Gestión y Administración de la seguridad
Tema 1. Introducción
Abreviaturas
- AA PP: Administraciones públicas
- A P: Administración pública
- T.I: Tecnologías de la información
- GDT: Grupo de delitos telemáticos
- UIT: Unidad de investigación tecnológica
- MCCD: Mando conjunto de ciberdefensa
- CCN: Centro Criptológico Nacioanl
- CNI: Centro Nacional de Inteligencia
- INCIBE: Instituto Nacional de Ciberseguridad
- CNPIC: Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad
- CERT: Computing Emergency Response Team
- CSIRT: Computing Security Incident Response Team
- SOC: Security Operation Center
Objetivos
Veremos cómo se gestion la seguridad de la información en España. Los procesos de normalización, certficación y acredetiación de productos y sistemas.
Se dominarán las normas referentes a sistemas de gestión de la seguridad de la información.
También se conocerá la normativa legal de la ciberseguridad. Conoceremos los criterios de evaluación y certificación de la seguridad, y se elaborará una auditoría de seguridad.
Temas
- Gestión de seguridad en España
- Normalización, certificación y acreditación
- SGSI
- Evaluación y certificación de sistemas y productos
- Marco Legal de Ciberseguridad
- Auditoría de la Ciberseguridad
Documentos importantes
- EN-ISO/IEC 27000:2014
- EN-ISO/IEC 27001:2014
- EN-ISO/IEC 27002:2015
1. Gestión de la seguridad en España
1. Estrategia de seguridad nacional. Estrategia nacional de ciberseguridad
LEY 36/2015 SEGURIDAD NACIONAL
Ámbitos de especial interés de seguridad nacional, los que requieren atención específica entre otros, la ciberseguridad.
Estrategia de seguridad nacional
Capítulo 4. Amenazas y desafíos para la seguridad nacional
- Amenazas y desafíos que se desarrollan en espacios comunes globales. Vulnerabilidad del ciberespacio.
- Ciberamenazas: disrupciones o manipulaciones maliciosas que afectan a las tecnologías.
- Uso ilegítimo: actividades ilícitas, desinformación, propaganda, financiación del terrorismo.
Ejemplos: robo de datos, ransomware, hackeo de dispositivos móviles o IoT.
- Amenazas sobre infraestructuras críticas.
R.D. LEY 14/2019. Medidas urgentes
Parte expostivia, desafíos nuevas tecnologías plantean (para seguridad pública):
- Desinformación
- Interferencias en procesos de participación política
- Espionaje
LEY 8/2011. PROTECCIÓN INFRAESTRUCTURAS CRÍTICAS
Son servicios esenciales aquellos que mantienen funciones sociales básicas, y permiten el eficaz funcionamiento de las instituciones del estado y las AA PP.
Son infraestructuras estratégicas instalaciones, redes, sistemas físicos y de T.I sobre que descansa funcionamiento de los servicios esenciales.
Son infraestructuras críticas aquellas estratégicas cuyo funcionamiento es indispensable y no tienen soluciones alternativas.
ENCS 2019. Capítulo 1
Contribuir a promoción de ciberespacio seguro y fiable desde enfoque multidisciplinar. Las características del ciberespacio son las siguientes:
* Ausencia de soberanía +----+
* Débil jurisdicción +-----> Desafíos
* Facilidad de acceso |
* Dificultad de atribución +----+ENCS 2019. Capítulo 2
Distinas amenazas:
- Ciberamenazas
- Amenazas que usan el ciberespacio como medio para actividades maliciosas e ilícitas.
CIBERDELINCUENCIA
Aquellas actividades delictivas realizadas con ayuda de las redes y los sistemas de información o contra estos.
1. Gestión de la seguridad en España. Organismos responsables de la ciberseguridad
Principales Agentes
Está el Consejo Nacional de seguridad, del que cuelga el consejo nacional de Ciberseguridad.
La presidencia del gobierno que tiene el departamento de seguridad nacional.
Y finalmente el ministerio del interior, que tienen el GDT de la guardia civil, y el UIT de policía
El ministerio de defensa cuenta con varios agentes de la ciberseguridad, entre ellos está:
-
MCCD: estos planean y ejecutan acciones relativas a la ciberdefensa militar, dan respuesta oportuna, legítima y proporcionada en ciberespacio.
-
CCN-CERT: tiene como responsabilidad los sistemas clasificados de las AA PP y empresas de interés estratégico. Es un centro de alerta y respuesta nacioanl. Coopera y ayuda en respuesta rápida
El ministerio de energía, turismo y agenda digital también tienen un agente de ciberseguridad:
-
INCIBE: es una sociedad estatal para sistemas de información y agenda digital, con un ámbito para los ciudadanos y empresas. Sus objetivos son la protección de usuarios de internet y TIC. Establecer mecanismos de prevención y reacción. Promover cultura de seguridad de la información y minimizar el impacto de incidentes de seguridad.
-
INCIBE-CERT: El CERT de INCIBE para la prevención, mitigación y respuesta ante incidentes en ámbito empresarial y de ciudadanos.
Finalmente el ministerio del interior cuenta con:
- CNPIC
Oficina de coordinación cibernética
Es un órgano técnico para coordinar la ciberseguridad dependiente del ministerio del interior.
CERT Gubernamentales Españoles
Está el centro de respuesta ante incidentes del Ministerio de Defensa el DEF-CERT.
El que tiene capacidad de respuesta a incidentes de seguridad de la información del CCN/CNI es el CCN/CERT o CERT Gubernamental
Finalmente, el centro de respuesta a incidentes de seguridad e industria el INCIBE-CERT (Coordinado con el CNPIC).
Centro Criptológico Nacional
Coordinador en emergencia de la respuesta de CSIRT del sector público. Enlace entre CSIRT de AA PP con los CSIRT internacionales.
SOC Gubernamentales
El centro de operaciones de ciberseguridad de la AGE y organismos públicos. Que viene del SOC MPTFP (operado por el CCN).
Tema 2. Normalización, Certificación y Acreditación
Abreviaturas
- ANSI: American National Standards Institute.
- UNE: Una Norma Española (anteriormente AENOR)
- AENOR: Asociación Española de Normalización (Antiguamente).
- ENAC: Entidad Nacional de Acreditacion
- IEC: Comisión Electrotécnica Internacional
- ISO: Organización Internacional de Normas
- TS: Especificación Técnica
- TR: Informe Técnico
- IS: Estandar Internacional
- TC: Comité Técnico
- SC: Subcomité
- WG: Grupo de Trabajo
- UIT: Unión Internacional de las telecomunicaciones
- UIT-T: Unión Internacional de las telecomunicaciones sector telecomunicaciones.
- UIT-R: Unión Internacional de las telecomunicaciones sector radiocomunicaciones.
- UIT-D: Unión Internacional de las telecomunicaciones sector desarrollo de telecomunicaciones.
- CEN: comité europeo de normalización
- CENELEC: comité europeo de normalización electrónica
- ETSI: Instituto Europeo de Normalización de las telecomunicaciones
- CWA: CEN Worshop Agreement
- IETF: Internet Engineering Task Force
- IEEE: Institute of Electrical and Electronics Engineers
- W3C: World Wide Web Consortium
La normalización
Proceso de simplificación para una reducción de modelos, la unificación de modelos por su interoperabilidad y la especificación para la disminución de errores.
Por ejemplo el "Mars Climate" se estrelló en Marte debido a un error de distancias al no traducir de kilómetros a millas.
El Marco legal Europeo
Resolución del consejo de 7/5/1985, nueva aproximacón en materia de armonización y normalización.
Marco Legal Español
Ley 21/1992 de industria. Real decreto 2200/1995. Reglamento de infraestructura para calidad y seguridad industrial (modificado por real decreto 338/2010 y 1072/2015).
Real decreto 1337/1999 que regula la remisión de información acerca de normas.
Norma (IMPORTANTE!!!)
Es una especificación técnica de aplicación repetitiva o continuada, observancia no obligatoria. Establecida con participación de todas las partes interesadas, la aprueba un organismo reconocido a nivel nacional o internacional.
Entidades de normalización internacionales
- En 1901 era el bsi.
- En 1916 se creó el ANSI.
- En 1917 el DIN
Entidades españolas de normalización IMPORTANTE!!!!!
En España desde 1945 hasta 1986 era el IRANOR, pero tras ese año pasó a llamarse AENOR hasta 2016.
En 2017 AENOR se separó en dos partes convirtiendose en:
- UNE: entidad privada sin animo de lucro designada para actividades de normalización.
- Y la AENOR Internacional para actividades de evaluación de la conformidad (Certificación).
Organismos de normalización
En su artículo 10, se habla el separar jurídicamente las actividades de normalización de la evaluación.
Certificación (IMPORTANTE!!!)
Actividad que permite establecer conformidad de determinada empresa, producto, proceso o servicio con requisitos definidos en normas o especificaciones.
Entidades de Certificación
Personas naturales o jurídicas que establecen la conformidad tanto de empresas, productos, etc, con normas o especificaciones técnicas.
Estas entidades deben estar acreditadas por una entidad de acreditación, tampoco pueden certificar si han actuado como asesoras o consultoras de esa certificación.
Ensayo (o evaluación en nuestro sector, IMPORTANTE!!!)
Es una operación que consiste en el examen o comprobación para una certificación, con el equipo adecuado, donde se prueban una o más propiedades de un producto, proceso o servicio, de acuerdo a un procedimiento.
Laboratorios de ensayo (o de evaluación)
Son personas naturales o jurídicas, imparciales que actúan con solvencia técnica, comprueban voluntariamente que se cumplen las normas o especificaciones.
Estos laboratorios deben ser acreditados por una entidad de acreditación.
Acreditación (IMPORTANTE!!!)
Declaración por organismo de acreditación que entidades de certificación o laboratorio de ensayo, cumple requisitos fijados.
Entidades de Acreditación
Son entidades privadas sin ánimo de lucro, que acreditan en el ámbito estatal a Entidades de certificación y laboratorios de ensayo.
En España, existe la Entidad Nacional de Acreditación (ENAC) como único organismo nacional de acreditación, con potestad pública para otorgar acreditaciones.
ENAC
Es independiente y sin ánimo de lucro, tutelada por la administración, evalúa la competencia técnica de organismos de evaluación de conformidad.
Estructuras de certificación
Caso 1
+-------------------+
| Entidad de |
| Acreditación |
| |
+-------------------++
|
+-----------v
+-----------------------+
| |
| Entidad |
+------------->+ Certificadora |
| | |
| +-----------------------+
+-------------+------+ +-----------------------+
| Producto o | | |
| Servicio +<------+ Comprador/ |
| | | Regulador |
+---------+----------+ +-----------------------+
^
|
+---------+----------+
| |
| Proveedor |
| |
+--------------------+Caso 2
+-------------------+
| Entidad de |
| Acreditación |
| |
+--+----------------++
| |
v +-----------v
+----------+------+ +-----------------------+
| Laboratorio | | |
| de Evaluación +------------->+ Entidad |
| | | Certificadora |
+------------+----+ | |
^ +-----------------------+
+--------+-----------+ +-----------------------+
| Producto o | | |
| Servicio +<------+ Comprador/ |
| | | Regulador |
+---------+----------+ +-----------------------+
^
|
+---------+----------+
| |
| Proveedor |
| |
+--------------------+Norma Internacional
Es aquella adoptada por organismo internacional reconocido. Es puesta a disposición del público (pero no por ello es gratuita, ya que las normas ISO suelen costar entre 50 y 70€)
Normalización en el ámbito Internacional
Existe el IEC para las normas sobre electrotecnica y electrónica con unos 60 miembros y fundación en 1906.
