Salvaguardas y medidas de seguridad de la información
La norma ISO/IEC 27002/2005: se encuentra dividida en 11 diferentes capítulos que definen las áreas necesarias para garantizar la seguridad de la información y que en total consta de 133 controles:
- Política de seguridad de la información: se justifica la importancia que ocupa la elaboración de una buena política de seguridad que haya sido previamente aprobada por la dirección, comunicada a todo el personal, revisada de forma periódica y actualizada con los cambios que se producen tanto en el interior como en el exterior. Está compuesto por 2 controles.
- Organización de la seguridad de la información: Se acualiza y mantiene actualizada la cadena de contactos con el mayor detalle posible y se definen los derechos y obligaciones de cualquiera de los involucrados. Lo que se busca es estructurar un marco de seguridad eficiente tanto mediante los roles, tareas, seguridad, etc, como en los dispositivos móviles. Está compuesto de 11 controles.
- Administración de recursos: todo recurso debe estar perfectamente inventariado con el máximo detalle posible, se debe documentar el “uso adecuado de los recursos” y toda la información debe ser tratada de acuerdo a su nivel. Está compuesto por 5 controles.
- Seguridad de los Recursos Humanos: La gran mayoría de los incidentes provocados en las organizaciones tienen su origen en un error humano. Por ello, se debe concienciar y formar al personal del empleo de la información en el desarrollo de las actividades y la importancia que tiene la información en el desarrollo de sus actividades. Está compuesto de 9 controles.
- Seguridad física y del entorno: Se deben proteger las áreas de seguridad (seguridad física y perimetral, control físico de entradas, seguridad de locales edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga) y además debe haber una seguridad de elementos (ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software). Está compuesto por 13 controles.
- Administración de las comunicaciones y operaciones: Tiene un marcado componente técnico centrado en todos los aspectos disponibles como la protección del software malicioso, copias de seguridad, control de software en explotación, gestión de vulnerabilidad, etc.
Además, partiendo de la base de que la gran mayoría de los intercambios de información y de datos en distintas escalas se llevan a cabo mediante las redes sociales, garantizar la seguridad y proteger de forma adecuada los medios de transmisión de estos datos es clave. Está compuesto por 32 controles. - Control de accesos: debe regular que el usuario autenticado, acceda únicamente a los recursos sobre los cuales tenga derecho y a ningún otro. Está compuesto por 25 controles.
- Adquisición de sistemas de información, desarrollo y mantenimiento: La seguridad no es un aspecto de un área en concreto, ni de un determinado proceso, sino que abarca toda la organización y tiene que estar presente como elemento transversal clave dentro del ciclo de vida del sistema de gestión. Está compuesto por 16 controles.
- Administración de los incidentes de seguridad: trata de poner de manifiesto es que ante un incidente, quien no posea la capacidad suficiente solo puede “Proceder y proteger”, es decir cerrar, apagar, desconectar, etc...con ello momentáneamente solucionará el problema, pero al volver sus sistemas al régimen de trabajo normal el problema tarde o temprano volverá pues no se erradicaron sus causas. La segunda opción, en cambio, propone verdaderamente “Convivir con el enemigo”, y permite ir analizando paso a paso su accionar, llegar a comprender todo el detalle de su tarea y entonces sí erradicarlo definitivamente. Por supuesto este último trabajo, requiere estar preparado y contar con los medios y recursos suficientes. Está compuesto por 5 controles.
- Administración de la continuidad de negocio: tiene como objetivo contemplar todas las medidas tendientes a que los sistemas no hagan sufrir interrupciones sobre la actividad que realiza la empresa. Hoy en día los sistemas informáticos son uno de los pilares fundamentales de toda empresa, independientemente de la actividad que realice, ya se puede afirmar que no existe ninguna que no tenga un cierto grado de dependencia con estas tecnologías. Cualquier anomalía de sus sistemas repercute en el negocio de la empresa y por supuesto esto debería ser lo mínimo posible. Está compuesto por 5 controles.
- Marco legal y buenas prácticas: Es uno de los aspectos más débiles que en estos momentos posee la norma, pues la aplicación de la misma en cada País, debe estar de acuerdo a las bases y regulaciones legales del mismo, las cuales sólo son consideradas, una vez que las organizaciones de estandarización correspondientes adecuan el estándar Inglés a cada País respectivo. Está compuesto por 10 controles.
A diferencia de la primera (que es la que he expuesto anteriormente), la ISO/IEC 27002:2013 posee 14 dominios, 35 objetivos de control y 114 controles.
