ISO 27000 Implementation Guidance v1 Spanish

Consejos de implantacin y mtricas de ISO/IEC 27001 y 27002Realizado por la comunidad internacional de implantadores de ISO27000 de ISO27001security.com Traducido del original ingls al espaol por www.iso27000.es Versin 1, 28 de Junio de 2007

IntroduccinEsto es un documento colaborativo creado por implantadores de ISO/IEC 27001 y 27002 pertenecientes al ISO27k implementers' forum. Queramos documentar y compartir algunas recomendaciones pragmticas para implantar los estndares de gestin de seguridad de la informacin, adems de potenciales mtricas para medir y reportar el estado de la seguridad de la informacin, referenciadas en ambos casos a los estndares ISO/IEC.

AlcanceEsta gua cubre todos los 39 objetivos de control listados en las secciones 5 a 15 de ISO/IEC 27002, adems de la seccin 4 de evaluacin y tratamiento de riesgos que les precede.

ObjetivoEste documento pretende ayudar a otros que estn implantando o planeando implantar los estndares ISO/IEC de gestin de seguridad de la informacin. Al igual que los propios estndares ISO/IEC, se trata de un documento genrico y necesita ser adaptado a las necesidades especficas de cada uno.

CopyrightEste trabajo tiene copyright 2007, ISO27k implementers' forum, algunos derechos reservados. Est licenciado bajo licencia Creative Commons Attribution-Noncommercial-Share Alike 3.0. Vd. puede reproducir, distribuir, usar y crear trabajos derivados de este, siempre y cuando (a) no sean vendidos o incorporados en ningn producto comercial, (b) sean correctamente atribuidos al ISO27k implementers forum (www.ISO27001security.com), y (c) sean compartidos bajo los mismos trminos que este.Copyright 2007, ISO27k implementers forum www.ISO27001security.com

Pgina 1 de 14

Ref.

Objetivo

Consejos de implementacin

Posibles mtricas

4. Evaluacin y tratamiento de riesgos Se puede usar cualquier mtodo de gestin de riesgos de seguridad de la informacin, con preferencia por mtodos docuPorcentaje de riesgos identificados evaluados como de mentados, estructurados y generalmente aceptados como importancia alta, media o baja, ms "no evaluados". OCTAVE, MEHARI, ISO TR 13335 BS 7799 Parte 3 (y, en su momento, ISO/IEC 27005). La gerencia (especficamente, los propietarios de activos de informacin) necesita evaluar los riesgos y decidir qu hacer con ellos. Tales decisiones deben documentarse en un Plan de Tratamiento de Riesgos (PTR). Es aceptable que la direccin decida explcitamente no hacer nada con ciertos riesgos de seguridad de la informacin que se estiman dentro de la "tolerancia al riesgo" de la organizacin, sin que sea ste el enfoque por defecto. Tendencia en nmero de riesgos relativos a seguridad de la informacin en cada nivel de importancia. Costes de seguridad de la informacin como porcentaje de los ingresos totales o del presupuesto de TI. Porcentaje de riesgos de seguridad de la informacin para los cuales se han implantando totalmente controles satisfactorios.

4.1

Evaluacin de riesgos de seguridad

4.2

Tratamiento de riesgos de seguridad

5. Poltica de seguridad

5.1

Poltica de seguridad de la informacin

Piense en trminos de un manual o wiki de polticas de seguridad de la informacin que contenga un conjunto coherente e in- Cobertura de la poltica (es decir, porcentaje de secciones ternamente consistente de polticas, normas, procedimientos y de ISO/IEC 27001/2 para las cuales se han especificado, directrices. escrito, aprobado y publicado polticas y sus normas, procedimientos y directrices asociadas. Determine la frecuencia de revisin de la poltica de seguridad de la informacin y las formas de comunicacin a toda la orga- Grado de despliegue y adopcin de la poltica en la organizacin. La revisin de la idoneidad y adecuacin de la poltica nizacin (medido por auditora, gerencia o autode seguridad de la informacin puede ser incluida en las revi- evaluacin). siones de la direccin.

Copyright 2007, ISO27001security forum

Pgina 2 de 14

Ref.

