre 2007 y

proporciona los requisitos de un Sistema de Gestin de Continuidad de Negocio (SGCN) basado en las mejores prcticas de SGC. Hay un estndard que puede utilizar para dem ostrar el cumplimiento va auditora y proceso de certificacin.

Prximos pasos
Para ms informacin sobre nuestros productos y servicios, o para saber cmo podemos serles til, puede solicitar ms informacin va on-line, o contactando con nosotros en el siguiente numero de telfono: 91 400 86 20 o escribiendonos un e-mail. Le responderemos de manera inmediata. Para formacin en BS 25999 click aqu

Las beneficios de BS 25999 son muc hos, especialmente cuando son combinadas con una certificacin independiente de BSI, y abarcan los siguientes puntos:
y Marco

Proporciona un marco comn consistente, basado en unas mejores prcticas internacionales, para gestionar la continuidad de negocio.
y Resiliencia

Mejora su resiliencia de manera proactiva cuando se enfrenta con una interrupcin en su capacidad de alcanzar objetivos claves.
y Reputacin

Ayuda a proteger y mejora su reputacion y marca.

y Ventaja competitiva

Le abre nuevos mercados y le ayuda a ganar nuevos negocios.

y Ganar ms contratos ms efectividad de costos

Le proporciona una ventaja de marketing y usando la certificacin, puede ayudarle a reducir el coste de ofertas muy caras.
y Mejora el negocio

La certificacin le da una clara comprensi n de toda su organizacin , la cual puede identificar oportunidades para la mejora.
y Mejora continua

El proceso de certificacin supone auditoras habituales las cuales aseguren su sistema de gestion est actualizado.
y Cumplimiento

Demuestra que se observan las leyes y las regulaciones.

y Ahorro de costes

Crea oportunidades para reducir los costes de los auditores de continuidad de negocio y puede reducir las primas de seguros.
y Gestin

Proporciona una capacidad probada para gestionar una interrupcin.

Prximos pasos
Para ms informacin sobre nuestros productos y servicios, o para saber cmo podemos serles til, puede solicitar ms informacin va on-line, o contactando con nosotros en el siguiente numero de telfono: 91 400 86 20 o escribiendonos un email. Le responderemos de manera inmediata.

Alinearme o certificarme en BS 25999? Qu debo elegir?

Escrito por Hilary Estall, Experta en continuidad de negocios Miembro del Comit BSI, BCM/1 Domingo 28 de Noviembre de 2010 22:28

Cada vez se utiliza ms la expresin "alinearse a la norma BS 25999"Qu es esto realmente y de qu vale estar alineado

En este artculo se exploran las implicaciones de ambos enfoques y los beneficios y des La alineacin con la norma BS 25999

Operar "en lnea con" la BS 25999, infiere la adopcin de los principios del Sistema de Gestin de la Continuidad del Ne honestos, dicha declaracin no es clara. Slo se cubren algunas partes de la empresa o la totalidad de productos y serv

Qu parte de BS 25999 es con la cual la gente cree se est alineando? Parte 1 es el "Cdigo de Prctica" y ofrece orienta del negocio. Parte 2 es la "Especificacin" y es sta con la que una organizacin tiene que cumplir para poderse compara

Los factores que llevan a la implementacin de un BCMS difieren entre organizaciones. Algunos pueden ser internos y ot puede depender de la naturaleza del negocio o en sus clientes. Estos motores tambin pueden determinar si la empresa deben dar el paso a la certificacin.

La dificultad viene cuando la palabra "alineacin" se utiliza sin justificacin. Una afirmacin fcil de hacer, pero que pote personas que trabajan en la organizacin con el BCMS. La pregunta es: "Es correcto esperar pasar por algn tipo de pro esta terminologa?" Una serie de ventajas de estar alineados con la norma BS 25999

Tendr un punto de referencia con el respetado estndar britnico BS 25999 -2:2007 Proporciona un marco completo para un BCMS No hay costos por la certificacin Potencialmente obtendr factores de confort para sus proveedores, su compaa de seguros y otras partes interesad Puede obtener ventaja competitiva No tiene obligacin de que le realicen auditoras Cuando est listo, le ser ms fcil aplicar para el proceso de certificacin BS 25999 Las desventajas de slo estar alineados con la norma BS 25999 Usted no tiene ninguna marca de aprobacin formal por parte de un tercero reconocido El riesgo de falta de controles externos puede frenarlo en el mantenimiento del sistema de BCM Usted puede perder clientes potenciales ante organizaciones certificadas con la norma BS 29555 Generalmente a la alta gerencia, se le pide que su administracin mantenga los principios de BCMS.