Las secciones discuten sobre la criptografía, seguridad de las comunicaciones y relaciones con proveedores (secciones 10, 13 y 15 respectivamente). Sin embargo, mientras que el nuevo estándar tiene tres secciones más, es de hecho, más corto y más centrado que el viejo. La antigua ISO tenía 106 páginas de contenido, mientras que la nueva solo tiene 78.
La ISO IEC 27002 2013 también tiene varias subsecciones nuevas. Estas nuevas subsecciones
discuten seguridad de gestión de proyectos (6.1.5), gestión de activos
(8.2.3), instalación de software (12.6.2), desarrollo seguro (14.2.1),
principios de ingeniería de sistemas seguros (14.2.5), entornos de
desarrollo seguros (14.2.6), pruebas de seguridad del sistema (14.2.8),
seguridad del proveedor (15.1.1, 15.1.2 y 15.1.3), la evaluación de los
eventos de seguridad (16.1.4), planificación, implementación y
verificación de la continuidad de la seguridad de la información
(17.1.1, 17.1.2 y 17.1.3), y el uso de las instalaciones redundantes de
procesamiento de la información (17.2.1).
Además, la mayoría de las secciones se han reescrito, al menos hasta cierto punto, y algunas secciones se han dividido o trasladado a otras secciones. Por ejemplo, la antigua sección 14 sobre continuidad comercial se ha reelaborado por completo. Además, las secciones anteriores sobre cómo organizar la seguridad (6), sobre comunicaciones y operaciones (10), y control de acceso (11) fueron completamente reelaboradas, divididas y trasladadas a otras secciones más adecuadas. Y la vieja sección introductoria 4 sobre la gestión del riesgo se eliminó por completo, presumiblemente porque ISO/IEC 27005 e ISO 31000 ahora discuten esto en detalle y, por lo tanto, ISO/IEC 27002 no necesita cubrir el mismo tema.
También ha habido algunos cambios en la terminología. Privilegios se han convertido en los derechos de acceso privilegiado , la palabra contraseñas ha sido en gran parte reemplazado por la frase secreta información de autenticación , los usuarios de terceros ahora se conocen como externos partido usuarios, el verbo cheque ha sido reemplazado por verificar, código malicioso ahora es malware, los registros de auditoría ahora son registros de eventos, las transacciones en línea ahora se conocen como transacciones de servicios de aplicaciones, etc.
Respecto a la segunda actividad, tenemos el cuadro siguiente con la ISO/IEC 27002/2013, donde el riesgo total de dominio es de 36,6:
A continuación tenemos también un diagrama de sectores representándolo:
Respecto a los riesgos cubiertos en el dominio de los Recursos Humanos tenemos:
El total de riesgo en este dominio sería de 28,6.
Respecto a la elección de otro dominio he escogido el que me parecía más interesante que es el control de accesos.
No se debe confundir la actividad de control de accesos con autenticación, esta última tiene por misión identificar que verdaderamente “sea, quien dice ser”. El control de acceso es posterior a la autenticación y debe regular que el usuario autenticado, acceda únicamente a los recursos sobre los cuales tenga derecho y a ningún otro, es decir que tiene dos tareas derivadas:
• Encauzar (o enjaular) al usuario debidamente.
• Verificar el desvío de cualquier acceso, fuera de lo correcto.
El control de acceso es una de las actividades más importantes de la arquitectura de seguridad de un sistema. Al igual que sucede en el mundo de la seguridad física, cualquiera que ha tenido que acceder a una caja de seguridad bancaria vivió como a medida que uno de llegando a áreas de mayor criticidad, las medidas de control de acceso se incrementan, en un sistema informático debería ser igual. Para cumplir con este propósito, este apartado lo hace a través de veinticinco controles, que los agrupa de la siguiente forma:
- Requerimientos de negocio para el control de accesos: Debe existir una Política de Control de accesos documentada, periódicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo.
- Administración de accesos de usuarios: Tiene como objetivo asegurar el correcto acceso y prevenir el no autorizado y, a través de cuatro controles, exige llevar un procedimiento de registro y revocación de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizando periódicas revisiones a intervalos regulares, empleando para todo ello procedimientos formalizados dentro de la organización.
- Responsabilidades de usuarios: Todo usuario dentro de la organización debe tener documentadas sus obligaciones dentro de la seguridad de la información de la empresa. Independientemente de su jerarquía, siempre tendrá alguna responsabilidad a partir del momento que tenga acceso a la información. Evidentemente existirán diferentes grados de responsabilidad, y proporcionalmente a ello, las obligaciones derivadas de estas funciones. Lo que no puede suceder es que algún usuario las desconozca. Como ningún ciudadano desconoce por ejemplo, las medidas de seguridad vial, pues el tráfico sería caótico (¿más aún????), de igual forma no es admisible que el personal de la empresa no sepa cuál es su grado de responsabilidad en el manejo de la información de su nivel. Por lo tanto de este ítem se derivan tres actividades:
• Identificar niveles y responsabilidades.