Objetivo


Posibles mtricas

6. Aspectos organizativos de la seguridad de la informacin Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia global para mantener los riesgos de seguridad de la informacin por debaReproduzca la estructura y tamao de otras funciones corpora- jo de umbrales explcitamente aceptados por la direccin. tivas especializadas, como Legal, Riesgos y Compliance. Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de seguridad de la informacin. Haga inventario de conexiones de red y flujos de informacin significativos con 3as partes, evale sus riesgos y revise los controles de seguridad de informacin existentes respecto a los Porcentaje de conexiones con terceras partes que han sirequisitos. Esto puede dar miedo, pero es 100% necesario! do identificadas, evaluadas en cuanto a su riesgo y estiConsidere exigir certificados en ISO/IEC 27001 a los partners madas como seguras. ms crticos, tales como outsourcing de TI, proveedores de servicios de seguridad TI, etc.

6.1

Organizacin interna

6.2

Terceros

7. Gestin de activos Elabore y mantenga un inventario de activos de informacin (similar al preparado en su da para el Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes (p. ej., ubicacin, n de serie, n de versin, estado de desarrollo / pruebas / produccin, etc.). Porcentaje de activos de informacin en cada fase del proceso de clasificacin (identificado / inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).

7.1

Responsabilidad sobre los activos

Porcentaje de activos de informacin claves para los cuales se ha implantado una estrategia global para mitigar Use cdigos de barras para facilitar las tareas de realizacin de riesgos de seguridad de la informacin segn sea necesainventario y para vincular equipos de TI que entran y salen de rio y para mantener dichos riesgos en niveles aceptables. las instalaciones con empleados.

7.2

Clasificacin de la informacin

Mantenga la sencillez! Distinga los requisitos de seguridad bsicos (globales) de los avanzados, de acuerdo con el riesgo. Porcentaje de activos de informacin en cada categora de Comience quizs con la confidencialidad, pero no olvide los re- clasificacin (incluida la de "an sin clasificar"). quisitos de integridad y disponibilidad.


Pgina 3 de 14

Ref.

Objetivo


Posibles mtricas

8. Seguridad ligada a los recursos humanos Conjuntamente con RRHH, asegure que se emplea un proceso de verificacin de antecedentes proporcional a la clasificacin de seguridad de aquella informacin a la que va a acceder el empleado a contratar. Dicho simplemente, el proceso de contratacin de un administrador de sistemas TI debera ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formacin, conocimientos, etc.

8.1

Antes de la contratacin

Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.) que hayan sido totalmente verificados y aprobados de acuerdo con las polticas de la empresa antes de comenzar a trabajar.

8.2

Durante la contratacin

La responsabilidad con respecto a la proteccin de la informacin no finaliza cuando un empleado se va a casa o abandona la organizacin. Asegure que esto se documenta claramente en Respuesta a las actividades de concienciacin en segurimateriales de concienciacin, contratos de empleo, etc. dad medidas por, p. ej., el nmero de e-mails y llamadas Contemple la posibilidad de una revisin anual por RRHH de relativas a iniciativas de concienciacin individuales. los contratos junto con los empleados para refrescar las expectativas expuestas en los trminos y condiciones de empleo, incluyendo su compromiso con la seguridad de la informacin.

Vase Seccin 7.1. La devolucin de los activos de la organizacin cuando un empleado se marcha sera mucho ms sencilla de verificar si el inventario de activos ha sido actualizado y verificado regularmente. 8.3 Cese o cambio de puesto de trabajo Porcentaje de identificadores de usuario pertenecientes a Examine qu accesos necesita revocar en primer lugar cuando personas que han dejado la organizacin, separados por un empleado presenta su carta de dimisin: cules son los las categoras de activos (pendientes de desactivacin) e sistemas ms crticos o vulnerables? inactivos (pendientes de archivo y borrado). Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la empresa, por si comienzan a sacar informacin confidencial (sujeto a las polticas aplicables y a consideraciones legales sobre privacidad).


Pgina 4 de 14

Ref.