Certificacin de la norma BS 25999-2 Existe un malentendido que seala como una tarea muy difcil, pasar de la alineacin a la certificacin de la norma BS 25

est alineado con el estndar, entonces no hay razn por la cual sea problema dar el paso a la certificacin. Solo tendr q las partes que la norma lo pida. De no estar cerca de cualquier tipo de alineacin, es cuando usted tendr que trab ajar du

Otras cuestiones para tomar en cuenta antes de la certificacin: Ya incorporaron el BCMS en su organizacin? Cmo puede demostrar esto? Ha detectado todos los elementos de sistema de gestin? Cmo se ha hecho disponible sta informacin para el pe Confa en que su staff, de ser cuestionado, pueda explicar el rol que juegan durante un incidente? Tiene pruebas documentales de los resultados de sus auditoras, las reuniones de revisin y ejercicios? Ganando ms negocios con un Sistema de Gestin de Continuidad del Negocio Muchas organizaciones requieren la certificacin con la norma BS 25999-2 para propsitos de licitacin o cadena de sum esta tendencia probablemente continuar. Puede su negocio no estar certificado, mientras compite con organizaciones orgullo por parte del personal de las organizaciones que obtienen la certificacin, ya que la certificacin BS 25999 a men ese logro. Las ventajas de estar certificados en la norma BS 25999-2 Usted tiene un enfoque coherente de BCM en toda la empresa Su BCMS es verificado de tercera parte por un organismo de certificacin Le da ventaja competitiva Puede utilizarlo en su mercadotecnia y relaciones pblicas exhibiendo su certificado y / o logotipo Fortalece su marca y protege su reputacin en caso de haber un incidente Un BCMS conduce a la mejora continua en toda la organizacin. Las desventajas de estar certificados en la norma BS 25999-2

El costo inicial y anual para alcanzar y mantener la certificacin puede ser visto como una desventaja. El costo puede var no debe ser la nica razn para no buscar la certificacin. Conclusin sobre certificarse o no con la norma BS 25999

Certificarse en la norma BS 25999-2 colocar a su negocio como uno de los mejores en su sector. Sin importar si la decisi externos, fomentar un nivel de disciplina que es poco probable que adquiera sin ella. Puede estar perfectamente bien actualmente, pero conforme crezca, conseguir clientes ms exigentes que podrn pedirle un certificado y si usted dice le pidan que lo demuestre.

Para mayor informacin sobre Seguridad de la Informacin visite: http://www.bsigroup.com.mx/es-mx/Auditoria-y-Certi estandares/BS-25999 Hilary Estall, Experta en continuidad de negocios Miembro del Comit BSI, BCM/1

Metodologa de implantacin y certificacin de ISO27001

Este artculo presenta una primera parte, que es el desarrollo conceptual para llevar adelante la implementacin de ISO -27001 en una PyME, y la segunda parte, presenta las fases y metodologas prcticas que implementa NCS, para preparacin de PyMEs.
20 Mar 2008 | Alejandro Corletti, Director de Seguridad Informtica de NCS

1. Desarrollo conceptual.
El principal objetivo de este artculo es ofrecer un claro curso de accin para las PyMEs. No est orientado a las grandes empresas, pues cualquiera de ellas est en condiciones de contratar una consultora externa y desentenderse del tema (grave error), asumiendo tambin los grandes costes que ello implica. Por esta razn, es que toda PyME debe hacer una fuerte diferencia entre la "Necesidad de certificar" y el "Negocio de la Certificacin", que es la finalidad ltima de todo este texto pues, bien entendidas estas posturas es lo que les permitir implementar a las PyMEs la mayora de los puntos de este estndar, con gran independencia del "Negocio de la Certificacin" que se gesta alrededor de to do estndar certificable. Lo que se trata de reflejar en el cuadro anterior es la decisin que deber adoptar todo responsable de sistemas en los prximos aos, es decir: Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera ampliamente a la ficcin, y en este tipo de determinaciones puedo asegurarlo con mucha certeza). Se puede encarar esta ardua tarea, con la intencin de aprovechar el esfuerzo o

simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mnimo esfuerzo posible, tratando de (fra y crudamente) engaar al auditor(Lo que recuerden que, tambin afirmo y con mucha ms contundencia, es que ser imposible de mantener esta mentira). Puedo garantizar que ser humanamente imposible volver a demostrar, ao tras ao, que el SGSI sigue rodando (la mentira tiene patas cortas). Es decir, no merece la pena tratar de encarar una futura certificacin ISO 27001 si no se tiene como objetivo fundamental y sinc ero: "Implementar un VERDADERO SGSI" Esto se desmorona muy rpidamente si se parti de pilares dbiles, engaosos o falsos, tratando meramente de obtener el sello de "ISO 27001" como nica meta. Por lo tanto, primer "consejo" (si se puede llamar as): No se autoengaen, encaren esta tarea con la sana intencin de aprovechar al mximo cada esfuerzo que esta les requiera. Una vez comprendido esto, creo necesario avanzar un poco ms an, pues esto afecta de lleno a las PyMEs y tal vez no tanto a una gran empre sa. Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, "S o S" debe MOJARSE !! Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento y las acciones a futurouna PyME seguro que no. A lo sumo, deber contratar una consultora que le analice, disee, planifique e implemente inicialmente desde el vamos, todo el SGSI, pero es casi seguro que no podr subcontratar el mantenimiento que un SGSI requiere, esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deber intervenir en profundidad. Esto no quiere decir que le implicar abandonar el resto de sus tareas, pero se debe ser consciente, que algo de su tiempo le deber dedicar. El responsable de seguridad de la PyME deber "mojarse" desde el inicio. Puede hacerlo, embebindose del estndar, e ir preparando poco a poco su empresa con un mnimo apoyo de algn especialista. Este curso de accin, requiere un mayor esfuerzo de los

administradores de informtica de la empresa (y de su responsable), pero es el que mayor experiencia les aportar y, los resultados, si se ponen ganas, sern muy buenos y dejarn claros los pasos a futuro para mantener el SGSI funcionando perfectamente. La segunda opcin que puede tener el responsable de seguridad de una PyME, es contratar una consultora para que lo gue paso a paso en todo el proceso, ojo !!, no estoy diciendo que haga todo el trabajo, sino que vaya guiando a la empresa en cmo hacerlo, pues si lo hace la consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el consultor, el SGSI ser muy duro de mantener. Por lo tanto lo ms importante a reflexionar sobre esta segunda opcin es que no es "lavarse las manos", sino trabajar codo con codo con el consultor, para aprovechar al mximo la experiencia de ste en cada paso, y ser capaz de tener un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: "un ciclo de vida continuo". En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar a los auditores acreditados la certificacin ISO 27001.

2. Cmo Propone NCS realizar esta tarea en una PyME?

Esta actividad de apoyo a las PyMEs que desean encarar un SGSI, independientemente que su objetivo sea certificarse o no (pues muchas lo lanzan nicamente para mejorar la gestin de su seguridad), desde NCS la hacemos de acuerdo a las si guientes fases: Anlisis y Estudio del mbito de Aplicacin (Alcance de la Certificacin ISO/IEC 27001:2005). Identificacin de Activos. Anlisis de Riesgos (orientado a procesos de negocio). Declaracin de Intenciones de la Direccin. Plan de Accin para implementar ISO/IEC 27001:2005. Inicio del Rodaje. Seleccin de Hitos (Medibles, demostrables: RODAJE). Estndar de Seguridad. Relacin Documental. LOPD y LSSI (conformidades legales). Planeamiento y Ejecucin de Formacin y Concienciacin. Auditora Interna (plan, realizacin, resultados, mejoras). Preparacin de Presentacin del SGSI a auditores.