• Documentarlas correctamente.
• Difundirlas y verificar su adecuada comprensión.
Para estas actividades propone tres controles, orientados a que los usuarios deberán aplicar un correcto uso de las contraseñas, ser conscientes del equipamiento desatendido (por lugar, horario, lapsos de tiempo, etc.) y de las medidas fundamentales de cuidado y protección de la información en sus escritorios, medios removibles y pantallas.
- Control de acceso a redes: Todos los servicios de red deben ser susceptibles de medidas de control de acceso; para ello a través de siete controles, en este grupo se busca prevenir cualquier acceso no autorizado a los mismos.
Como primer medida establece que debe existir una política de uso de los servicios de red para que los usuarios, solo puedan acceder a los servicios específicamente autorizados. Luego se centra en el control de los accesos remotos a la organización, sobre los cuales deben existir medidas apropiadas de autenticación.
Un punto sobre el que merece la pena detenerse es sobre la identificación de equipamiento y de puertos de acceso. Este aspecto es una de las principales medidas de control de seguridad. En la actualidad se poseen todas las herramientas necesarias para identificar con enorme certeza las direcciones, puertos y equipos que pueden o no ser considerados como seguros para acceder a las diferentes zonas de la empresa. Tanto desde una red externa como desde segmentos de la propia organización. En los controles de este grupo menciona medidas automáticas, segmentación, diagnóstico y control equipamiento, direcciones y de puertos, control de conexiones y rutas de red. Para toda esta actividad se deben implementar: IDSs, IPSs, FWs con control de estados, honey pots, listas de control de acceso, certificados digitales, protocolos seguros, túneles, etc... Es decir, existen hoy en día muchas herramientas para implementar estos controles de la mejor forma y eficientemente, por ello, tal vez este sea uno de los grupos que más exigencia técnica tiene dentro de este estándar.
- Control de acceso a sistemas operativos: El acceso no autorizado a nivel sistema operativo presupone uno de los mejores puntos de escalada para una intrusión; de hecho son los primeros pasos de esta actividad, denominados “Fingerprintig y footprinting”, pues una vez identificados los sistemas operativos, versiones y parches, se comienza por el más débil y con solo conseguir un acceso de usuario, se puede ir escalando en privilegios hasta llegar a encontrar el de ”root”, con lo cual ya no hay más que hablar. La gran ventaja que posee un administrador, es que las actividades sobre un sistema operativo son mínimas, poco frecuentes sus cambios, y desde ya que no comunes a nivel usuario del sistema, por lo tanto si se saben emplear las medidas adecuadas, se puede identificar rápidamente cuando la actividad es sospechosa, y en definitiva es lo que se propone en este grupo: Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones y por último verificaciones de empleo de utilidades de los sistemas operativos que permitan realizar acciones “interesantes”.
- Control de acceso a información y aplicaciones: En este grupo, los dos controles que posee están dirigidos a prevenir el acceso no autorizado a la información mantenida en las aplicaciones. Propone redactar, dentro de la política de seguridad, las definiciones adecuadas para el control de acceso a las aplicaciones y a su vez el aislamiento de los sistemas sensibles del resto de la infraestructura. Este último proceder es muy común en sistemas críticos (Salas de terapia intensiva, centrales nucleares, servidores primarios de claves, sistemas de aeropuertos, militares, etc.), los cuales no pueden ser accedidos de ninguna forma vía red, sino únicamente estando físicamente en ese lugar. Por lo tanto si se posee alguna aplicación que entre dentro de estas consideraciones, debe ser evaluada la necesidad de mantenerla o no en red con el resto de la infraestructura.
- Movilidad y teletrabajo: Esta nueva estructura laboral, se está haciendo cotidiana en las organizaciones y presenta una serie de problemas desde el punto de vista de la seguridad:
• Accesos desde un ordenador de la empresa, personal o público.
• Posibilidades de instalar o no, medidas de hardware/software seguro en el ordenador remoto.
• Canales de comunicaciones por los cuales se accede (red publica, privada, GPRS, UMTS, WiFi, Túnel, etc.).
• Contratos que se posean sobre estos canales.
• Personal que accede: propio, tercerizado, o ajeno.
• Lugar remoto: fijo o variable.
• Aplicaciones e información a la que accede.
• Nivel de profundidad en las zonas de red a los que debe acceder.