Objetivo


Posibles mtricas

9. Seguridad fsica y ambiental El estndar parece centrarse en el CPD pero hay muchas otras reas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estndares se refieren a asegurar la informacin, no slo las TI). Examine la entrada y salida de personas a/de su organizacin. Hasta dnde podra llegar el repartidor de pizza o el mensajero sin ser parado, identificado y acompaado? Qu podran ver, llevarse o escuchar mientras estn dentro? Algunas organizaciones usan tarjetas de identificacin de colores para indicar las reas accesibles por los visitantes (p. ej., azul para la 1 planta, verde para la 3, etc.; ahora, si ve a alguien con una identificacin verde en la 4 planta, retngalo). Asegrese de retirar todos los pases de empleado y de visita cuando se vayan. Haga que los sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de visita que se vuelvan opacos o muestren de alguna manera que ya no son vlidos a las x horas de haberse emitido.

9.1

reas seguras

Informes de inspecciones peridicas de seguridad fsica de instalaciones, incluyendo actualizacin regular del estado de medidas correctivas identificadas en inspecciones previas que an estn pendientes.

9.2

Seguridad de los equipos

Haga que los vigilantes de seguridad impidan a cualquiera (empleados, visitas, personas de soporte TI, mensajeros, personal de mudanzas, etc.) sacar equipos informticos de las instalaciones sin autorizacin escrita. Convirtalo en un elemento disuasorio visible mediante chequeos aleatorios (o, incluso, arcos de deteccin de metales). Est especialmente atento a puertas traseras, rampas de carga, salidas para fumadores, etc. Tome en consideracin el uso de cdigos de barras para hacer los chequeos ms eficientes.

Nmero de chequeos (a personas a la salida y a existencias en stock) realizados en el ltimo mes y porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes informticos u otras cuestiones de seguridad.


Pgina 5 de 14

Ref.

Objetivo


Posibles mtricas

10. Gestin de comunicaciones y operaciones Mtricas de madurez de procesos TI relativos a seguridad, tales como el semiperiodo de aplicacin de parches de Documente procedimientos, normas y directrices de seguridad seguridad (tiempo que ha llevado parchear al menos la mide la informacin, adems de roles y responsabilidades, identitad de los sistemas vulnerables -esta medida evita la cola ficadas en el manual de poltica de seguridad de la organizavariable provocada por los pocos sistemas inevitables que cin. permanecen sin parchear por no ser de uso diario, estar normalmente fuera de la oficina o cualquier otra razn-). Lo que recibe vale lo que paga por ello? D respuesta a esta pregunta y respldela con hechos, estableciendo un sistema de supervisin de terceros proveedores de servicios y sus respectivas entregas de servicio. Revise peridicamente los acuerdos de nivel de servicio (SLA) y comprelos con los registros de supervisin. En algunos casos puede funcionar un sistema de premio y castigo. Est atento a cambios que tengan impacto en la seguridad.

10.1

Responsabilidades y procedimientos de operacin

10.2

Gestin de la provisin de servicios por terceros

Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluacin del rendimiento de proveedores incluyendo la calidad de servicio, entrega, coste, etc.

10.3

Planificacin y aceptacin del sistema

Adopte procesos estructurados de planificacin de capacidad Porcentaje de cambios de riesgo bajo, medio, alto y de TI, desarrollo seguro, pruebas de seguridad, etc., usando es- emergencia. tndares aceptados como ISO 20000 (ITIL) donde sea posible. Nmero y tendencia de cambios revertidos y rechazados Defina e imponga estndares de seguridad bsica (mnimos frente a cambios exitosos. aceptables) para todas las plataformas de sistemas operativos, Porcentaje de sistemas (a) que deberan cumplir con esusando las recomendaciones de seguridad de CIS, NIST, NSA tndares de seguridad bsica o similares y (b) cuya cony fabricantes de sistemas operativos y, por supuesto, sus pro- formidad con dichos estndares ha sido comprobada mepias polticas de seguridad de la informacin. diante benchmarking o pruebas. Combine controles tecnolgicos (p. ej., software antivirus) con medidas no tcnicas (educacin, concienciacin y formacin). No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables!

10.4

Proteccin contra cdigo malicioso y mvil

Tendencia en el nmero de virus, gusanos, troyanos o spam detectados y bloqueados. Nmero y costes acumulados de incidentes por software malicioso.


Pgina 6 de 14

Ref.

Objetivo

Consejos de implementacinImplante procedimientos de backup y recuperacin que satisfagan no slo requisitos contractuales sino tambin requisitos de negocio "internos" de la organizacin. Bsese en la evaluacin de riesgos realizada para determinar cules son los activos de informacin ms importantes y use esta informacin para crear su estrategia de backup y recuperacin. Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicacin de backup, frecuencia de copia y prueba de soportes.