El ISO para el resto de sectores de actividades, con unos 164 países miembros, y fundación en 1947.
Especificación Técnica (TS)
Es un documento ISO o IEC, y quizás futuro IS (International Standard) que su contenido está bajo desarrollo técnico, es dudoso que haya consenso para ser IS, o no hay acuerdo para ser IS.
Informe Técnico (TR)
Es un documento informativo, que contiene datos diferentes de los de un IS o TS (ejemplo encuestas y estados del arte).
Designación de Normas ISO
ISO [/IEC] [IS] nnnnn [-p]: [yyyy] Título
- /IEC: se incluye si norma proviene del JTC1
- IS: si es international standard
- nnnnn: número de la norma.
- -p: si norma tiene varias partes, para indicar cual
- yyyy: año de publiación (raramente no consta).
JTC 1 ISO/IEC. Mantenimiento de normas
Correcciones, ajustes y revisiones sistemáticas (al menos cada 5 años):
- Confirmación
- Revisión
- Estabilización
- Cancelación
ISO/IEC Organización de los trabajos
Tres grupos forman la organización:
-
Comités Técnicos (TC): desarrollan y revisan normas internacionales, pueden tener subcomités y grupos de trabajo.
-
Subcomités (SC): mismas atribuciones y autonomía que el TC, deben mantenerlo informado.
-
Grupos de trabajo (WG): creados para trabajos específicos.
El SC 27 es el de "Information Security, Cybersecurity and privacy protection" y cuenta con 5 grupos de trabajo.
Adopción de normas (ISO e IEC)
7 fases son las que sigue una norma para ser aprobada.
- Fase preliminar, elemento de trabajo preliminar (PWI), tiene que ser aprobada por mayoría de miembros de pleno derecho.
- Propuesta, o Nueva propuesta de documento de trabajo (NP), tiene que ser aprobada por mayoría de miembros de pleno derecho y 5 participantes o más, toma 3 meses.
- Preparación o borrador de trabajo (WD), se acepta por consenso, toma 6 meses.
- Comité, borrador de comité (CD) tiene que ser aprobado por más de 2/3 de miembros de pleno derecho, toma unos 12 meses.
- Encuesta, borrador de norma, debe ser aceptada por más de 2/3 de miembros de pleno derecho y tener menos de 1/4 en contra, lleva 5 meses.
- Voto formal, borrador final norma internacional (FDIS) debe ser aceptada por más de 2/3 de miembros de pleno derecho y tener menos de 1/4 en contra lleva 2 meses.
- Publicación o finalmente Norma Internacional (ISO, IEC, ISO/IEC), el total de fases lleva unos 36 meses.
Normalización. Ámbito internacional
Unión Internacional de las Telecomunicaciones (UIT)
Regular las telecomunicaciones a nivel internacional entre distintas administraciones y operadoras. Son miembros 192 países, 700 empresas y asociados. Es Agencia de la ONU.
Varios son los sectores que abarca:
- Telecomunicaciones (UIT-T)
- Radiocomunicaciones (UIT-R)
- Desarrollo Telecomunicaciones (UIT-D)
Dentro de las series de recomendaciones de la UIT-T la que nos interesa es la:
- Serie X: Data networks, open system communications and security.
Norma Europea
Adoptada por el CEN/CENELEC, es obligatoria su aceptación integra como norma nacional y es puesta a disposición del público (de nuevo no tiene por qué ser gratis).
Organismos Europeos de Normalización
Estos organismos son los siguientes:
- CEN
- CENELEC
- ETSI
El CEN/CENELEC tiene su sede en bruselas, y se aplica a los países de la UE y los tres de la AELC, pueden elaborar normas conjuntamente con ISO/IEC.
CEN/CENELEC FOCUS GROUP ON CYBERSECURITY
Es establecido por CEN y CENELEC, asesora en ámbito de normalización en seguridad de las T.I. Creado en 2016.
CWA
Especificación desarrollada y aprobada en CEN Workshop abierto a participación sin restricciones geográficas, tarda entre 10-12 meses, no es una norma CEN y no puede entrar en conflicto con una EN. Estas se usan a nivel tecnológico debido a la velocidad de desarrollo en las tecnologías y es comunmente aceptada.
Norma Nacional
Adoptada por organismo nacional de normalización y puesta a disposición del público.
En españa como organismo de normalización está UNE.
Esta es una entidad privada, independiente y sin ánimo de lucro, es el único organismo de normalización estatal y multisectorial, remite de manera mensual a la A.P. la relación de normas aprobadas y anuladas para su publicación en el BOE.
Designación de normas UNE
UNE [-EN] [-ISO/IEC] nnnnn [-p]: [yyyy] Título
- -EN: incluye si es adopción de una EN.
- -ISO/IEC: se incluye si es adopción de JTC1
- -nnnnn: número de la norma
- -p: sólo si norma tiene varias partes indica cuál es.
- yyyy: año de publicación.
Organización de trabajos de UNE
Existen 3 organizaciones como pasaba en ISO
- Comité técnico (CT): desarrolla y revisa normas, y pueden establecer subcomités y grupos de trabajo.
- Subcomité (SC): con mismas atribuciones y autonomías que el CT, debe mantenerle informado.
- Grupos de trabajo (GT): para trabajos específicos de CT o SC.
Hay varios subcomités relacionados con las tecnologías de la información, el subcomité técnico 27 que implicaba el de técnicas de seguridad, actualmente pasó a ser el comité técnico nacional 320, y por tanto sus grupos de trabajo pasaron a ser subcomités:
- SC1: sistemas de gestión de la ciberseguridad.
- SC2: criptografía y mecanismos de seguridad.
- SC3: evaluación, pruebas y especificaciones de seguridad.
- SC4: servicios de seguridad.
- SC5: protección de datos, privacidad y gestión de la identidad.
- SC6: seguridad de los productos.
Estándar o Norma de Facto
Este no es consensuado ni legitimado por un organismo oficial de normalización, es aceptado y ampliamente utilizado y puede acabar en estándar de iure. A menudo prevalece sobre iure, y son importantes en el ámbito de las T.I.
En la informática hay muchas normas de facto, por ejemplo:
- El IETF que publica las RFC.
- El IEEE que publica normas como la 802, 802.11, Posix.
- W3C.
Norma de Facto vs Norma de IURE
Como norma IURE existe el ISO/IEC 7498-1. Information technology - Open Systems Interconnection - Basic Reference Model: The Basic Model.
Este es explicado en dos normas de facto RFC.
RFC 793. Transmission Control Protocol y el RFC 791. Internet Protocol.
Estándar Abierto
Aquel público y su utilización sea totalmente gratuita o a coste que no suponga un dificil acceso.
Su uso y aplicación no está condicionado al pago de derecho de propiedad intelectual o industrial.
Tema 3.1 Sistemas de Gestión de la Seguridad de la Información
Abreviaturas
- PDCA: Plan-Do-Check-Act.
- COBIT: Control Objectives for Information and Related Technology.
- NIST: National Institute of Standard And Technology.
- SP: Special Publications.
- OC: Objetivo de control.
- EsR: Estimación de riesgo.
- AR: Análisis del riesgo.
- EvR: Evaluación del riesgo.
- AcR: Aceptación de riesgo.
- TR: Tratamiento del riesgo.
- RR: Riesgo residual.
- GR: Gestión del riesgo.
Gestión de las Organizaciones
Organización como sistema, conjunto de partes diversas (servicios, departamentos, etc) correlacionadas y coordinadas para alcanzar objetivos.
+-----------------------+
| |
+--->+ OBJETIVOS |
| | +<--------------------+
| +-----------+-----------+ |
| ^ ^-----------+ |
| | | |
| | | |
| | | |
+-------------+------+ | | |
| | | | +----------+--------+
| Departamento 1 +<------------------------------>+ |
| | | | | Servicio 1 |
+----+---------------+ | +------------------>+ |
^ | | | +-----------------+-+
| | | | ^
| | | | |
| | | | |
| +---------------+--v-+ | |
| | | | |
+-------->+ Departamento 2 | +---+-------------+ |
| | | | |
+---------------+----+ | Sección 1 +<-------+
^ | |
+------------>+-----------------+
Funciones básicas: planificación, organización, ejecución y Control.
Planificación (Plan Negocio)
Determina objetivos de la organización y establece estrategias para su logro. Existe a 3 niveles:
- Estratégico
Establece objetivos y metas a largo plazo, es responsabilidad de la alta dirección.
- Táctico
Establece objetivos y metas a medio plazo, enlaza niveles estratégicos y operativos. Es responsabilidad de directores de departamentos.
- Operativo
Establece objetivos y metas a corto plazo, objetivos específicos. Es responsabilidad de encargados de unidades y responsables de operaciones.
Organización y proceso de información
+------------------------+
| |
+----------+ Organización <-----------+
| | | |
| +------------------------+ |
Especificación Necesidad de
de procesos Información
| |
| |
| |
+------v--------------+ +-------------+--------+
| | Sistema de | |
| Procesos <------------------> Informaciones |
| | Información | |
+---------------------+ +----------------------+Organización
Adecúa recursos previstos en planificación para conseguir objetivos, este se relaciona con:
- Puestos de trabajo y función
- Organigramas
- Flujos de información
Ejecución
Implanta el plan de negocio, es función de los ejecutivos y debe corresponderse con las necesidades de los clientes.
Control
Conjunto de procedimientos para evaluar el rendimiento real, compararlo con objetivos fijados y corregir las diferencias.
Recursos
Dentro de una empresa tenemos 4 diferentes recursos: los humanos, los económicos, los materiales y los informativos.
Secrets and Lies. Bruce Schneier (Experto en criptografía)
Mantra of any good security engineer: "Security is not a procuct, but a process".
More than designing strong cryptography; it's designing entire system such that all security work together.
If you think technology can solve security problems, you don't understand the problems and you don't understand the technology.
Técnica frente a gestión
Seguridad mediante medios técnicos es limitada y puede que ineficaz sin gestión y procedimientos enmarcados en un SGSI.
Las medidas de seguridad según la época fueron:
- 196x: físicas.
- 197x: técnicas.
- 199x+: legales.
- 200x: gestión.
El Ciclo de Deming (IMPORTANTE!!!)
Es una espiral de mejora continua, Deming fue el creador del concepto "calidad total". El objetivo es el de elaborar estrategia de mejora continua de calidad.
Se le conoce como también como PDCA y vemos que esto se puede ver en sus fases:
+----------------+
| |
+------> Planificar +-------+
| | | |
| +----------------+ |
| |
| |
+------+-------+ +-------v-------+
| | | |
| Actuar | | Hacer |
| | | |
+------+-------+ +-------+-------+
^ |
| |
| +----------------+ |
| | | |
+------+ Verificar <-------+
| |
+----------------+Planificar es establecer objetivos y planificar logro.
Hacer es implementar los planes.
Verificar es evaluar resultados y comparar con los esperados.
Finalmente actuar es corregir desviaciones de resultados esperados.
Sistema de Gestión
Son actividades para planificar, dirigir, controlar y mejorar de manera continua dentro de estructura dada y usando recursos determinados.