• Volumen y tipo de información que envía y recibe.
• Nivel de riesgo que se debe asumir en cada acceso.
Cada uno de los aspectos expuestos merece un tratamiento detallado y metodológico, para que no surjan nuevos puntos débiles en la estructura de seguridad.
La norma no entra en mayores detalles, pero de los dos controles que propone se puede identificar que la solución a esto es adoptar una serie de procedimientos que permitan evaluar, implementar y controlar adecuadamente estos aspectos en el caso de poseer accesos desde ordenadores móviles y/o teletrabajo.
Además, la mayoría de las secciones se han reescrito, al menos hasta cierto punto, y algunas secciones se han dividido o trasladado a otras secciones. Por ejemplo, la antigua sección 14 sobre continuidad comercial se ha reelaborado por completo. Además, las secciones anteriores sobre cómo organizar la seguridad (6), sobre comunicaciones y operaciones (10), y control de acceso (11) fueron completamente reelaboradas, divididas y trasladadas a otras secciones más adecuadas. Y la vieja sección introductoria 4 sobre la gestión del riesgo se eliminó por completo, presumiblemente porque ISO/IEC 27005 e ISO 31000 ahora discuten esto en detalle y, por lo tanto, ISO/IEC 27002 no necesita cubrir el mismo tema.
También ha habido algunos cambios en la terminología. Privilegios se han convertido en los derechos de acceso privilegiado , la palabra contraseñas ha sido en gran parte reemplazado por la frase secreta información de autenticación , los usuarios de terceros ahora se conocen como externos partido usuarios, el verbo cheque ha sido reemplazado por verificar, código malicioso ahora es malware, los registros de auditoría ahora son registros de eventos, las transacciones en línea ahora se conocen como transacciones de servicios de aplicaciones, etc.
Respecto a la segunda actividad, tenemos el cuadro siguiente con la ISO/IEC 27002/2013, donde el riesgo total de dominio es de 36,6:
Respecto a los riesgos cubiertos en el dominio de los Recursos Humanos tenemos:
Respecto a la elección de otro dominio he escogido el que me parecía más interesante que es el control de accesos.
No se debe confundir la actividad de control de accesos con autenticación, esta última tiene por misión identificar que verdaderamente “sea, quien dice ser”. El control de acceso es posterior a la autenticación y debe regular que el usuario autenticado, acceda únicamente a los recursos sobre los cuales tenga derecho y a ningún otro, es decir que tiene dos tareas derivadas:
• Encauzar (o enjaular) al usuario debidamente.
• Verificar el desvío de cualquier acceso, fuera de lo correcto.
El control de acceso es una de las actividades más importantes de la arquitectura de seguridad de un sistema. Al igual que sucede en el mundo de la seguridad física, cualquiera que ha tenido que acceder a una caja de seguridad bancaria vivió como a medida que uno de llegando a áreas de mayor criticidad, las medidas de control de acceso se incrementan, en un sistema informático debería ser igual. Para cumplir con este propósito, este apartado lo hace a través de veinticinco controles, que los agrupa de la siguiente forma:
- Requerimientos de negocio para el control de accesos: Debe existir una Política de Control de accesos documentada, periódicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo.
- Administración de accesos de usuarios: Tiene como objetivo asegurar el correcto acceso y prevenir el no autorizado y, a través de cuatro controles, exige llevar un procedimiento de registro y revocación de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizando periódicas revisiones a intervalos regulares, empleando para todo ello procedimientos formalizados dentro de la organización.
- Responsabilidades de usuarios: Todo usuario dentro de la organización debe tener documentadas sus obligaciones dentro de la seguridad de la información de la empresa. Independientemente de su jerarquía, siempre tendrá alguna responsabilidad a partir del momento que tenga acceso a la información. Evidentemente existirán diferentes grados de responsabilidad, y proporcionalmente a ello, las obligaciones derivadas de estas funciones. Lo que no puede suceder es que algún usuario las desconozca. Como ningún ciudadano desconoce por ejemplo, las medidas de seguridad vial, pues el tráfico sería caótico (¿más aún????), de igual forma no es admisible que el personal de la empresa no sepa cuál es su grado de responsabilidad en el manejo de la información de su nivel. Por lo tanto de este ítem se derivan tres actividades:
• Identificar niveles y responsabilidades.
• Documentarlas correctamente.
• Difundirlas y verificar su adecuada comprensión.
Para estas actividades propone tres controles, orientados a que los usuarios deberán aplicar un correcto uso de las contraseñas, ser conscientes del equipamiento desatendido (por lugar, horario, lapsos de tiempo, etc.) y de las medidas fundamentales de cuidado y protección de la información en sus escritorios, medios removibles y pantallas.