Posibles mtricasPorcentaje de operaciones de backup exitosas. Porcentaje de recuperaciones de prueba exitosas. Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento fuera de las instalaciones hasta la recuperacin exitosa de los datos en todas ubicaciones principales.

10.5

Copias de seguridad

Encripte copias de seguridad y archivos que contengan datos Porcentaje de backups y archivos con datos sensibles o sensibles o valiosos (en realidad, sern prcticamente todos valiosos que estn encriptados. porque, si no, para qu hacer copias de seguridad?). Gestin de la seguridad de las redes Prepare e implante estndares, directrices y procedimientos de seguridad tcnicos para redes y herramientas de seguridad de red como IDS/IPS (deteccin y prevencin de intrusiones), gestin de vulnerabilidades, etc. Nmero de incidentes de seguridad de red identificados en el mes anterior, dividido por categoras de leve / importante / grave, con anlisis de tendencias y descripcin comentada de todo incidente serio y tendencia adversa.

10.6

10.7

Manejo de los soportes

Asegure los soportes y la informacin en trnsito no solo fsico sino electrnico (a travs de las redes). Porcentaje de soportes de backup o archivo que estn toEncripte todos los datos sensibles o valiosos antes de ser talmente encriptados. transportados. Estudie canales de comunicaciones alternativos y "preautorizados", en especial direcciones de e-mail secundarias por Porcentaje de enlaces de terceras partes para los cuales si fallan las primarias o el servidor de correo, y comunicaciones se han (a) definido y (b) implementado satisfactoriamente offline por si caen las redes. El verificar canales de comunica- los requisitos de seguridad de la informacin. cin alternativos reducir el estrs en caso de un incidente real. Trabaje estrechamente con las unidades de negocio para desarrollar un eBusiness seguro, incorporando requisitos de seguridad de la informacin en los proyectos, y con ello en los sistemas de eCommerce, desde el principio (tambin en cualquier cambio/actualizacin posterior). Insista en el valor aadido de la seguridad en la reduccin de riesgos comerciales, legales y operativos asociados al eBusiness. Trabaje los 3 aspectos clave de la seguridad: confidencialidad, integridad y disponibilidad.

10.8

Intercambio de informacin

10.9

Servicios de comercio electrnico

"Estado de la eSeguridad", es decir, un informe sobre el nivel global de confianza de la direccin, basado en el anlisis de los ltimos tests de penetracin, incidentes actuales o recientes, vulnerabilidades actuales conocidas, cambios planificados, etc.


Pgina 7 de 14

Ref.

Objetivo

Consejos de implementacinEl viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no puedes medir o monitorizar" es tambin vlido para la seguridad de la informacin. La necesidad de implantar procesos de supervisin es ms evidente ahora que la medicin de la eficacia de los controles se ha convertido en un requisito especfico. Analice la criticidad e importancia de los datos que va a monitorizar y cmo esto afecta a los objetivos globales de negocio de la organizacin en relacin a la seguridad de la informacin.

Posibles mtricasPorcentaje de sistemas cuyos logs de seguridad (a) estn adecuadamente configurados, (b) son transferidos con seguridad a un sistema de gestin centralizada de logs y (c) son monitorizados/revisados/evaluados regularmente. Tendencia en el nmero de entradas en los logs de seguridad que (a) han sido registradas, (b) han sido analizadas y (c) han conducido a actividades de seguimiento.

10.10

Supervisin

11. Control de accesos Los propietarios de activos de informacin que son responsables ante la direccin de la proteccin "sus" activos deberan Requisitos de negotener la capacidad de definir y/o aprobar las reglas de control cio para el control de de acceso y otros controles de seguridad. Asegrese de que se accesos les responsabiliza de incumplimientos, no conformidades y otros incidentes. Cree la funcin diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de control de acceso definidas por los propietarios de las aplicaciones y la direccin de seguridad de la informacin. Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en roles.