+----------------+
| |
+------> Dirigir +-------+
| | | |
| +----------------+ | R
E | | E
S | | C
T +------+-------+ +-------v-------+ U
R | | | | R
U | Planificar | | Controlar | S
C | | | | O
T +------+-------+ +-------+-------+ S
U ^ |
R | |
A | +----------------+ |
| | | |
+------+ Mejorar <-------+
| |
+----------------+
Gestión de la seguridad
es la planificación, organización y administración del ciclo de vida de medidas de seguridad de organización.
Ciclo de vida de las medidas de seguridad
Actividades que llevan a desarrollar ciertas medidas de seguridad, implantarlas, mantenerlas y revisarlas.
+----------------+
| |
+------> Implementar +-------+
| | | |
| +----------------+ |
| |
| |
+------+-------+ +-------v-------+
| | | |
| Desarrollar | | Mantener |
| | | |
+------+-------+ +-------+-------+
^ |
| |
| +----------------+ |
| | | |
+------+ Revisar <-------+
| |
+----------------+
Sistemas de gestión de seguridad de la información
Vemos 3 principales:
- COBIT 5 muy usado en EEUU pero no en Europa.
Tiene 210 objetivos de control y 4 dominios. Un sistema de Metas y Métricas (quién, qué, cómo medir).
- Familia ISO 27000.
Principal que aquí trataremos.
- NIST, y la serie 800 del SP.
800-100. Information Security Handbook: A guide for Managers
800-61 r2. Computer Security Incident Handling Guide
800-30 r1. Guide for Conducting Risk Assessments
Introducción a la familia ISO/IEC 27XXX
Visión General y terminología
-
UNE-EN ISO/IEC 27000:2019. Vocabulario y un poco de todo el conjunto de los SGSI.
-
UNE-EN ISO/IEC 27001:2017. Requisitos para un SGSI.
-
ISO/IEC 27006:2015. Requisitos para una entidad certificadora o un auditor de la ISO 27001.
-
UNE-EN ISO/IEC 27002:2017. Recomendaciones para la obtención de la ISO 27001.
-
ISO/IEC 27003:2017. Guía de implementación de un SGSI.
-
ISO/IEC 27004:2016. Monitorización, medidas, análisis y evaluación.
-
ISO/IEC 27007:2020. Pautas para auditar un SGSI.
-
ISO/IEC 27037:2012. Pautas para la identificación, colección, adquisición y preservación de las evidencias digitales.
-
ISO/IEC 27011:2016. Pautas de SGSI para las organizaciones de telecomunicación basadas en ISO/IEC 27002.
-
ISO/IEC 27799:2016. Gestión de seguridad de la información en la salud usando la ISO/IEC 27002.
Definiciones
SGSI es la parte del sistema de gestión general basada en enfoque de riesgo empresarial, se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.
Política son las intenciones y dirección de organización como las expresa su alta dirección.
Requisitos mínimos de seguridad
Todos los órganos superiores de Administraciones públicas deberán disponer de política de seguridad, aprobada por titular del órgano superior correspondiente.
Política de seguridad
Documento de alto nivel que define qué significa "seguridad de la información" en la organización. Documento debe estar accesible por todos los miembros de organización y redactado de forma sencilla, precisa y comprensible. Breve y dejando detalles técnicos para otros documentos.
UNE-ISO/IEC 27000:2014. Definiciones.
PROCESO
Es el conjunto de actividades interrelacionadas o que interactúan, transforman elementos de entrada en elementos de salida.
+
|
| Recursos
v
+-----------------------+----------------------+
| |
| +-------------+ |
| | | |
| +-->+ Actividad 1+-------+ |
| | | | | |
+--------------->+ | +-------------+ | +------------>
| | v |
Entrada | | +-------+------+ | Salida
| +--v----------+ | | |
| | <------+ Actividad 2 | |
| | Actividad 2 | | | |
| | | +--------------+ |
| +-------------+ |
| |
+---------------------+------------------------+
^
|
| Controles
|
|
+
PROCEDIMIENTO
Forma especificada de llevar a cabo actividad o proceso.
ACTIVO
Componente o función de sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias: Información, recursos lógicos y físicos, personal, etc.
CONTROL
Medida que modifica un riesgo, puede ser cualquier acción que modifique un riesgo, y no siempre pueden proporcionar el efecto de modificación previsto.
Según la UNE-ISO/IEC 27000:2012. Puede ser físicos, técnicos de gestión o legales. Sinónimo de salvaguarda o contramedida.
+-----------------------------+
| |
| Amenazas | +---------------------+
| +--------------+ | Explotan | |
| | +-------------->+ Vulnerabilidades |
| | Ataques | | | |
| | | | ++--------------------+
| +--------------+ | ^
| | |
| | | +-----------------------+
+----------------+------------+ | | |
^ | | Activos |
| | | |
| Mitigan | +-----^-----------------+
| | Reducen | Protegen
+------+------------------------+------------+----+
| |
| Controles |
| |
+-------------------------------------------------+OBJETIVO DE UN CONTROL (OC)
qué se quiere lograr como resultado de controles.
REQUISITO
Necesidad o expectativa, está establecida, implícita u obligatoria.
REQUISITO ESPECIFICADO
Declarado, por ejemplo, información documentada.
NO CONFORMIDAD
Inclumplimiento de un requisitio.
ACCIÓN CORRECTIVA
Acción tomada para eliminar causa de no conformidad detectada y prevenir vuelva a ocurrir.
ACCIÓN PREVENTIVA
Acción tomada para eliminar causa de no conformidad potencial.
Controles. Actuación
PREVINIENDO
Minimizando probabilidad de ocurrencia.
DETECTANDO
Minimizando la propagación.
CORRIGIENDO
Minimizando el daño.
RECUPERANDO
Minimiza las consecuencias.
SEGURIDAD DE LA INFORMACIÓN
Preservación de confidencialidad, integridad y disponibilidad de la información. Esta puede comprender la autenticidad, responsabilidad, no repudio y fiabilidad.
Implica además, implementar controles mediante la gestión de riesgos elegido. Con el requisito de tener controles coherentes con procesos de negocio.
RIESGO
Es el efecto de incertidumbre sobre la consecución de objetivos, con un efecto de desviación positiva o negativa respecto a lo previsto. Se expresa en términos de combinación de consencuencias de un suceso y de su probabilidad.
Relaciona con la posibilidad de que las amenazas exploten vulnerabilidades de un activo o grupo de información.
+--------------------+
| |
| Daño +<---------+
| | |
+--------------------+ |
Susceptibles de
provocar
|
|
+----------------+ +-----------+------+
| | Explotan | |
| Amenazas +--------------->+ Vulnerabilidades |
| | | |
+----------------+ +------------------+IDENTIFICACIÓN DEL RIESGO
búsqueda, reconocimiento y descripción de los riesgos. Implica la identificación de fuentes de riesgo, sucesos, causas y consecuencias.
ESTIMACIÓN DE RIESGO (EsR)
Proceso para asignar valores a probabilidad y consecuencias de un riesgo.
ANÁLISIS DEL RIESGO (AR)
Proceso que permite comprender la natural del riesgo y determinal nivel. Proporciona las bases para evaluación y para tomar decisiones relativas al tratamiento del riesgo, incluye la estimación.
CRITERIOS DE RIESGO
Términos de referencia respecto a los que evalúa importancia de riesgo. Se basan en objetivos de organización y en contexto externo e interno.
EVALUACIÓN DEL RIESGO (EvR)
Comparación de resultados del análisis de riesgos con criterios de riesgo, determinar si el riesgo es aceptable o tolerable.
APRECIACIÓN DEL RIESGO
Proceso global, identificación, análisis y evaluación.
ACEPTACIÓN DE RIESGO (AcR)
Decisión informada de tomar un riesgo. Puede tener lugar sin que exista tratamiento o durante éste. Los aceptados deben seguirse y revisarse.
TRATAMIENDO DEL RIESGO (TR)
Proceso destinado a modificar el riesgo, puede implicar evitarlo, aceptarlo cambiando probabilidad o consecuencias, compartirlo con otra u otras partes.
En ocasiones suele llamarse "mitigación del riesgo", "eliminación del riesgo".
RIESGO RESIDUAL (RR)
Riesgo remanente después del tratamiento, también se conoce como riesgo retenido.
GESTIÓN DEL RIESGO (GR)
Actividades para dirigir y controlar una organización en lo relativo al riesgo.
DUEÑO DEL RIESGO
Persona o entidad tiene responsabilidad y autoridad para gestionar un riesgo.
EVENTO DE SEGURIDAD DE LA INFORMACIÓN
Ocurrencia detectada en estado de sistema, servicio o red que indica posible violación de política de seguridad, puede ser relevante para la seguridad.
INCIDENCIA DE SEGURIDAD DE LA INFORMACIÓN
Evento de seguridad inesperados o indeseados, probabilidad de comprometer la seguridad.
CONTINUIDAD DEL NEGOCIO
Procesos o procedimientos para asegurar continuidad de operaciones.
Organizaciones y la información
Las organizaciones precisan supervisar y evaluar eficacia de controles, identificar riesgos emergentes, seleccionar, implementar y mejorar controles.
SGSI
Parte del sistema de gestión general, enfoque de riesgo empresarial para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.
Enfoque sistemático para lograr seguridad de la información y alcanzar objetivos de negocio. Se basa en la apreciación del riesgo y nivel de aceptación del mismo.
Enfoque basado en procesos
Aplicación dentro de organización de sistema de procesos, así como identificación e interacción entre estos y su gestión.
+---------------------+
| Hacer (Implementar |
+------->+ y operar el SGSI) +---------+
| | | |
| +---------------------+ | S
R | | I
e | |
q | | G
u +------+----------+ +-----------v-------+ e
i | Planificar | | Verificar | s
s +------>+ (Crear el SGSI) | | (Supervisar y +----->t
i | | | re^isar el SGSI) | i
t +------^----------+ +-----------+-------+ o
o | | n
s | | a
| +----------------------+ | d
S | | Actuar (mantener y | | a
I +--------+ mejorar el SGSI) +<-------+
| |
+----------------------+
SGSI Beneficios
Satisfacer requisitos de seguridad de clientes y otras partes interesadas. Complicar con objetivos de seguridad, leyes y otras obligaciones. Gestionar activos de información facilitando mejora continua y adaptación dinámica a metas de organización y entorno.
Principios del SGSI
La concienciación, asignación de responsabilidades, compromiso de la dirección, seguridad por diseño, gestión de incidentes y evaluación y mejora continua.
SGSI. Establecimiento, supervisión, mantenimiento, mejora
Identificar activos y requisitos de seguridad. Apreciar riesgos. Seleccionar e implementar controles oportunos para riesgos inaceptables. Supervisar, mantener y mejorar la eficacia de controles asociados a activos.
Identificar activos y requisitos de seguridad
Conocer y Entender.
Activos y valor, necesidades de tratamiento de información para negocio, normativa legal y requisitos.
Apreciación de los riesgos
Identificar, cuantificar y priorizar riesgos (según criterios de aceptación y objetivos de organización). Análisis de riesgos y comparacińo de estimados con criterios de riesgos. Realización periódica. Interrelación con apreciaciones de riesgos.
Tratamiento del riesgo (para cada riesgo)
Opciones (considerando criterios de aceptación)
- Aplicar controles para reducirlos.
- Conocerlos y aceptarlos (constancia escrita).
- Evitarlos.
- Compartirlos con terceros.
Esto en base a:
- requisitos y obligaciones (legales)
- Objetivos de la organización
- Operacionales
- Costo de implantación, operación y mantenimiento (equilibrio frente a pérdidas).