FASE 1: Anlisis de la Situacin Actual y Evaluacin de la Seguridad Objetivo: Identificar los objetivos de negocio, ya que el propsito de la certificacin es garantizar la gestin de la seguridad sin perder de vista que esta ayuda al desarrollo de las actividades comerciales de la PyME. Las tareas a desarrollar son: 1.- Se identifican cules son las principales actividades empresariales, reflejndolas en un diag rama de flujo. 2.- Se selecciona un alcance adecuado para el sistema, ya que el esfuerzo a la hora de implementar el SGSI debe ser proporcional al tamao del sistema a construir. 3. - En base a la Norma ISO/IEC 27002:2005, se comprobar qu controles de dicha norma estn implantados, y a qu nivel en base a un checklist. Con esto, se consigue determinar el estado de madurez en el que se encuentra la compaa, para poder identificar el esfuerzo que hay que hacer en la implementacin. FASE 2: Anlisis y Gestin de Riesgos Objetivo: Establecer la relacin entre la compaa y su entorno, identificando sus puntos fuertes y sus puntos dbiles, oportunidades y amenazas. Las tareas a desarrollar son: 1.- Anlisis de Riesgos. 2.- Tratamiento de Riesgos. 130 Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmara que se puede "dibujar" una certificacin ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido). Lo que tambin afirmo y con mucha ms contundencia, es que ser imposible de mantener esta mentira. FASE 3: Lanzamiento del SGSI Objetivo: Desarrollar los procedimientos necesarios que permitan implantar los controles seleccionados. En cada procedimiento se detallan los objetivos que se pretenden cubrir, cmo se implantan, y las responsabilidades asociadas. Las tareas a desarrollar son: Definicin del SGSI: a) Se define la Poltica de Seguridad que establece de forma clara el enfoque de la poltica de actuacin de la compaa, el alcance y los objetivos globales. b) Se recop ilan los documentos relativos a la seguridad, existentes en la compaa. c) Se elaboran y estructuran los procedimientos de gestin y

funcionamiento del SGSI, que darn soporte a la Poltica de seguridad definida para la compaa. d) Se desarrolla una bit cora de actividades en donde se van registrando los hitos alcanzados y las actividades que se estn desarrollando a lo largo del tiempo. FASE 4: Implantacin y Puesta en Marcha del SGSI Objetivo: Poner en marcha las polticas y procedimientos definidos en las fases previas, tomando previamente en consideracin el necesario aprovisionamiento de fondos y la asignacin de responsables. Las tareas a desarrollar son: 1.- Formular e implementar un Plan de Tratamiento del Riesgo que identifique las acciones, responsabilidades y prioridades de la Direccin para la gestin de los riesgos de la seguridad. 2.- Implantar Planes de Formacin y Concienciacin: a) Impartir Planes de Formacin sobre los nuevos procedimientos. b) Impartir Planes de Concienciacin sobre los beneficios que tiene implantar un SGSI en la compaa. 3. - Implantar el SGSI: a) Implantar polticas y procedimientos del SGSI. b) Implantar los controles seleccionados en el documento Declaracin de Aplicabilidad. FASE 5: Control y Revisin del SGSI Objetivo: Realizar revisiones sobre la efectividad del SGSI atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de las auditoras de seguridad, incidentes, resultados de las mtricas, y observaciones de las partes interesadas. Las tareas a desarrollar son: 1.- Controlar el SGSI: a) Se detectan los errores en los resultados del tratamiento de riesgos. b) Se identifican y detectan las incidencias de Seguridad. c) Se controla que las actividades de seguridad son realizadas correctamente, t anto por la tecnologa implantada, como por las personas en las que se ha delegado la responsabilidad. d) Determinar las acciones para resolver las brechas de seguridad de acuerdo a la prioridad de los negocios. e) Se establecen mtricas de seguridad para medir la eficacia y eficiencia del SGSI (ISO 27004). f) Se determina las acciones llevadas a cabo para resolver una incidencia de seguridad son las adecuadas. 2.- Revisar el SGSI: a) Realizar auditoras y revisiones por la Direccin del SGSI: Se revisa la Poltica de Seguridad y el Alcance del SGSI. Se revisa el Anlisis de Riesgos. Se revisan los controles implantados. Se realizan auditoras internas y externas.

FASE 6: Mantenimiento y Mejora del SGSI Objetivo: Implementar las mejoras identificadas a partir de los resultados obtenidos en las fases anteriores, asegurando que stas permitan alcanzar los objetivos del SGSI. 1.- Mantenimiento del SGSI: a) Se comunica a las partes interesadas las acciones y mejoras. b) Se ejecutan las acciones correctivas y preventivas. 2.- Mejora del SGSI: a) Se implantan las mejoras del SGSI que se han identificado. Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmara que se puede.

y y y y y y y

Servicios Cumplimiento de normas y estndares Control de riesgos Continuidad de negocio Evaluaciones de seguridad Consultora especializada en seguridad Entrenamiento y formacin profesional de equipos de seguridad

ISO 27001 Implementacin y Seguimiento

ISO 27001 es el estndar que define los requerimientos necesarios para la implementacin de un SGSI (Sistema de Gestin de la Seguridad de la Informacin) en una organizacin. Uno de los grandes retos en la implementacin de ISO 27001, consiste en disear y priorizar aquellas actividades crticas que debern alinearse con los requerimientos definidos por el estndar.