11.1

11.2

Gestin de acceso de usuario

Tiempo medio transcurrido entre la solicitud y la realizacin de peticiones de cambio de accesos y nmero de solicitudes de cambio de acceso cursadas en el mes anterior (con anlisis de tendencias y comentarios acerca de cualInvierta en proporcionar al administrador de seguridad herra- quier pico / valle (p. ej., "Implantada nueva aplicacin fimientas para realizar sus tareas lo ms eficientemente posible. nanciera este mes"). Asegrese de que se establecen las responsabilidades de seguridad y que son entendidas por el personal afectado. Una buena estrategia es definir y documentar claramente las responsabilidades relativas a seguridad de la informacin en las descripciones o perfiles de los puestos de trabajo. Son imprescindibles las revisiones peridicas para incluir cualquier cambio. Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisin anual de objetivos), para recordarles sus responsabilidades y recoger cualquier cambio.

11.3

Responsabilidades del usuario

Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la informacin (a) totalmente documentadas y (b) formalmente aceptadas.


Pgina 8 de 14

Ref.

Objetivo


Posibles mtricas

11.4

Control de acceso a la red

Estadsticas de cortafuegos, tales como porcentaje de paMantenga el equilibrio entre controles de seguridad perimetra- quetes o sesiones salientes que han sido bloqueadas (p. les (LAN/WAN) e internos (LAN/LAN), frente a controles de se- ej., intentos de acceso a pginas web prohibidas; nmero de ataques potenciales de hacking repelidos, clasificados guridad en aplicaciones (defensa en profundidad). en insignificantes/preocupantes/crticos).

11.5

Control de acceso al sistema operativo

Estadsticas de vulnerabilidad de sistemas y redes, como Implante estndares de seguridad bsica para todas las plata- n de vulnerabilidades conocidas cerradas, abiertas y formas informticas y de comunicaciones, recogiendo las mejo- nuevas; velocidad media de parcheo de vulnerabilidades res prcticas de CIS, NIST, fabricantes de sistemas, etc. (analizadas por prioridades/categoras del fabricante o propias).

11.6

Control de acceso a la aplicacin y a la informacin

Porcentaje de plataformas totalmente conformes con los Implante estndares de seguridad bsica para todas las aplica- estndares de seguridad bsica (comprobado mediante ciones y middleware, recogiendo las mejores prcticas y pruebas independientes), con anotaciones sobre los sistemas no conformes (p. ej., "Sistema de finanzas ser acchecklists de CIS, NIST, fabricantes de software, etc. tualizado para ser conforme en cuarto trimestre)".

11.7

Ordenadores porttiles y teletrabajo

Tenga polticas claramente definidas para la proteccin, no slo de los propios equipos informticos porttiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin almacenada en ellos. Por lo general, el valor de la informacin supera con mucho el del hardware. Asegrese de que el nivel de proteccin de los equipos informticos utilizados dentro de las instalaciones de la organizacin tiene su correspondencia en el nivel de proteccin de los equipos porttiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc.

"Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe sobre el estado actual de la seguridad de equipos informticos porttiles (laptops, PDAs, telfonos mviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo mvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls personales, etc.


Pgina 9 de 14

Ref.

Objetivo


Posibles mtricas

12. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin Involucre a los "propietarios de activos de informacin" en evaluaciones de riesgos a alto nivel y consiga su aprobacin de los requisitos de seguridad que surjan. Si son realmente responsables de proteger sus activos, es en inters suyo el hacerlo bien. Est al tanto de las novedades sobre vulnerabilidades comunes Ver 11.1 o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientacin sobre la implementacin, como, p. ej., OWASP. Siempre que sea posible, utilice libreras y funciones estndar para necesidades corrientes como validacin de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. 12.2 Procesamiento correcto en las aplicaciones Para mayor confianza con datos vitales, construya e incorpore Porcentaje de sistemas para los cuales los controles de funciones adicionales de validacin y chequeo cruzado (p. ej., validacin de datos se han (a) definido y (b) implementado y demostrado eficaces mediante pruebas. sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyeccin SQL, etc. Utilice estndares formales actuales tales como AES, en lugar Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente de algoritmos de cosecha propia. controles criptogrficos apropiados (periodo de reporte de La implementacin es crucial! 3 a 12 meses). Porcentaje de sistemas evaluados de forma independiente Aplique consistentemente estndares de seguridad bsica, como totalmente conformes con los estndares de seguriasegurando que se siguen las recomendaciones de CIS, NIST, dad bsica aprobados, respecto a aquellos que no han sifabricantes de sistemas, etc. do evaluados, no son conformes o para los que no se han aprobado dichos estndares.