+---------------------+
| |
+---------->+ Riesgo +<------+
| | | |
Deben| +---------------------+ Disminuye
estar| el |
equilibrados riesgo
| |
| |
+------v------------+ +---------+-----------+
| | Tiene un | |
| Coste +<-----------------+ Control |
| | Costo | |
+-------------------+ +---------------------+Las consideraciones a tomar son las siguientes: los controles deben integrarse en diseño y especificaciones. La selección e implementación deben documentarse. y Los criterios de aceptación deben contemplar la fase de implementación de los controles.
Supervisión, mantenimiento y mejora
-
Seguimiento y evaluación del desempeño frente a política de seguridad y objetivos de organización.
-
Informar a dirección
-
Adecuación de controles a riesgos
-
Obtención de evidencias de registros acerca de acciones de controles
Mejora continua
- Evaluación situación. Identificación de mejoras.
- Objetivos para las mejoras.
- Soluciones para cubrir objetivos.
- Evaluación de soluciones y selección.
- Implementación de seleccionadas.
- Evaluación resultados. Cumplimiento objetivos.
- Formailización de cambios.
SGSI. Factores críticos
-
Definición precisa y completa del alcance.
-
Compromiso de entidad y apoyo expreso, visible y permanente de Dirección.
-
Recursos y estructura de personal
-
Objetivos y políticas de seguridad alineados con objetivos empresariales.
-
Gestión de riesgos
-
Concienciación y formación del personal
-
Integración del SGSI en sistema de gestión de organización.
-
Proceso eficaz de gestión de incidentes
-
Enfoque realista
-
Medición del desempeño de la gestión de seguridad.
Premisas
La seguridad es una actividad continua, requiere apoyo de toda la organización. Es transversal a toda la organización. La seguridad es similar a una cadena, quiebra por el eslabón más débil (no siempre el más obvio).
Tema 3.2. Sistemas de Gestión de la Seguridad de la Información
Abreviaturas
- DS: Dominio de seguridad.
- OC: Objetivos de control.
- C: Controles.
- SGCN: Sistema de Gestión de la Continuidad del Negocio.
UNE ISO/IEC 27001. Historia
- ISO/IEC 27001:2005. Information Security Management Systems. Requirement.
- UNE-ISO/IEC 27001:2007. SGSI. Requisitos
- ISO/IEC 27001:2013
- UNE-ISO/IEC 27001:2014
- UNE-EN ISO/IEC 27001:2017
UNE ISO/IEC 27001. Implantación
Un tiempo entre 6 y 12 meses. El equipo del proyecto debe ser:
- Representantes de todas las áreas del negocio
- Un alto ejecutivo para supervisión
- Y, asesores externos
ISO 27001. Certificados
La certificación tiene una validez de 3 años, tras el primer y segundo año hay una auditoría de seguimiento, y el tercer año una auditoría para renovación.
ISO 27001. Requisitos de las entidades certificadoras
Para ser una entidad certificadora, se necesita la obtención de la acreditación de la ENAC, al ser la entidad de acreditación española. Y se deben cumplir varias normas:
- La UNE-EN ISO/IEC 17021.1:2015. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión.
- La ISO/IEC 27006. Requirements for bodies providing audit and certification of information security management systems.
L.O. 1/2015. Modificación código penal
Artículo 31 bis 2. Personas jurídicas quedan exentas de responsabilidad:
- Si existen modelos de organización/gestión que previenen/reducen riesgo.
- Existe órgano autónomo para supervisar eficacia de los controles internos.
- Delincuentes han eludido los modelos indicados en 1º
- No ha existido omisión/ejercicio insuficiente de funciones por el órgano citado en 2º
Existe una sentencia del 15/10/09, en el cual tras analizar los procedimientos y métodos de actuación de una empresa certificada por AENOR, una penalización de 60101.21€ fue rebajada a 6000€. Aquí una de las mayores importancias de obtener estas certficaciones.
27001 y 27002. Objetivo general
Implantar un SGSI orientado a procesos y objetivos del negocio, mediante análisis y gestión de riesgos.
UNE ISO/IEC 27001. Objeto
Especificar requisitos para establecimiento, implementación, mantenimiento y mejora continua de un SGSI en contexto de la organización.
Especificar requisitos para apreciación y tratamiento de riesgos a la medida de las necesidades de la organización.
UNE ISO/IEC 27001. Consideraciones
Requisitos establecidos son genéricos y aplicables a todas las organizaciones. La exclusión de controles innecesarios será justificada.
Finalmente no se emitirá la declaración de conformidad, si la exclusión de controles innecesarios no garantiza los requisitos de seguridad (de EvR, legales o reglamentarios), o en ausencia de ciertos requisitos especificados.
UNE EN-ISO/IEC 27001:2017
Está alineada con otros sistemas de gestión como la ISO 9001, la ISO 14001 y la ISO 20000-1. Tiene un enfoque a procesos PDCA, un enfoque a mejora continua. Compromiso de la dirección incrementado y se hace un análisis de riesgos alineado con UNE-ISO 31000:2010.
UNE EN-ISO/IEC 27001. Requisitos de la norma
+-------------+ +--------------+
Liderazgo | Soporte |
v v
+---------+ +--------+ +---+----+ +---------+ +--+------+
| | | | | | | | | |
| | | | | | | | | |
| | | | | | | | | |
| | | | | | | | | |
+---------+ +---+----+ +--------+ +---+-----+ +---------+
^ ^
Contexto | Planificación | Operación
de la | +-------------+ +
organización | |
+-------------+ |
|
+--------------------------------------------------------+
| Mejora
v
+----+----+ +----------+
| | | |
| | | |
| | | |
| | | |
+---------+ +----+-----+
^
Evaluación |
del desempeño |
+-------------------+
UNE EN-ISO/IEC 27001. Contexto
- Comprensión de la organización y su contexto.
- Necesidades/expectativas de partes interesadas: requisitos.
- Determinación del alcance (límites) del SGSI (documentado)
UNE EN-ISO/IEC 27001. Liderazgo
Liderazgo = Compromiso dirección + Política de seguridad + Roles seguridad/responsabilidades.
COMPROMISO DE LA DIRECCIÓN
Asegura:
- establecimiento de política y objetivos
- integración de requisitos con el resto de procesos
- consecución de resultados previstos
Proporciona recursos necesarios, comunica la importancia de una gestión conforme al SGSI. Dirigiendo y apoyando. Promoviendo la mejora continua.
POLÍTICA DE SEGURIDAD (Documentada)
Adecuada al propósito de la organización, incluyendo objetivos de la seguridad, incluyendo el compromiso de cumplimiento y mejora continua, debe ser comunicada y estar disponible a partes interesadas.
ROLES/RESPONSABILIDADES/AUTORIDADES
La alta dirección asegura que responsabilidades y aturidades para los roles relativos a la seguridad están asignados y se comunican dentro de la organización.
UNE ISO/IEC 27001. Planificación
Acciones de tratamiento de riesgos, objetivos de la seguridad de la información y planificación para su consecución.
UNE ISO/IEC 27001. Soporte
Recursos - Competencia - Concienciación - Comunicación - Documentación
UNE ISO/IEC 27001. Evaluación
Seguimiento, medición, análisis y evaluación - Auditoría interna - Revisión por la dirección
UNE ISO/IEC 27001. Mejora
No conformidades y acciones correctivas - Mejora continua
UNE-ISO/IEC 27001:2014. Enfoque basado procesos
+------------------+
| |
+----------->+ Plan gestión +------------+
| | riesgos | |
| | Controles | |
| +------------------+ |
| |
| |
+-------+-----------+ +---------v----------+
|Alcance | |Revisar/auditar SGSI|
|Política Seguridad | |Indicadores/Métricas|
|Análisis riesgos | |Reivisón dirección |
|Selección controles| | |
+-------^-----------+ +---------+----------+
| |
| |
| +--------------------+ |
| | | |
+------------+ Adoptar medidas +<---------+
| correcti^as y |
| pre^entivas |
+--------------------+UNE-EN ISO/IEC 27001:2017. Estructura (Anexo A)
Existen 14 dominios de seguridad (DS) con objetivos de control.
4 son de carácter técnico, 1 de carácter físico, 8 de gestión y 1 de carácter legal.
-
Operativo:
- Técnicos: Criptografía, Seguridad operación, Seguridad comunicaciones.
- Organizativo: Gestión incidentes seguridad, Adq., desarrollo, mant. sistemas, continuidad del negocio.
-
Táctico:
- Técnico: Control de accesos.
- Organizativo: Seguridad de los RRHH, Relación proveedores, Gestión de activos.
- Seguridad física/ambiental.
-
Estratégico:
- Legal: Conformidad
- Organizativo: Organización S.I, Política S.I.
35 Objetivos de control (OC) son el qué se quiere lograr. Y 114 Controles (C).
- A.5 Políticas de seguridad de la información
- A.6 Organización de la seguridad de la información
- A.7 Seguridad relativas a los RR HH
- A.8 Gestión de activos
- A.9 Control de acceso
- A.10 Criptografía
- A.11 Seguridad física y del entorno
- A.12 Seguridad de las operaciones
- A.13 Seguridad de las comunicaciones
- A.14 Adquisición, desarrollo y mantenimiento de los sistemas de información
- A.15 Relación con proveedores
- A.16 Gestión de incidentes de la S.I.
- A.17 Aspectos de S.I. para la continuidad de negocio
- A.18 Cumplimiento
UNE-EN ISO/IEC 27002:2017
UNE-EN ISO/IEC 27002:2017. Objeto/campo aplicación
Seleccionar controles durante implantación de SGSI basado ISO/IEC 27001. Implantar controles comúnmente aceptados. Desarrollar normas propias de seguridad de la información.
UNE-EN ISO/IEC 27002:2017. Fuentes requisitos seg.
- Evaluación de riesgos
- Normas legales, estatutarias, regulatorias y contractuales y entorno socio cultural.
- Principios, objetivos, etc. Para manejar, tratar, almacenar y comunicar la información de soporte de sus operaciones.
UNE-EN ISO/IEC 27002:2017. Selección de controles
Los controles pueden ser elegidos o no de entre los de la norma (dependiendo de si son aplicables), pueden diseñarse nuevos, dependen de criterios de aceptación del riesgo y opciones de tratamiento, y finalmente dependen de la legislación y reglamentación nacional e internacional aplicable.
UNE-EN ISO/IEC 27002:2017. Estructura de la norma
Cada dominio contiene uno o más objetivos de control, uno o más controles. Y para cada control la declaración de la actividad para conseguir el OC, guía de implantación e información adicional.
UNE-EN ISO/IEC 27002:2017. Guía de implantación
Información detallada para la implantación del control, algunas pueden no ser apropiadas o suficientes para todos los casos, o pueden no adecuarse a requisitos de control específicos para la organización.
UNE-EN ISO/IEC 27002:2017. Información adicional
Información que puede ser necesaria (consideraciones legales y referencias a otras normas), si no existe, no se incluye en el correspondiente apartado.
Dominio de seguridad
A.5 Políticas de seguridad de la información
A.5.1 Directrices de gestión de la seguridad de la información.
Orientar y apoyar gestión de seguridad de la información de acuerdo: requisitos del negocio, las leyes y normas pertinentes.
A.5.1.1 Políticas para la seguridad de la información.
Definir conjunto de políticas para la seguridad: aprobado por la dirección, publicado y comunicado a empleados y partes externas relevantes.