- Control de acceso a redes: Todos los servicios de red deben ser susceptibles de medidas de control de acceso; para ello a través de siete controles, en este grupo se busca prevenir cualquier acceso no autorizado a los mismos.
Como primer medida establece que debe existir una política de uso de los servicios de red para que los usuarios, solo puedan acceder a los servicios específicamente autorizados. Luego se centra en el control de los accesos remotos a la organización, sobre los cuales deben existir medidas apropiadas de autenticación.
Un punto sobre el que merece la pena detenerse es sobre la identificación de equipamiento y de puertos de acceso. Este aspecto es una de las principales medidas de control de seguridad. En la actualidad se poseen todas las herramientas necesarias para identificar con enorme certeza las direcciones, puertos y equipos que pueden o no ser considerados como seguros para acceder a las diferentes zonas de la empresa. Tanto desde una red externa como desde segmentos de la propia organización. En los controles de este grupo menciona medidas automáticas, segmentación, diagnóstico y control equipamiento, direcciones y de puertos, control de conexiones y rutas de red. Para toda esta actividad se deben implementar: IDSs, IPSs, FWs con control de estados, honey pots, listas de control de acceso, certificados digitales, protocolos seguros, túneles, etc... Es decir, existen hoy en día muchas herramientas para implementar estos controles de la mejor forma y eficientemente, por ello, tal vez este sea uno de los grupos que más exigencia técnica tiene dentro de este estándar.
- Control de acceso a sistemas operativos: El acceso no autorizado a nivel sistema operativo presupone uno de los mejores puntos de escalada para una intrusión; de hecho son los primeros pasos de esta actividad, denominados “Fingerprintig y footprinting”, pues una vez identificados los sistemas operativos, versiones y parches, se comienza por el más débil y con solo conseguir un acceso de usuario, se puede ir escalando en privilegios hasta llegar a encontrar el de ”root”, con lo cual ya no hay más que hablar. La gran ventaja que posee un administrador, es que las actividades sobre un sistema operativo son mínimas, poco frecuentes sus cambios, y desde ya que no comunes a nivel usuario del sistema, por lo tanto si se saben emplear las medidas adecuadas, se puede identificar rápidamente cuando la actividad es sospechosa, y en definitiva es lo que se propone en este grupo: Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones y por último verificaciones de empleo de utilidades de los sistemas operativos que permitan realizar acciones “interesantes”.
- Control de acceso a información y aplicaciones: En este grupo, los dos controles que posee están dirigidos a prevenir el acceso no autorizado a la información mantenida en las aplicaciones. Propone redactar, dentro de la política de seguridad, las definiciones adecuadas para el control de acceso a las aplicaciones y a su vez el aislamiento de los sistemas sensibles del resto de la infraestructura. Este último proceder es muy común en sistemas críticos (Salas de terapia intensiva, centrales nucleares, servidores primarios de claves, sistemas de aeropuertos, militares, etc.), los cuales no pueden ser accedidos de ninguna forma vía red, sino únicamente estando físicamente en ese lugar. Por lo tanto si se posee alguna aplicación que entre dentro de estas consideraciones, debe ser evaluada la necesidad de mantenerla o no en red con el resto de la infraestructura.
- Movilidad y teletrabajo: Esta nueva estructura laboral, se está haciendo cotidiana en las organizaciones y presenta una serie de problemas desde el punto de vista de la seguridad:
• Accesos desde un ordenador de la empresa, personal o público.
• Posibilidades de instalar o no, medidas de hardware/software seguro en el ordenador remoto.
• Canales de comunicaciones por los cuales se accede (red publica, privada, GPRS, UMTS, WiFi, Túnel, etc.).
• Contratos que se posean sobre estos canales.
• Personal que accede: propio, tercerizado, o ajeno.
• Lugar remoto: fijo o variable.
• Aplicaciones e información a la que accede.
• Nivel de profundidad en las zonas de red a los que debe acceder.
• Volumen y tipo de información que envía y recibe.
• Nivel de riesgo que se debe asumir en cada acceso.
Cada uno de los aspectos expuestos merece un tratamiento detallado y metodológico, para que no surjan nuevos puntos débiles en la estructura de seguridad.
La norma no entra en mayores detalles, pero de los dos controles que propone se puede identificar que la solución a esto es adoptar una serie de procedimientos que permitan evaluar, implementar y controlar adecuadamente estos aspectos en el caso de poseer accesos desde ordenadores móviles y/o teletrabajo.
Comentarios
Publicar un comentario