12.1

Requisitos de seguridad de los sistemas de informacin

12.3

Controles criptogrficos

12.4

Seguridad de los archivos de sistema


Pgina 10 de 14

Ref.

Objetivo


Posibles mtricas

12.5

Seguridad en los procesos de desarrollo y soporte

Incorpore la seguridad de la informacin al ciclo de vida de desarrollo de sistemas en todas sus fases, desde la concepcin hasta la desaparicin de un sistema, por medio de la inclusin "Estado de la seguridad en sistemas en desarrollo", es de "recordatorios" sobre seguridad en los procedimientos y m- decir, un informe sobre el estado actual de la seguridad en los procesos de desarrollo de software, con comentarios todos de desarrollo, operaciones y gestin de cambios. sobre incidentes recientes/actuales, vulnerabilidades acTrate el desarrollo e implementacin de software como un pro- tuales de seguridad conocidas y pronsticos sobre cualceso de cambio. Integre las mejoras de seguridad en las activi- quier riesgo creciente, etc. dades de gestin de cambios (p. ej., documentacin y formacin procedimental para usuarios y administradores). Haga un seguimiento constante de parches de seguridad mediante herramientas de gestin de vulnerabilidades y/o actualizacin automtica siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). Evale la relevancia y criticidad o urgencia de los parches en su entorno tecnolgico. Pruebe y aplique los parches crticos, o tome otras medidas de proteccin, tan rpida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estn siendo explotadas fuera activamente. Evite quedarse tan atrs en la rutina de actualizacin de versiones que sus sistemas queden fuera de soporte por el fabricante.

12.6

Gestin de la vulnerabilidad tcnica

Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como porttiles fuera de la empresa o almacenados-).

13. Gestin de incidentes en la seguridad de la informacin Estadsticas del helpdesk de TI, con anlisis sobre el nmero y tipos de llamadas relativas a seguridad de la informacin (p. ej., cambios de contrasea; porcentaje de preguntas acerca de riesgos y controles de seguridad de Establezca y d a conocer una hotline (generalmente, el la informacin respecto al total de preguntas). A partir de helpdesk habitual de TI) para que la gente pueda informar de las estadsticas, cree y publique una tabla de clasificacin incidentes, eventos y problemas de seguridad. por departamentos (ajustada segn el nmero de empleados por departamento), mostrando aquellos que estn claramente concienciados con la seguridad, frente a los que no lo estn.

13.1

Notificacin de eventos y puntos dbiles de la seguridad de la informacin


Pgina 11 de 14

Ref.

Objetivo


Posibles mtricas

13.2

Gestin de incidentes de seguridad de la informacin y mejoras

Las revisiones post-incidente y los casos de estudio para incidentes serios, tales como fraudes, ilustran los puntos dbiles de control, identifican oportunidades de mejora y conforman por s mismos un mecanismo eficaz de concienciacin en seguridad.

Nmero y gravedad de incidentes; evaluaciones de los costes de analizar, detener y reparar los incidentes y cualquier prdida tangible o intangible producida. Porcentaje de incidentes de seguridad que han causado costes por encima de umbrales aceptables definidos por la direccin.

14. Gestin de la continuidad del negocio

Considere la gestin de continuidad de negocio como un proceso con entradas procedentes de diversas funciones (alta direccin, TI, operaciones, RRHH, etc.) y actividades (evaluacin de riesgos, etc.). Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio Asegure la coherencia y concienciacin mediante personas y Porcentaje de planes de continuidad de negocio en cada unidades organizativas relevantes en los planes de continuidad una de las fases del ciclo de vida (requerido / especificado / documentado / probado). de negocio. Deberan llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros, pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de la direccin en los planes y (c) familiarizar a los empleados relevantes con sus funciones y responsabilidades bajo condiciones de desastre. Obtenga consejos de implantacin en BS 25999 - Gestin de la Continuidad de Negocio. Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente (a) documentados y (b) probados mediante tests apropiados en los ltimos 12 meses.

14.1


Pgina 12 de 14

Ref.