A.5.1.2 Revisión políticas para SI
Deben revisarse a intervalos planificados o siempre que se produzcan cambios. A fin de mantener idoneidad, adecuación y eficacia.
A.6 Organización de la seguridad de la información
A.6.1 Organización interna
Establecer marco de gestión para iniciar y controlar implementación y operación de seguridad de la información.
- Roles y responsabilidades en seguridad
- Segregación de tareas
- Contacto con las autoridades
- Id con grupos de especial interés
- Seguridad de la información en gestión de proyectos.
Departamento de seguridad. Dependencia orgánica.
- Departamento de T.I.
- Departamento de control general
El responsable de este departamento es el CISO, este debe ser: dialogante, tener capacidades didácticas, empatía, conocimiento de la empresa y conocimientos legales.
A.6.1.2 Segregación de tareas
Las funciones y áreas de responsabilidad deben segregarse para reducir la posibilidad de modificaciones no autorizadas, no intencionadas o usos indebidos de los activos.
A.6.1.4 Contacto con grupos de especial interés
Deben mantenerse contactos: con grupos de interés especial y con foros/asociaciones profesionales especializados en seguridad.
Por ejemplo de grupos de interés: oracle application user groups, ios special interes group. Boletines: ccn-cert, incibe o crypto-gramm de bruce schneier. Boletines: el del MCCD o el de hispasec (una-al-dia).
A.6.1.5 Seguridad de la información en la gestión de proyectos
Debe tratarse dentro de la gestión, independientemente de su naturaleza.
A.6.2 Los dispositivos móviles y el teletrabajo
Garantizar seguridad en el teletrabajo y en el uso de dispositivos móviles.
A.6.2.1 Política de dispositivos móviles
Adoptar política y medidas de seguridad para disminuir riesgos de dispositivos móviles.
A.6.2.2 Teletrabajo
Implementar política y medidas de seguridad para proteger información accedida, tratada o almacenada en emplazamientos de teletrabajo.
A.7 Seguridad relativas a los RRHH
A.7.1 Antes del empleo
Asegurar que empleados/contratistas/terceros sepan responsabilidades y sean adecuados para funciones a desempeñar.
A.7.1.1 Investigación de antecedentes
Comprobación de antecedentes debe ser coforme con leyes, normas y códigos éticos. Además debe ser proporcional a necesidades del negocio, clasificación de información accedida y los riesgos.
A.7.1.2 Términos y condiciones del empleo
Las obligaciones contractuales de empleados y contratistas deben establecer términos y condiciones de contrato de trabajo en lo que respecta a seguridad de la información.
A.7.2 Durante el empleo
Que empleados y contratistas conozcan y cumplan responsabilidades en seguridad.
- Responsabilidades de gestión.
- Concienciación, formación y capacitación.
- Proceso disciplinario.
A.7.2.1 Responsabilidades de gestión
Se debe exigir a empleados/contratistas que apliquen la seguridad conforme a políticas/procedimientos establecidos.
Convenio Colectivo Pers. Laboral A.G.E.
Capítulo XIV. Régimen disciplinario
Artículo 78. Graduación de las faltas
b) Serán faltas graves:
- La utilización o difusión indebidas de datos o asuntos de los que se tenga conocimiento por razón del trabajo.
c) Serán faltas muy graves:
- El quebrantamiento del secreto profesional; manipulación de datos y programas con ánimo de falsificación o utilización de medios técnicos de la Adminsitración para intereses económicos particulares.
A.7.2.2 Concienciación, formación y capacitación
Los empleados y contratistas, deben recibir una educación, concienciación y capacitación con actualizaciones periódicas sobre políticas y procedimientos de la organización, según corresponda a su puesto de trabajo.
Planes de formación y concienciación
- Objetivo
- Perfiles previos de conocimiento
- Competencias a alcanzar
- Metodología a seguir
- Planificación (incluyendo periodicidad) y asignación de recursos
- Confección e implementación del plan
- Medición de resultados. Mejoras consecuentes
Manual de Seguridad
- Claro
- Conciso
- Diferenciado por unidades administrativas
- Permanentemente actualizado
A.7.2.3 Proceso disciplinario
Debe existir proceso disciplinario formal y comunicado a los empleados. Debe recoger las acciones a tomar ante quienes hayan provocado alguna brecha de seguridad.
A.7.3 Cese o cambio de puesto
Proteger los intereses de la organización en proceso de cambio o finalización del empleo.
Las responsabilidades en seguridad que siguen vigentes tras cambio o finalización se deben definir y comunicar al empleado/contratista.
A.8. Gestión de activos
A.8.1 Responsabilidad sobre activos
Identificar activos de la organización y definir responsabilidades de protección adecuadas.
- Inventario de activos
- Propiedad de activos
- Uso aceptable de activos
- Devolución de activos
A.8.2 Clasificación de la información
Asegurar que la información reciba nivel adecuado de protección de acuerdo con importancia para la organización.
- Clasificación de la información: la información debe ser clasificada en términos de importancia frente a requisitos legales, valor, sensibilidad y criticidad ante revelación o modificación no autorizadas.
- Etiquetado de la información: Desarrollar e implantar conjunto de procedimientos para etiquetar información, de acuerdo con esquema de clasificación adoptado por la organización.
- Manipulado de la información: Desarrollar e implantar conjunto adecuado de procedimientos para manipulación de la información, de acuerdo con esquema de clasificación adoptado por la organización.
A.8.3 Manipulación de los soportes
Evitar revelación, modificación, eliminación o destrucción no autorizadas de información almacenada en soportes.
- Gestión de soportes extraíbles.
- Eliminación de soportes. Destrucción segura del material confidencial.
A.9 Control de acceso
A.9.1 Requisitos del negocio para el control de acceso
Limitar el acceso a la información y su tratamiento.
- Política de control de acceso.
- Acceso a las redes y a los servicios de red.
A.9.2 Gestión de acceso de usuario
Garantizar el de los autorizados y evitar el de los no autorizados a sistemas y servicios.
- Registro y baja de usuarios
- Provisión de acceso de usuario
- Gestión de privilegios
- Gestión información secreta de autenticación
- Revisión de derechos de usuarios
- Retirada/reasignación de derechos de acceso
A.9.3 Responsabilidades del usuario
Hacer a usuarios responsables de salvaguardar su información de autenticación.
- Uso de información secreta de autenticacion.
A.9.4 Control de acceso a sistemas/aplicaciones
Prevenir acceso no autorizado.
- Restricción del acceso a la información
- Procedimientos seguros de inicio de sesión
- Sistema de gestión de contraseñas
- Uso de utilidades con privilegios del sistema
- Control de acceso al código fuente de los programas
A.10 Criptografía
A.10.1 Controles criptográficos
Garantizar uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad e integridad de la información.
A.10.1.1 Política de uso de controles criptográficos
Desarrollar e implementar una política de uso de controles criptográficos.
A.10.1.2 Gestión de claves
Desarrollar e implementar política de uso, protección y duración de las claves de cifrado a lo largo de ciclo de vida.
A.11 Seguridad física y del entorno
A.11.1 Áreas seguras
Prevenir accesos físicos no autorizados, daños e interferencia a la información y a recursos de tratamiento.
- Perímetros de seguridad
- Controles de entrada
- Seguridad oficinas, despachos e instalaciones
- Protección amenazas externas y ambientales
- Trabajo en áreas seguras
- Áreas de acceso público y carga/descarga
A.11.2 Seguridad de los equipos
Evitar pérdidas, daños, robos, compromisos activos o interrupción de las operaciones.
- Emplazamiento y protección de los equipos
- Instalaciones de suministro
- Seguridad del cableado
- Mantenimiento de los equipos
- Retirada de materiales propiedad
- Seguridad fuera de las instalaciones
- Reutilización o retirada segura
- Equipo de usuario desatendido
- Política de puesto de trabajo despejado y pantalla limpia
A.12 Seguridad de las operaciones
A.12.1 Procedimientos y responsabilidades operacionales
Funcionamiento correcto y seguro de las instalaciones de tratamiento de la información.
A.12.2 Protección contra el software malicioso
Recursos de tratamiento e información protegidos contra el malware.
A.12.3 Copias de seguridad
Evitar pérdida de datos.
A.12.4 Registros y supervisión
Registrar eventos/generar evidencias
A.12.5 Control del software en explotación
Asegurar integridad del software en explotación.
A.12.6 Gestión de la vulnerabilidad técnico
Reducir los riesgos de la explotación de las vulnerabilidades técnicas.
A.12.7 Consideraciones sobre la auditoría de sistemas de información
Minimizar el impacto de actividades de auditoría en sistemas operativos.
A.13 Seguridad de las comunicaciones
A.13.1 Gestión de la seguridad de las redes
Proteger la información en redes y recursos de tratamiento.
- Controles de red
- Seguridad de servicios de red
- Segregación en redes
A.13.2 Intercambio de información
Seguridad datos y software intercambiado en empresa y con terceros.
- Políticas/procedimientos intercambio
- Acuerdos intercambio
- Soportes físicos en tránsito
- Mensajería electrónica
- Acuerdos de confidencialidad o no revelación
A.14 Adquisición, desarrollo y mantenimiento de los sistemas de información
A.14.1 Requisitos de seguridad de los sistemas
Garantizar que seguridad sea parte integral del ciclo de vida de sistemas, incluidos los requisitos para aquellos que suministran servicios a través de redes públicas.
Requisitos:
- Análisis y especificación de estos.
- Asegurar servicios de aplicaciones en redes públicas.
- Protección de transacciones de servicios de aplicaciones.
Errores en desarrollo de software: el 90% de incidentes de seguridad son causados por la explotación de un defecto en un software, 70% de estos fueron defectos en diseño.
A.14.2 Seguridad desarrollo/procesos soporte
Seguridad en diseño e implementación en ciclo de vida del desarrollo de sistemas.
- Política de desarrollo seguro.
- Procedimiento de control de cambios.
- Revisión técnica tras cambios en S.O.
- Restricciones de cambios en paquetes software.
- Principios de ingeniería de sistemas seguros.
- Entorno de desarrollo seguro.
- Externalización del desarrollo.
- Pruebas funcionales de seguridad de sistema.
- Pruebas de aceptación de sistemas.
Datos de prueba
Proteger datos de prueba. Se deben seleccionar cuidadosamente y ser protegidos y controlados.
A.15 Relación con proveedores
A.15.1 Seguridad relaciones con proveedores
- Política de seguridad de la información en relaciones con proveedores.
- Requisitos de seguridad en contratos con terceros.
- Cadena de suministro de tecnología de la información y comunicaciones.
A.15.2 Gestión de provisión de servicios del proveedor
Nivel de seguridad y provisión de servicios acordado con proveedores.
- Control y revisión de la provisión de servicios del proveedor.
Controlar/revisar/auditar provisión de servicios del proveedor.
A.16 Gestión de incidentes de la S.I.
A.16.1 Gestión de incidentes y mejoras
Enfoque para la gestión de incidentes de seguridad, incluida comunicaciones de eventos de seguridad y debilidades.
- Responsabilidades y procedimientos
- Notificación de eventos de seguridad: Se debe notificar a través de canales adecuados lo antes posible.
- Notificación de puntos débiles: todas las partes deben anotar y notificar cualquier punto débil que observen, o sospechen, en dichos sistemas o servicios.
- Evaluación y decisión sobre eventos
- Respuesta a incidentes
- Aprendizaje de incidentes
- Recopilación de evidencias.