Cinco razones para Implementar ISO 27001 con GCP Global:

y

y y y y

BSI Americas, se apoya totalmente en nuestros especialistas al proveer sus servicios de consultora para la realizacin de pre-auditoras y auditoras de certificacin 27001:2005. Somos desarrolladores de la tecnologa que acelera la implementacin del estndar y facilita su seguimiento y actualizacin. Contamos con uno de los grupos ms slidos de consultores y asesores en el estndar de todo Amrica Latina. Contamos con casos de xito destacados en los sectores financiero, telecomunicaciones, comercial, servicios, industrial y pblico entre otros. Somos expertos en seguridad, por lo que podemos implementar su SGSI en balance con su prctica de control de riesgos de negocio.

Beneficios de Automatizar la implementacin de su SGSI 27001

La tecnologa incorporada en la Plataforma de software ORCA (Organizational Risk & Compliance) le permitir a usted:

y y y y y y y y y y y y

Gestionar todos los activos relacionados al SGSI (Sistema de Gestin de la Seguridad de la Informacin). Gestionar las vulnerabilidades de los activos relacionados al SGSI. Realizar el anlisis de riesgo cualitativo requerido por la norma. Establecer el modelo de controles de riesgo. Catalogar las amenazas, as como los controles de ISO-27001 relacionados. Definir un plan de tratamiento de riesgos. Desarrollar el SOA (Statement of Aplicability). Disear, implementar y seguir un plan de implementacin de controles. Dar seguimiento a las acciones de implementacin. Dar seguimiento a las acciones correctivas y preventivas. Realizar las auditoras internas del SGSI. Monitorear los indicadores de medicin de controles del SGSI.

Beneficios de la automatizacin de su SGSI 27001 son:

y y y y y

50% de reduccin de tiempos en la implementacin. 50% de reduccin de tiempos en seguimiento y actualizacin. Se desarrolla toda la documentacin relacionada al estndar. No se requiere invertir en consultoras de terceros para la realizacin de los Anlisis de Brecha. Los niveles de seguridad de informacin del negocio se nivelan en paralelo a la implementacin del estndar de forma real, pudiendo medirlos a travs de mtodos cuantitativos no considerados en el estndar.

Ojo ojo mJHERRAMIENTAS

http://www.iso27000.es/herramientas.html#section7d

Seguridad de la informacin y auditora de sistemas

RESUMEN Se hace una breve descripcin de la seguridad de la informacin, explorando los problemas en los sistemas, tanto a nivel de software como a nivel de red. Tambin se hace una introduccin a la auditoria de sistemas, indicando sus procesos tpicos y presentando al final algunos estndares de seguridad de la informacin.

SEGURIDAD DE LA INFORMACIN Gran parte de las empresas de hoy en da, as como gran parte de las personas involucradas en el mundo digital han buscado maneras de dar desarrollo a los sistemas de informacin, enfocados estos en software y hardware que permiten las comunicaciones desde diversas partes del mundo.

Es tal el surgimiento y evolucin de los sistemas de informacin que en promedio de 100 familias 97 poseen comunicaciones a travs de Internet, y no solo es la Word Wide Web la que permite ver estos grandes cambio, tambin es la tecnologa que esta de por medio como televisores, sistemas de comunicacin inalmbricas, cpu"s, porttiles, entre otros.

Es importante por tanto resaltar la importancia que estos sistemas de informacin dan a la sociedad y por tanto la importancia que se les da dentro de medios gubernamentales, polticos, empresariales o educativos; es as como para brindar que la informacin fluya de un lugar a otros sin inconvenientes, existe la seguridad y custodia de datos, y para explicar esto se hablar de la seguridad de la informacin y la auditoria de sistemas.

Segn [1] se puede entender como seguridad un estado de cualquier sistema (informtico o no) que nos indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo o los res ultados que se obtienen del mismo. Para la mayora de los expertos el concepto de seguridad en la informtica es utpico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas:

Integridad: La informacin slo puede ser modificada por quien est autorizado, esto es que no se realicen modificaciones por personas no autorizadas a los datos, informacin o procesos, que no se realicen modificaciones no autorizadas por personal autorizado a los datos, informacin o procesos y que los datos o informacin sea consistente tanto interna como externamente. Confidencialidad: La informacin slo debe ser legible para los autorizados, esto implica el buscar prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la informacin. Disponibilidad: Debe estar disponible cuando se necesita los datos, la informacin o recursos para el personal adecuado. Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad lgica y seguridad fsica.