Objetivo


Posibles mtricas

15. Cumplimiento Nmero de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesObtenga asesoramiento legal competente, especialmente si la go (alto, medio o bajo). organizacin opera o tiene clientes en mltiples jurisdicciones. Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma admisible, han sido considerados conformes. Alinee los procesos de auto-evaluacin de controles de seguridad con las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la direccin y verificaciones externas de buen funcionamiento. Nmero de cuestiones o recomendaciones de poltica interna y otros aspectos de cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de revisiones de cumplimiento de seguridad de la informacin sin incumplimientos sustanciales.

15.1

Cumplimiento de los requisitos legales

15.2

Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico

15.3

Consideraciones de las auditoras de los sistemas de informacin

Nmero de cuestiones o recomendaciones de auditora, Invierta en auditora TI cualificada que utilice ISO 27001, agrupadas y analizadas por su estado (cerradas, abiertas, COBIT, ITIL, CMM y estndares y mtodos de buenas prcticas nuevas, retrasadas) e importancia o nivel de riesgo (alto, similares como referencias de comparacin. medio o bajo). Examine ISO 19011 "Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiental" como fuente valiosa para la realizacin de auditoras internas del SGSI. ISO 19011 proporciona un marco excelente para crear un programa de auditoras internas y contiene asimismo las cualificaciones del equipo de auditora interna.*** Fin de la tabla ***

Porcentaje de hallazgos de auditora relativos a seguridad de la informacin que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolucin/cierre de recomendaciones, respecto a los plazos acordados por la direccin al final de las auditoras.


Pgina 13 de 14

Referencias de fuentes adicionales de informacinBerinato, S. (2005). "A Few Good Metrics". CIO-Asia, Septiembre. Centrado en la seleccin y medida de unas pocas mtricas tiles, antes que un gran nmero de ellas intiles. Ideas creativas de presentacin en informes a la direccin. Berinato, S., Campbell, G., Mena, C., y Lefler, D. (2005). "Influencing Senior Management - Security Metrics". Presentacin al CSO Executive Council. Consejos en la seleccin de mtricas de seguridad S.M.A.R.T. [especficas -Specific-, medibles -Measurable-, alcanzables -Achievable-, relevantes -Relevant- y delimitadas en el tiempo -Time bound-] que sean reducidas en nmero, actuales y precisas, validadas y aprobadas por las partes interesadas y (sobre todo) tiles. Hinson, G. (2006). "7 Myths About Security Metrics". ISSA Journal, Julio. Plantea consideraciones de diseo de un sistema de mtricas de seguridad, con algunos ejemplos. Hauser, J.R. and Katz, G.M. (1998). "Metrics: You Are What You Measure". MIT. Un artculo para la reflexin que avisa sobre los peligros de conducir un proceso en una direccin no pretendida, por el uso de mtricas inapropiadas. ISO/IEC 27001:2005. "International standard - Information technology - Security techniques - Information security management systems - Requirements". ISO/IEC 27002:2005. "International standard - Information technology - Security techniques - Code of practice for information security management" [anteriormente conocida como ISO/IEC 17799:2005]. NIST (National Institute of Standards and Technology) (2003). Security Metrics Guide for Information Technology Systems. Special Publication 800-55. Incluye una lista extraordinariamente exhaustiva de posibles mtricas (pero, desafortunadamente, no ayuda mucho en cmo seleccionar mtricas tiles). El primer borrador pblico de la Special Publication 800-80 "Guide for Developing Performance Metrics for Information Security" est disponible para comentarios.

Registro de cambiosVersin 1, 28 de Junio de 2007 Publicado por el ISO27k implementers' forum. Aportaciones de Gary Hinson, H Deura, K, Ramiah Marappan, Rainier Vergara y Richard O. Regalado. Traducido del original ingls al espaol por Javier Ruiz Spohr (www.iso27000.es). 16 de Noviembre de 2007.

FeedbackComentarios, preguntas y sugerencias de mejora (especialmente, sugerencias de mejora!) son bienvenidas a travs del ISO27k implementers' forum o, directamente, al administrador del foro [email protected]

Copyright 2007, ISO27k implementers forum www.ISO27001security.com

Pgina 14 de 14

ISO 27000 Implementation Guidance v1 Spanish

Documents

Transcript of ISO 27000 Implementation Guidance v1 Spanish