Comunicaciones a clientes de incidentes
Cosas que no se pueden decir: "fuimos víctimas de un sofisticado ciber ataque y estamos notificando a nuestros clientes por precaución", "tal como muchas compañías estos días, hemos sufrido una brecha de seguridad".
Los puntos que se deberían seguir son:
- Anticiparse: establecer un canal de atención a clientes.
- Informar de daños, acciones a tomar por clientes y las tomadas por la empresa.
- No ocultar errores: especificar lo ocurrido.
- Preparar la próxima comunicación, pues volverá a suceder.
Una política No-No-No (aquella que sólo deben dar portavoces autorizados) es la de no decir nada, no saber nada, no tener opinión.
A.17 Aspectos de S.I. para la continuidad de negocio
A.17.1 Continuidad de la seguridad de la información
Debe integrarse en sistemas de gestión de continuidad de negocio de la organización.
- Planificación de continuidad de la seguridad de la información.
- Implementar continuidad de la seguridad de la información.
- Verificación, revisión y evaluación de continuidad de la seguridad de la información.
A.17.2 Redundancias
Asegurar disponibilidad de los recursos de de tratamiento de la información.
- Disponibilidad de recursos de tratamiento de información.
Los recursos deben implementarse con redundancia suficiente para satisfacer requisitos de disponibilidad.
Gestión Incidentes. Normas ISO/IEC
ISO/IEC 27031:2011: Information technology. Security techniques. Guidelines for information and communications technology readiness for business continuity.
UNE-EN-ISO 22301:2015: SGCN Especificaciones.
UNE-ISO 22313:2015: SGCN Directrices.
A.18 Cumplimiento
A.18.1 Cumplimiento requisitos legales/contractuales
Evitar incunmplimientos de obligaciones legales, reglamentarias o contractuales relativas a seguridad o sus requisitos.
- Identificación de legislación aplicable y requisitos contractuales.
- Derechos de propiedad intelectual.
- Protección de registros.
- Protección y privacidad de información personal.
- Regulación de controles criptográficos.
A.18.2 Revisiones de la seguridad
Garantizar que seguridad de la inforamción se implementa/opera de acuerdo con políticas/procedimientos de la orgnanización.
- Revisión independiente de seguridad de la información
- Cumplimiento de políticas y normas de seguridad.
- Comprobación de cumplimiento técnico.
Tema 4. Certificación de Sistemas y Productos de T.I
Abreviaturas
- TCSEC: Trusted Computer Security Evaluation Criteria.
- TCB: Trusted Computing Base
- ITSEC: Information Technology Security Evaluation Criteria.
- ITSEM: Information Technology Security Evaluation Methodology
- CC: Common Criteria for Information Technology Security Evaluation.
- CEM: Common Methodology for Information Technology Security Evaluation.
- OC: Organismo de Certificación.
Normas de evaluación y certificación
"Mide lo que sea mensurable y haz mensurable lo que no lo sea" — Galileo Galilei
En EEUU existen como normas las Rainbow series, a nivel Europeo están las ITSEC/ITSEM, y finalmente internacionales están los Common Criteria for Information Technology, Security Evaluation, Common Methodology for Information
Evaluación y certificación.Rainbow serie
Llevado por la NSNC (organismo de la NSA), en el año 1985 fue la publicación del TCSEC y su derogación fue en el 2002.
Guidance for Applying the TCSEC in Specific Environments, Password Management Guideline, TNI of TCSEC, TDMSI of TCSEC.
TCSEC
Propósitos
El suministrar normas de seguridad a fabricantes, definiendo métricas de evaluación y certificación finalmente establecer condiciones para adquisición de sistemas.
Criterios de evaluación
Tenemos los REQUISITOS DE SEGURIDAD, funciones a implementar y adecuación de estas.
Dentro de requisitos tenemos FUNCIONALIDADES, política de seguridad técnica (discreccional, obligatoria modelo Bell-La Padula). Etiquetado de objetos, identificación de sujetos, responsabilización.
Y el ASEGURAMIENTO mecanismos confiables y robustos.
- Confiables: mecanismos hardware o software, evaluables independientemente para garantizar funcionamiento, embebidos en el sistema (usualmente).
- Robustos: mecanismos de seguridad deben estar protegidos contra intrusiones y cambios no autorizados.
TCSEC. Niveles de seguridad (Importante)
- D: Minimal protection
- C: Discretionary protection
- C1: Discretionary security protection
- C2: Controlled access protection
- B: Mandatory protection
- B1: Labeled security protection
- B2: Structured protection
- B3: Security domains
- A: Verified protection
- A1: verified design
- A1+: TCB
Críticas
Tiene un énfasis en la confidencialidad, gran costo y demora de la evaluación, falta de flexibilidad, amalgama de funcionalidades y aseguramente, y finalmente la coincidencia evaluación y certificación.
ITSEC/ITSEM
Criterio de evaluación: ITSEC 1990, Metodología de evaluación: ITSEM 1993. Esquema nacional de evaluación y certificación.
ITSEC: Definición de la seguridad
- Confidencialidad
- Integridad
- Disponibilidad
Criterios de evaluación: ITSEC
- Productos T.I
- Sistemas T.I
ITSEC: Definiciones
-
Objeto de evaluación (ToE): Sistema o producto TI sometido a evaluación de seguridad.
-
Objetivo de seguridad: Declaración de amenazas previstas que pretenden contrarrestar o de políticas fijadas por la organización que desean cumplir.
-
Objeto de seguridad: Especificaciones de seguridad del ToE.
- amenazas previstas
- Funciones de seguridad
- Funcionalidades de seguridad
- Mecanismos de seguridad
Es la base de la evaluación.
Declaración de seguridad
Sistemas: específico para entorno operativo del sistema.
Productos: genérico, aplicable a diversos sistemas con requisitos de seguridad similares (pero diferentes).
ITSEC: Aspectos de la evaluación
Funcionalidad y confianza en las funciones de seguridad (Aseguramiento).
Funciones de Seguridad
Todo aquello que contribuye a satisfacer requisitos de seguridad de un ToE.
Funcionalidades de Seguridad
Conjunto de funciones de seguridad.
- Identificación y autenticación.
- Control de acceso
- Responsabilidad
- Auditoría
- Reusabilidad de los objetos
- Integridad
- Fiabilidad del servicio
- Intercambio de datos
ITSEC: Clase de funcionalidad (Importante)
Conjunto predefinido de funcionalidades complementarias, pueden implementarse en un ToE.
- F-DX: Confidencialidad e Integridad intercambio de datos
- F-DC: Confidencialidad intercambio de datos
- F-DI: Integridad intercambio de datos
- F-AV: Disponibilidad sistema
- F-IN: Integridad datos y programas
- F-B3, F-B2, F-B1, F-C2, F-C1: Derivado del TCSEC
Mecanismo de seguridad
Alogitmo que suministra determinada función de seguridad o relevante para esta.
ITSEC: Conceptos básicos
Funciones de seguridad ==> Mecanismos de seguridad incorporados al ToE.
Confianza. Efectividad
Adecuación de funcionalidades, sinergia de funcionalidades, facilidad de uso, consecuencias del descubrimiento de vulnerabilidades y Fortaleza de mecanismos.
Confianza. Corrección
Construcción del ToE: Proceso y Entorno de desarrollo.
Operación del ToE.
ITSEC: Confianza en las funciones de seguridad (Importante)
Niveles de Confianza
- E6: Formalmente verificado
- E5: Formalmente analizado
- E4: Semi-Formalmente analizado
- E3: Metodológicamente probado y analizado
- E2: Metodológicamente probado
- E1: Funcionalmente probado
- E0: Confianza Inadecuada
Comparación Criterios: ITSEC vs TCSEC
| ITSEC | TCSEC |
|---|---|
| E0 | D |
| F-C1, E1 | C1 |
| F-C2, E2 | C2 |
| F-B1, E3 | B1 |
| F-B2, E4 | B2 |
| F-B3, E5 | B3 |
| F-B3, E6 | A1 |
ITSEM: Partes implicadas
Patrocinador: Usuarios, Fabricantes y Vendedores.
Fabricante
Laboratorios de evaluación
Comisión nacional de certificación
ITSEM: Principios básicos de la evaluación
- Imparcialidad
- Objetividad
- Repetibilidad
- Reproducibilidad
Esquema Nacional. Evaluación y Certificación
Comisión Nacional de Certificación
- Acreditación de instalaciones de evaluación.
- Supervisión de la evaluación
- Revisión Informes Técnicos
- Emisión de certificados
- Publicación de certificados
Internacionales: Common Criteria for Information Technology, Security Evaluation (CC), Common Methodology for Information & Technology Security Evaluation (CEM)
Normas de Evaluación y Certificación
- ISO/IEC 15408. Evaluation criteria for IT security
- Part 1: Introduction and general model.
- Part 2: Security functional components.
- Part 3: Security assurance components.
- ISO/IEC 18045. Methodology for IT security evaluation
Fuera de Normalización
- Medidas administrativas.
- Ciertas medidas físicas
- Marco legal de la evaluación
- Calidad intrínseca de algoritmos de cifrado
Conceptos básicos
Objeto de evaluación (TOE)
Sistema o producto que se somete a evaluación de seguridad.
Objetivo de seguridad
Declaración de amenazas previstas que se pretenden contrarrestar o de políticas fijadas por la organización que se desean cumplir.
Declaración de seguridad (Objeto de seguridad, ST)
Especificaciones de seguridad del ToE:
- Las amenazas previstas
- Objetivos de seguridad
- Funciones de seguridad y confianza. Mecanismos implementados.
Es base de la evaluación.
- Autodeclarativa
- Perfiles de protección
- Reusables. Satisfacen requisitos reconocidos como efectos para lograr objetivo de seguridad. Reconocidos: Tarjetas inteligentes (75), Sistemas Operativos (2), Bases de datos (3), Sistemas biométricos (2), Sistemas de gestión de claves (4).
ISO/IEC 15408: Niveles de confianza
EAL1-EAL2-EAL3-EAL4-EAL5-EAL6-EAL7
Acuerdo Reconocimiento Certificados CC
Objetivos: el asegurar evaluaciones rigurosas y consistentes, eliminar la duplicación de certificados del mismo producto, sistema o perfil y el incrementar el número de productos, sistemas o perfiles evaluados.
Reconocimiento Certificados. SOGIS-MRA
Senior Official Group Information System Security-Mutual recognition Arrangement
- Criterios: CC/CEM; ITSEC/ITSEM.
- Alcance reconocimiento: <= EAL4/E3 y <= EAL7/E6 (ciertas áreas).
Acuerdo Reconocimiento Certificados. CCRA
Common Criteria Recognition Arrangement
- Criterios: CC/CEM
- Alcance reconocimiento: <= EAL2
La evaluación y certificación en España
Ley 11/2002 reguladora del CNI
Real Decreto 421/2004, se regula el CCN.
Orden Pre/2740/2007 aprueba el reglamento de evaluación y certificación de seguridad de las T.I.
Secretario de estado director del CNI
Autoridad Nacional de inteligencia y contrainteligencia, dirige el CCN.
Ámbito de Actuación y funciones del CCN
Organismo de certificación del esquema nacional de evaluación y certificación de seguridad de las TIC.
Firma acuerdos con organizaciones similares de otros países.
El CCN:
- Adscrito al CNI
- Personal está integrado orgánica y funcionalmente en CNI.