As mismo es importante tener en cuenta ciertos trminos que aclaran que puede tenerse en cuenta al hablar de seguridad informtica, tales son:

Activo: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organizacin. Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza sobre un activo. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio. No te que riesgo y vulnerabilidad son conceptos diferentes, debido a que la vulnerabilidad est ligada a una amenaza y el riesgo a un impacto.

Teniendo en cuenta lo anterior se puede notar que entre los activos ms importantes para una organizacin esta la informacin y por tanto la custodia de la misma, es entonces como la seguridad de la Informacin es el conjunto de metodologas, prcticas y procedimientos que buscan proteger la informacin como activo valioso, con el fin de minimizar las amenazas y riesgos continuos a los que esta expuesta, a efectos de asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de inversiones y las oportunidades del negocio. Y en el caso de cada individuo de proteger la identidad y la privacidad [2].

Es clara la diferencia que puede tomar la seguridad de la informacin tanto para organizaciones como para los individuos, esto quiere decir que las organizaciones buscan proteger los recursos de la organizacin como son la informacin, las comunicaciones, el hardware y el software que le pertenecen. Para lograrlo se seleccionan y establecen los

controles apropiados. La Seguridad de la informacin ayuda a la misin de la organizacin protegiendo sus recursos fsicos y financieros, reputacin, posicin legal, empleados y otros activos tangibles e intangibles, el otro punto de vista existe para los individuos cuyo propsito es proteger la privacidad e identidad de los mismos evitando que su informacin caiga en la manos no adecuadas y sea usada de forma no apropiada.

Tenga en cuenta que muchas empresas para evitar el acceso a su informacin y el dao que pueda ser producida a la misma, se utilizan potentes antivirus que permiten la deteccin de virus y su erradicacin, slo se debe tener en cuenta por el usuario cul es el ms apropiado para manejar y el que cubre sus necesidades.

Entonces en conclusin, seguridad, describe las polticas, los procedimientos y las medidas tcnicas que se emplean para prevenir acceso no autorizado, alteracin, robo dao fsico a los sistemas de informacin.

1.1.

Problemas en los sistemas

Tenga en cuenta que muchos problemas en los sistemas de informacin se dan por errores propios de los sistemas y que permiten que se tenga acceso violando las normas establecidas, esto quiere decir por ejemplo los errores de programacin, porque al ser un sistema muy grande en ocasiones no son corregidos totalmente los errores y pueden a futuro cre ar inestabilidad en el sistema. Segn [3] los estudios muestran que aproximadamente 60% de los errores se detectan durante las pruebas y son resultado de especificaciones omitidas, ambiguas, errneas o no perceptibles en la documentacin del diseo.

Otra de las razones por las que los sistemas de informacin pueden ser inestables, es por el mantenimiento, ya que es la fase ms costosa de todo proyecto, adems porque casi la mitad del tiempo se dedica a realizar ajustes y mantenimiento a los sistemas.

Es por tanto que el proceso de certificar la calidad es esencial para el proceso de desarrollo de un sistema de informacin, ya que podr prevenir errores durante la captura de datos.

Y es aqu cuando se empieza a hablar de controles para la custodia de la informacin; es importante detallar que un control segn Laudon en su libro [3] son todos los mtodos, polticas y procedimientos que aseguran la proteccin de los activos de la organizacin, la

exactitud y confiabilidad de sus registros y el apego de sus operaciones a los estndares que defina la administracin. Es as que el control de un sistema de informacin debe ser una parte integral de su diseo. Los usuarios y constructores de sistemas deben prestar una estrecha atencin a los controles durante toda la vida del sistema.

Pero no solo el control es importante, as mismo se debe destacar que existen dos tipos de controles, los generales y los de aplicaciones. Los primeros gobiernan el diseo, la seguridad y el uso de programas de computacin y la seguridad de archivos de datos a lo largo de la infraestructura de tecnologa de la informacin; por otra parte los controles de aplicaciones son ms especficos para cada aplicacin computarizada. Tenga en cuenta que los controles generales incluyen a su vez controles de software, de hardware fsico, controles de operaciones de cmputo, controles de seguridad de datos, controles sobre el proceso de implementacin de sistemas y controles administrativos.