Objeto
Articulación del Organismo de Ceritficación del Esquema Nacional de evaluación y certificación de seguridad de las T.I.
Criterios de Evaluación y Certificación
- Deben ser homologables con otros países.
- Deben permitir reconocimiento mutuo de certificados.
Ámbito de Aplicación
-
Entidades que quieren ejercer de laboratorios de evaluación (de ensayo según R.D. 2200/1995 en nuestra profesión).
-
Fabricantes de productos o sistemas TI que quieran certificar su seguridad.
Evaluación
Análisis de capacidad de producto o sistema para proteger información de acuerdo a criterios establecidos. Requisito previo a certificación.
Acreditación de Laboratorios
- Declaración conformidad del laboratorio para ensayos emitida por el OC.
- Alcance limitado por alcance de la acreditación de su competencia técnica.
- No presupone aceptación de resultados de evaluación
Acreditación de la competencia técnica
- Concebida por la ENAC.
- En alcance se deben incluir las normas de evaluación de seguridad de los productos y sistemas de TI aprobadas por OC.
Alcance de la acreditación
Limita reconocimiento del laboratorio
- Nivel calificación de seguridad
- Normas de evaluación
- Niveles de evaluación
Relación de laboratorios Acreditados
- Centro Evaluación de la Seguridad de las T I.
- INTA (CC: EAL4+) (ITSEC: E4)
- Applus (EAL5+)
- Epoche and Espri S.L.U. (CC:EAL4+)
- Clover Technologies (CC: EAL1/Lince)
- jtsec Beyond IT Security, S.L. (Lince)
- Layakk Seguridad Informática, S.L. (Lince)
Certificación
- Determinación por OC de conformidad de producto o sistema con criterios preestablecidos.
- Requiere previa evaluación por laboratorio acreditado.
Producto a Evaluar
Producto, sistema de información o perfil de protección para que se solicita certificación de propiedades de seguridad.
Declaración de Seguridad
Requisitos y especificaciones de propiedades de seguridad de producto o sistema de las TI.
CERTIFICACIÓN DE SEGURIDAD DE PRODUCTOS Y SISTEMAS
- Informe técnico de evaluación
- Informe de certificación (OC)
- Publicidad de certificaciones (OC)
CERTIFICACIÓN SEGURIDAD T. I
+--------------------+ +----------------------+
|ENT. Acreditación | | ENT. Acreditación |
|(CCN/CNI) | | (ENAC) |
| | | |
+---------+----------+ +--+--------+----------+
| | |
| +------------------+ |
v | |
+---------+---------v+ +------------v-----------+
| Laboratorio de +------------>+ENT. Certif. (CCN/CNI) |
| evaluación | +------------------------+
| |
+----------^---------+
|
|
|
+---------+--------------+ +-------------------------+
| Prod/Sistema +<-------+ ITSEC/ITSEM |
+----------+-------------+ | ISO 15408/18045 |
^ | |
| +-------------------------+
+--------+-------------+
| Proveedor |
+----------------------+Orden PRE/2740/2007
Publicaciones del esquema
- OC mantiene actualizada relación de laboratorios acreditadas y productos y sistemas de las TI certificados.
Criterios de evaluación
- CC
- ISO/IEC 15408 "Evaluation Criteria for IT Security"
- ITSEC
Metodologías de evaluación
- CEM
- ISO/IEC 18045 "Methodology for IT Security Evaluation"
- ITSEM
Tema 5. Marco Legal de la Ciberseguridad
Jerarquía Normativa Española
-
Constitución
-
Normas legales y con rango de ley
- Leyes orginarias y orgánicas.
- Reales decretos-ley
- Reales decretos legislativos
-
Normas administrativas
- Reales Decretos
- Órdenes comisiones delegadas del gobierno
- Órdenes ministeriales.
Normativa de la unión europea
- Directivas: establecen objetivos que los países de la UE deben cumplir.
- Decisiones: Vinculantes y directamente aplicables para aquellos a quienes se dirigen.
- Reglamentos: Vinculantes en su totalidad. Aplican en sus justos términos en la UE.
Regulación Legal (Europa)
- Directiva 2008/113. Identifcación designación de infraestructuras críticas Europeas.
- Ley 8/2011: Protección infraestructuras criticas.
- Reglamento UE 2014/910. Identificación electrónica y servicios confianza (eIDAS)
- Reglamento UE 2016/679. Protección datos personales
- Ley 3/2018. Protección datos personales y garantía derechos digitales
- Directiva 2016/1148. Seg redes y sistemas información (NIS)
- RD Ley 12/2018. Seg. redes y sistemas información
- Reglamento 2019/881 relativo a ENISA y a la certificación de la ciberseguridad de las TIC
Real decreto-ley 12/2018, de seguridad de las redes y sistemas de información.
Ley 8/2011. Protección infraestructuras críticas
Servicios Esenciales
Aquellos que mantienen funciones sociales básicas. Permiten eficaz funcionamiento de instituciones del Estado y las AAPP.
Infraestructuras estratégicas
Instalaciones, redes, sistemas y equipos sobre las que descansa el funcionamiento de servicios esenciales.
Infraestructuras críticas
Estratégicas cuyo funcionamiento es indispensable y no permiten soluciones alternativas.
Objeto
Las redes y sistemas de información, proveedores de servicios esenciales y digitales, los sistemas de notificación de incidentes y coordinación entre autoridades competentes y órganos de cooperación europeos.
Ámbito de aplicación
Prestación de servicios esenciales dependientes de redes y sistemas de información de sectores estratégicos y de servicios digitales.
CSIRT de referencia.
Requisitos
- Garantizar un elevado nivel de disponibilidad.
- Instalaciones situadas en lugares seguros.
- Garantizar continuidad de actividades.
Equipos de respuesta de referencia
- INCIBE-CERT, operado por INCIBE y CNPIC.
- CCN-CERT (Coordinador de respuesta técnica de CSIRT).
- ESPDEF-CERT coopera con anteriores si se requiere.
Funciones
Las funciones son las de supervisar incidentes a escala nacional; difundir alertas, avisos e información sobre riesgos e incidentes; responder a incidentes; efectuar análisis de riesgos e incidentes y de conocimiento de la situación; y participar en la red CSIRT.
Notificación a la autoridad competente
A través de su CSIR los operadores de servicios esenciales notifican incidentes que puedan tener efectos perturbadores significativos. Y los proveedores de servicios digitales, aquellos incidentes que tengan efectos perturbadores significativos.
Importancia de un incidente
La importancia de un incidente se puede medir por los siguientes puntos:
- El número de usuarios afectados (mayor cantidad, más importancia)
- La duración del incidente (hasta una respuesta, o hasta su notificación)
- Extensión geográfica afectada.
- Grado de perturbación del servicio.
- Alcance del impacto en aspectos económicos y sociales.
- Importancia de sistemas o información afectados.
Sanciones
Pueden ir desde amonestaciones y multas desde 100k€ las infracciones leves hasta 1M€ las infracciones muy graves.
Firma Electrónica
Un conjunto de datos en forma electrónica, consignados junto a otros o asociados, que pueden ser utilizados como medio de identificación del firmante.
Un ejemplo de firma electrónica, puede ser nuestra firma escaneada en un documento.
Firma Electrónica Avanzada
Es aquella que permite identificar al firmante, detectar cambios de datos firmados. Está vinculada al firmante de manera única y está vinculada a los datos a los que se refiere. Creada por medios que el firmante puede utilizar, con alto nivel de confianza.
Dispositivos de creación de firma (Importante)
Datos de creación
son aquellos códigos o claves criptográficas privadas, que firmante usa para crear la firma electrónica.
Datos de verificación
Códigos o claves públicas esta vez que se utilizan para verificar la firma electrónica.
Prestadores de servicios de certificación (PSC)
Persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.
Concepto Certificado Electrónico (Importante)
Documento firmado de manera electrónica por PSC que: vincula datos de verificación de firma a firmante y confirma la identidad.
Concepto/Contenido Certif. Reconocidos
Son expedidos por un PSC que cumple requisitos establecidos a la comprobación de identidad de solicitantes y a fiabilidad y garantías de servicios de certificación que presten.
Extinción vigencia de certificados
El periodo de validez es adecuado a características y tecnología de generación de los datos de creación, en caso de certificados reconocidos, el periodo no es superior a cinco años.
Firma Electrónica Reconocida
Electrónica avanzada + Certificado reconocido + Dispositivo seguro de creación de firma.
No se negarán efectos jurídicos a una firma electrónica que no reúna requisitos de firma electrónica reconocida en relación a datos a los que esté asociada por el hecho de presentarse en forma electrónica.
A efectos de lo dispuesto, cuando una firma electrónica se utilice conforme a condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.
Documento Nacional de Identidad Electrónico
Es aquel que acredita electrónicamente la identidad personal de titular, permite la firma electrónica de documentos.
El chip incorporado a la tarjeta contendrá: certificados reconocidos de autenticación y firma y certificado electrónico de autoridad emisora. Además de las claves privadas necesarias para la activación de certificados mencionados anteriomente.
Tema 6. Auditoría de la Seguridad
Auditoría: ¿Qué es?
Es una revisión sistemática de actividad o situación para evaluar cumplimiento de reglas o criterios a los que deben someterse.
Auditoría UNE-EN ISO 19011
Auditoría: proceso sistemático, independiente y documentado para obtener evidencias de auditoría y evaluarlas con el fin de determinar que cumplen criterios de auditoría.
Evidencias: registros, declaraciones de hechos o cualquier otra información pertinente para criterios de auditoría y es verificable.
Criterios de auditoría: Conjunto de políticas, procedimientos y requisitos usados como referencia frente a la cual se compara.
La Auditoría. Tipos
Existen muchos tipos: financiera, medioambiental, de riesgos laborales, de calidad.
Revisiones relacionadas con informática
- Seguridad de la información
- Ciberseguridad
- RGPD
- Esquema Nacional de Seguridad
- Sistema de información
- Bases de datos
- Comunicaciones
- Forense
Auditoría Sistemas - ISACA
Proceso de colección y evaluación de evidencias para determinar si los sistemas de información salvaguardan adecuadamente los activos, mantienen integridad y disponibilidad de datos y sistemas, proveen de información relevante y confiable, consiguen objetivos de manera efectiva, consumen recursos de manera efectiva y tienen controles internos que proveen medidas de que el negocio y objetivos de control serán cumplidos y que eventos no deseados serán prevenidos, detectados o corregidos.
Concepto de Auditoría informática
Esta comprende la revisión, análisis y evaluación independiente y objetiva, por parte de personas independientes y competentes de:
- Entorno informático de entidad, abarcando todas o algunas areas (equipos, OS y paquetes, aplicaciones, desarrollo, organización y funciones).
- Políticas, estándares y procedimientos en vigor, su idoneidad y cumplimiento de estos, de objetivos fijados, planes, presupuestos, contratos y normas legales aplicables así como la calidad.
- Grado de satisfacción de usuarios y directivos.
- Controles existentes.
- Análisis de posibles riesgos relacionados con informática.