Teniendo en cuenta este esquema actualmente existen proveedores de servicios administrativos (MSP) por su sigla en ingls que proporcionan redes, sistemas, almacenamiento y administracin de seguridad para sus clientes suscriptores.

Es entonces como aparte de la seguridad que se debe tener en cuenta para los aplicativos de software, tambin se debe tener en cuenta la seguridad de componentes de hardware, para esto se crearon los sistemas de deteccin de intrusos, que son herramientas para monitorear los puntos ms vulnerables en una red, para detectar y detener a los intrusos no autorizados.

Siguiendo con los conceptos se puede tambin tener en cuenta que la informacin al ser manejada por varias personas es importante mantenerla intacta, por lo que en busca de este concepto, se crea la encriptacin, que desde la poca rabe viene funcionando y ha sido aplicada a los sistemas de cmputo actuales, esto consiste en codificacin para mensajes para que se impida la lectura o acceso sin autorizacin.

En este sentido tambin se debe de hablar de otro tipo de seguridad implementada para las organizaciones y en concepto a sus altos directivos o reas especficas de la compaa, esto es la aplicacin de certificados digitales que se pueden utilizar para establecer la identidad de personas o de activos electrnicos, igualmente protegen las transacciones en lnea proporcionando comunicacin segura y encriptada. Actualmente estos mtodos de seguridad de la informacin son utilizados por entidades financieras que transmiten informacin importante a otras entidades controladoras, as como por compaas donde la informacin es valiosa y no puede ser conocida sino por ciertas personas.

1.2.

Tcnicas de aseguramiento del sistema

Como se nombro anteriormente actualmente se manejan varios mtodos para tener seguridad dentro de un sistema, tales pueden ser:

Codificar la informacin: Por medio de la criptografa, contraseas difciles de averiguar a partir de datos personales del individuo. Vigilancia de red. Tecnologas repelentes o protectoras: Manejar firewalls, antispyware o sistemas de deteccin de intrusos, antivirus. Llaves para proteccin de software, etc. Mantener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad. 1.3.Consideraciones de software

Una persona o compaa debe tener instalado en la mquina nicamente el software necesario ya que esto permite reducir los riesgos. As mismo tener controlado el software ya que asegura la calidad de la procedencia del mismo (el software pirata o sin garantas aumenta los riesgos).

En todo caso un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre. El software con mtodos de instalacin rpidos facilita tambin la reinstalacin en caso de contingencia.

Tenga en cuenta que en Internet existen actualmente gran cantidad de pginas que advierten sobre seguridad y muestran los virus riesgosos, antivirus existentes y procedimientos para custodia de informacin importante.

1.4.

Consideraciones de una red

Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles.

Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mnimo.

Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las mquinas.

Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se ha introducido el virus.

En este punto es importante recalcar que toda persona y/o compaa es vulnerable en su seguridad pues como se nombr desde un inicio no existe an un sistema 100% seguro y confiable.

2.

AUDITORA DE SISTEMAS

La palabra auditoria viene del latn auditorius y de esta proviene auditor, que tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la revisin, evaluacin y elaboracin de un informe para el ejecutivo encaminado a un objetivo especfico en el ambiente computacional y los sistemas.

A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia sobre auditoria de sistemas:

La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del rea de Procesamiento automtico de datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado: Salvaguarda activos, destruccin, uso no autorizado, robo, mantiene integridad de informacin precisa, informacin oportuna, confiable, alcanza metas, utiliza los recursos adecuadamente, es eficiente en el procesamiento de la informacin Es el examen o revisin de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a: eficiencia en el uso de los recursos informticos, validez de la informacin, efectividad de los controles establecidos Tomando como referencia a [4] La auditoria en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento dela informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.

La auditoria en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.

La auditoria en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).

Igualmente existen algunos tipos de auditoria diferentes a la que en el presente trabajo interesa, tales como auditoria financiera, auditoria econmica, auditoria operacional, auditoria fiscal, auditoria administrativa.

2.1.

Objetivos Generales de una Auditoria de Sistemas

Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados. Incrementar la satisfaccin de los usuarios de los sistemas computarizados.

Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de funcin informtica a las metas y objetivos de la organizacin. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico. Minimizar existencias de riesgos en el uso de tecnologa de informacin. Decisiones de inversin y gastos innecesarios. Capacitacin y educacin sobre controles en los sistemas de informacin. Justificaciones para efectuar una Auditoria de Sistemas Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos). Desconocimiento en el nivel directivo de la situacin informtica de la empresa. Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica. Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del recurso humano. Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin. 2.3. Planeacin de la auditoria en informtica

Para hacer una adecuada planeacin de la auditoria en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro d el organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditoria en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos:

1. Evaluacin de los sistemas y procedimientos.

2. Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

2.4.

Investigacin preliminar [4]

Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin.

Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos:

ADMINISTRACIN: Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica objetivos a corto y largo plazo, recursos materiales y tcnicos, solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas, estudios de viabilidad, nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados), fechas de instalacin de los equipos y planes de instalacin, contratos vigentes de compra, renta y servicio de mantenimiento, contratos de seguros, convenios que se tienen con otras instalaciones, configuracin de los equipos y capacidades actuales y mximas, planes de expansin, ubicacin general de los equipos, polticas de operacin, polticas de uso de los equipos.

SISTEMAS: Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin, manual de formas, manual de procedimientos de los sistemas, descripcin genrica, diagramas de entrada, archivos, salida, salidas, fecha de instalacin de los sistemas, proyecto de instalacin de nuevos sistemas.

En el momento de hacer la planeacin de la auditoria o bien su realizacin, se debe evaluar que pueden presentarse las siguientes situaciones.

Se solicita la informacin y se ve que:

No tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero:

No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa. En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa.

El xito del anlisis crtico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas.

No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados. 2.5. Personal participante

Una de las partes ms importantes dentro de la planeacin de la auditoria en informtica es el personal que deber participar y sus caractersticas.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la informacin que se solicite y programar las reuniones y entrevistas requeridas.

ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las caractersticas deseadas.

Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realizacin de la auditoria se deben tener personas con las siguientes caractersticas:

Tcnico en informtica. Experiencia en el rea de informtica.

Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes. En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas.

Una vez que se ha hecho la planeacin, se puede utilizar un formato en el que figura el organismo, las fases y subfases que comprenden la descripcin de la actividad, el nmero de personas participantes, las fechas estimadas de inicio y terminacin, el nmero de das hbiles y el nmero de das/ hombre estimado. El control del avance de la auditoria se puede llevar mediante un informe, el cual nos permite cumplir con los procedimientos de control y asegurar que el trabajo se est llevando a cabo de acuerdo con el programa de auditoria, con los recursos estimados y en el tiempo sealado en la planeacin.

2.6.

Pasos a seguir

Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas rena evidencia, evale fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignacin adecuada de recursos para realizar el trabajo de auditoria adems de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.

2.7.

Informe

Despus de realizar los pasos anteriores y de acuerdo a los resultados obtenidos, el auditor realizar un informe resultante con observaciones y7o aclaraciones para llevara cabo dentro de las reas involucradas para el mejor funcionamiento del sistema.

3.

ESTNDARES DE SEGURIDAD DE LA INFORMACIN

ISO/IEC 27000-series: La serie de normas ISO/IEC 27000 son estndares de seguridad publicados por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).

La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI).

COBIT: Objetivos de Control para la informacin y Tecnologas relacionadas (COBIT, en ingls: Control Objectives for Information and related Technology) es un conjunto de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditoria y Control de Sistemas de Informacin, (ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute) en 1992.

La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del da a da de los gestores de negocios (tambin directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas d e Informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin.

ITIL: La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de Tecnologas de Informacin"), frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la informacin (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de gua para que abarque toda infraestructura, desarrollo y operaciones de TI.

4.

BIBLIOGRAFA

[1] Wikipedia. "Seguridad Informtica". Disponible: http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica [citado el 17 de Mayo de 2008]

[2] Wikipedia. "Seguridad de la informacin" Disponible: http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n [citado el 17 de Mayo de 2008]

[3] Google. "Sistemas de Informacin Gerencial". Disponible: http://books.google.com.co/books?id=KD8ZZ66PFgC&printsec=frontcover&dq=SISTEMAS+DE+INFORMACI%C3%93N+GERENCIAL+%2B+KENNET H&lr=&source=gbs_summary_r&cad=0#PPA455,M1 [citado 17 de Mayo de 2008]

[4] Gerencie.com. "Auditoria de sistemas de informacin". Disponible: http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html [citado 17 de Mayo de 2008]

[5] Monografas.com. "Conceptos de la auditoria de sistemas" Disponible: http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml [citado 17 de Mayo de 2008]