Posibles aspectos a evaluar
- Planificación & gestión del SGSI
- Nivel de cumplimiento de una norma
- Gestión de riesgos
- Gestión de activos
- Operaciones, Comunicaciones
- Gestión de proveedores
- Adquisición, Desarrollo, Mantenimiento
- Continuidad de negocio
Proceso de la Auditoría
+----------------+
| |
| Objetivos |
| |
+---+------------+
|
| Busca las mejores evidencias
| que luego puedan ser
| utilizadas para probar los
| objetivos de la auditoría
|
|
v
+---+------------+
| |
| Evidencias |
| |
+---+------------+
|
| La conclusión - sea o no favorable
| sustentada en hallazgos irrefutables
| que sustenten la conclusión
| del auditor
|
|
v
+---+------------+
| |
| Conclusiones |
| |
+----------------+
Nuestros aliados
Los Controles
Sensores de funcionamiento que proporcionan información para tomar acciones/decisiones.
Actividad o acción o grupo de acciones realizadas por elementos (humanos o máquinas) para prevenir/detectar/corregir errores, omisiones o irregularidades que afecten a un funcionamiento.
- Preventivos: para evitar que se produzcan un error, omisión o acto malicioso.
- Detectivos: aquellos que no evitan que ocurran causas del riesgo, sino que detecta luego de.
- Corrección: aquellos que corrigen errores, omisiones o actos una vez detectados.
Objetivos de Control
Declaraciones sobre resultado final deseado o propósito a ser alcanzado mediante implantación de controles.
Sistema de Control Interno
Conjunto de procesos, funciones, actividades, subsistemas... cuya misión es garantizar que alcanzan objetivos de control.
Procesos que aseguren el cumplimiento de políticas, leyes y normas; integridad patrimonial; eficacia y eficiencia de operaciones; fiabilidad de información financiera; adecuada gestión de riesgos.
¿Dónte está la auditoría?
Las líneas de defensa
-
Control realizado por área propietaria del proceso, controles mínimos.
-
Áreas transversales que controlan determinados flujos (área de seguridad, cumplimiento normativo, etc).
-
Auditoría interna/externa.
Control y Auditoría
Auditores evalúan sistema de control interno. Contrastamos operativa con objetivos de control:
- Internos
- De ISACA (COBIT)
- De ISO 27001
Recomendamos controles: Implantar/Reforzar/Suprimir.
Rentabilidad de tener / no tener un control
+-----------------------------------------------------------------+
| |
| Control Interno Auditoría |
| |
+------------------+----------------------------------------------+
| | |
| | Conocimientos específicos en TI |
| Semejanzas | Pueden ser personal Interno |
| | Pruebas de cumplimiento normativa |
| | Control y seguimiento de los procedimientos |
| | |
+------------------------------------------+----------------------+
| | Trabajo en el día | Análisis de los |
| | a día | controles de forma |
| Diferencias | Reporta al dpto. TI | puntual |
| | Personal Interno | Reporta a dirección |
| | | Personal interno/ |
| | | externo |
+------------------+-----------------------+----------------------+Tipos de controles y auditorías
| Cuestiones | Interna | Externa |
|---|---|---|
| ¿Quién? | Empleado | Profesional Independiente |
| Objetivo | Control de la gestión y la operación | Examen de las operaciones y estados financieros. Normas |
| Origen del encargo | Voluntaria | Obligatoria, Legal o Estaturaria |
| Alcance | Departamento Informática | Estados de los sistemas de información en su conjunto |
| Grado independencia | Limitada | Total |
| Responsabilidad | Profesional | Profesional, Civil y Penal |
| Periodicidad | Continua | Habitualmente Anual |
| Intensidad del trabajo | Mayor | Menor |
Utilidad de la auditoría y el control
- Para empresas y AAPP
- Para proveedores, clientes, accionistas
- Para usuarios, ciudadanos, pacientes...
- Para alumnos de este Máster:
- Usuarios/Supervisores de sistemas
- Ejercer control interno
- Realizar auditorías/sugerirlas/exigirlas
- Para pasar auditorías
Pero ¿dónde se ve cómo realizar esta auditoría?
COBIT, ISO y otros Marcos
según objetivo de auditoría podemos comparar con:
- Normativa interna si hay
- BOE u otros como LOPD, RGPD, etc.
- COBIT, ITIL, ISO/IEC 27K, CMMI, ISO/IEC 15504
- Contratos aplicables para ver cumplimiento
- Guías CCN-CNI
Aquellas específicas para EVALUAR SEGURIDAD (Importante Supongo)
-
COBIT (ISACA) + Normativa Interna
-
ISO/IEC
- 27001 + 27002
- 27004 Information Security management Measurement
- 27007 Guidelines for information security management systems auditing.
- 27032 Guidelines for Cybersecurity
- 27014 Governance of information security
-
SANS, CIS, ENISA, INCIBE, NIST...
-
Revisiones de especificaciones y parámetros según fabricante.
¿Qué aporta la ISO 27K?
27001, 14 dominios, 35 objetivos de control y 114 controles. (Ya los vimos con anterioridad en otros temas).
Marco de Auditoría ENS
Cada 2 años o si hay cambios (M/A).
Modelo para revisión cumplimiento
LOPD-GDD + RGPD
responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar conformidad de actividades de tratamiento con RGPD, incluida eficacia de las medidas.
Principales Cambios: Resp. Activa
Para demostrar proactividad y diligencia, es interesante tener opinión de profesional independiente que lo emita mediante informe a la dirección de la empresa.
- Auditoría de procesos:
- Revisión flujos para ejecución de derechos de interesados así como respuesta.
- Revisión de flujos de datos, desde origen (consentimiento), fuentes de datos, así como proceso y salida de información.
- Responsable de tratamiento, encargado de tratamiento, actividad de tratamiento.
- Auditoría de seguridad informática:
- Se revisará toda infraestructura de TI involucrada en entradas, transformación, almacenamiento y salida de datos personales.
¿Quién puede ser Auditor?
-
Certificados personales ISACA:
- CISA
- CISM
- CGEIT
- CRISC
- CSX
- COBIT
- Fundamientos
- Implementación
- Evaluador
-
SANS:
- GISF
- GSEC
- GISP
- GCFE
- GPPA
- ...
-
Consorcio internacional de certificación de sistemas de información de seguridad (ISC):
- SSCP
- CISSP
-
Fabricantes:
- Microsoft: MOS, MCSE, MCSD, MCSA.
- Cisco: CCNA, CCNP, CCENT, CCIE, LPI, LPIC-1
Requisitos de un equipo de auditoría
- Equipo debe estar dirigido por Auditor jefe (Líder del equipo), funciones serán supervisar el proceso, exactitud de hallazgos y recomendaciones mencionadas en informe, así como presenvar evidencias.
- Este deberá como mínimo:
- Acreditar formación y experiencia en auditoría de sistemas de información, o a través de certificaciones o experiencia de al menos 4 años.
- Conocimiento de seguridad y gestión de riesgos (certificación y experiencia de 4 años).
- Conocimiento de requisitos del RD 3/2010.
- Conocimientos de otra legislación aplicable cuando auditoría incluya además otros requisitos o esquemas de seguridad, como protección de datos o esquema nacional de interoperabilidad.
- Resto de equipo debe tener alguna preparación tanto en seguridad como auditoría de sistemas de información. Responsabilidad por asignaciónd e tareas, incluyendo a expertos, corresponde a organización (privada o pública) que aporte el equipo de auditoría.
- En ningún caso integrantes del equipo auditor, deben haber participado o detentado responsabilidades previas a la auditoría, al menos en últimos 2 años en el sistema auditado, o haber sido consultores para ese sistema, en implantación de requisitos del RD 3/2010.
- Los integrantes del equipo auditor deben haber informado un acuerdo de confidencialidad.
Antes de Iniciar el trabajo
- Propuesta formalmente aprobada
- Partir de objetivos
- Ambito y alcance.
- Métodos, técnicas, herramientas
- Grado de confidencialidad.
Objetivos
- Evaluación sistema de control interno
- Conformidad con estándar
- Cumplimiento normativa interna
- Cumplimiento de contrato
- Investigación (forense)
- Evaluación seguridad
Fases
- Trabajo preparatorio: Hacer/Refinar plan general, programa detallado.
- Trabajo "de campo": revisiones, entrevistas, pruebas; análisis (se obtuvieron evidencias?)
Interlocutores
CIO, CISO, CEO, Head IT operations, Auditoría interna, Compliance.
¿Por dónde empezar? Posibles criterios a seguir
- Por donde te pidan.
- Evaluación basada en activos y valor
- Evaluación basada en amenazas
- Evaluación basada en vulnerabilidades
- Combinaciones de estas.
Algunas Técnicas
A través de entrevistas, cuestionarios, observaciones, pruebas, herramientas...
Evidencias
Deben ser suficientes para soportar conclusiones y recomendaciones del informe, fuentes según objetivos, entrevistas, contraste, confirmación escrita, pruebas adecuadas...
- En resumen:
- Evidencias documentadas con detalle de dónde fueron halladas.
- Identificadas de forma clara: Código - nombre - fecha, método de recogida.
- Utilizar entrevista para corroborar evidencias encontradas.
Uso de la entrevista como técnica
- Según los objetivos se elegirán funciones/personas.
- Diálogos entre auditor y auditado para recoger información/contrastar
- Necesaria planificación y preparación
- Aporta datos y pistas que no se obtienen por otros medios.
Las preguntas claves son él: Cómo, Dónde, Por qué, Qué, Cuándo, Quién.
Preparación
Ver el propósito de la entrevista, preparar/adaptar listas, seleccionar funciones y personas, elegir fecha y hora, lugar. Pensar si debe existir un factor sorpresa.
Realización
Introducción, comentar posible tiempo a invertir, explicar que tomamos notas o grabamos, escuchar, controlar tiempo, indicar motivo o no, finalidad o no, por qué fue elegida esa persona.
Qué evitar
Orientar respuesta correcta, crear tensión y agresividad, no parecer un interrogatorio, criticar o discutir, usar términos que la persona no entienda, intercambiar roles, dar consejos.
Qué más hacer
Detectar indiciones no verbales, escuchar entre líneas, pedir explicación de jerga usada, resumir para confirmar, recordar compromisos y plazos, dejar posibilidad de futuras entrevistas, analizar y pasar a limpio.
El informe
Valoración de la situación de manera escrita, con un contenido y enfoque según objetivos. Debe tener un resumen no técnico, con antecedentes, una metodología, un objetivo y alcance y finalmente conclusiones y resumen.
Debe haber una descripción del entorno, análisis, debilidades, mejoras y limitaciones.
Hallazgos de la auditoría
Evidencia <-- Hechos
+
Hallazgos = Justificación <-- Deficiencia o aspecto incumplido
+
Incumplimiento <-- Referencia a la cláusula o apartado no cumplidoCuerpo del informe
Por centros, unidades, destinatarios. Agrupar puntos homogéneos. Capa punto debe incluir:
- Descripción de deficiencia
- Causa
- Efecto
- Recomendación
- Copias fuera, cambio de contraseñas...
Y luego si se requiere otros anexos.
Otras aportaciones
Se pueden recoger sugerencias de mejora que puedan beneficiar a la organización, inclusión de puntos que aunque no se haya podido evidenciar ningún fallo, puedan ser preocupantes.
Cuadro Final
- Dar información para asignar prioridad de puntos y clasificar en cada área y/o destacar importantes.
- Nivel de riesgo, plazo, esfuerzo y coste.
- Uso de colores si es necesario
- Y si existen, comparación con informes anteriores.
Otros aspectos
Protección frente a escritura, uso de claves del PDF o firma electrónica. Todas las páginas tendrán:
- Título y/o pie de página con la entidad, fecha, etc.
- leyenda BORRADOR cuando así sea.
- Número de páginas x/y
- Número de copia, destinatario.
