En el momento de evaluar la seguridad de los sistemas informáticos (SI) de una organización, o de proceder a la implementación de las políticas de seguridad sobre estos SI, conviene conocer cuál es la terminología que se emplea, cuáles son las áreas en las que se puede aplicar y cuál es el entorno normativo y legislativo en el que nos podemos mover. El objetivo de este artículo es precisamente la aclaración de estos puntos.
En primer lugar se repasan los principales estándares (ISO 27000) y legislaciones, que nos ayudarán a tener una visión global de los elementos que intervienen en la infraestructura de seguridad y los controles que pueden establecerse.
A continuación se repasan los principios básicos y los requisitos que se han de cumplir respecto a la seguridad de los SI.
Con todo lo anterior podemos pasar a evaluar nuestra infraestructura de seguridad para detectar y clasificar nuestros activos de información y verificar el grado de cumplimiento de los requisitos de seguridad o el grado de madurez de la organización respecto a la seguridad de los SI.
Como resumen del modo en que la organización gestiona la seguridad de sus SI, que es a la vez un elemento normativo consensuado y de obligado cumplimiento para los integrantes de la organización, tenemos la Política de seguridad, tratada en el último apartado de este artículo.
Conceptos principales en Seguridad de la Información
- Activo (Asset). Algo que tiene valor para una organización. Recurso del sistema de información necesario para el funcionamiento apropiado de la organización y la consecución de los objetivos previstos. Los activos de información pueden estar sujetos a amenazas tanto internas como externas. Estos riesgos pueden afectar a uno o más de los tres atributos fundamentales de un activo: disponibilidad (availability), confidencialidad e integridad.
- Amenaza (threat). Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o inmateriales en sus activos.
- Confidencialidad (reliability). Hace referencia a la habilidad para proteger, haciéndolos no visibles o no disponibles, los datos de aquellos que no están autorizados a acceder a ellos.
- Disponibilidad (availability). Es la capacidad de poder acceder a los activos informativos en el momento en que se necesiten y de poder usarlos correctamente (aquellos debidamente autorizados).
- Gestión de la seguridad de la información (Information security management) es la parte de la gestión de IT (IT gobernance) encargada de la protección y la seguridad de los activos informativos de una organización (information assets).
- Impacto. Consecuencia para un activo de la materialización de una amenaza.
- Integridad. Es la habilidad de prevenir la modificación de los activos por aquellos que no están autorizados o que estándolo los modifican de forma incorrecta. Esta habilidad implica la posibilidad de revertir o deshacer los cambios realizados.
- ISMS. Information Security Management System. Es la parte de la gestión de un sistema, basada en un análisis de riesgos, encargada de establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información. Un ISMS sirve para asegurar la confidencialidad, disponibilidad e integridad de la información de la organización
- Riesgo. Es la posibilidad de que se produzca un impacto determinado en un activo.
- Salvaguarda (countermeasure). Acción, procedimiento o dispositivo físico o lógico que reduce el riesgo.
- Seguridad de la Información (information security), según el estándar ISO 27001 es la preservación de la confidencialidad, integridad y disponibilidad (availability) de la información. Otras propiedades implicadas son la autenticidad, responsabilidad (accountability), no-repudiación y confiabilidad (reliability).
- Seguridad, en su sentido más general quiere decir proteger nuestros activos, lo que implica preservarlos de atacantes, de desastres naturales, de condiciones ambientales adversas, de interrupción del suministro eléctrico, del robo o el vandalismo, etc. La seguridad es al mismo tiempo el conjunto de medidas tomadas contra posibles ataques, espionaje, sabotaje, etc.
- Vulnerabilidad. Debilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre dicho activo.
Conceptos principales en seguridad y sus relaciones, según ISO 15408.
Reglamentos, Estándares y Directrices de Seguridad
Principales organismos dedicados a la seguridad en las Tecnologías de la Información
COBIT (Control Objectives for Information and related Technology). Conjunto de Mejores Prácticas para el manejo de información, creado por Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI) en 1992 que contiene un conjunto de 34 objetivos de algo nivel, uno para cada uno de los procesos de IT. La seguridad de los sistemas se divide en objetivos de control, como identificación, autenticación, gestión de cuentas, clasificación de datos, etc. COBIT especifica el examen de la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de los objetivos de control. En el modelo se definen cuatro dominios: planificación y organización, adquisición e implementación, entreta y soporte, y monitorización. Cada uno de estos dominios tienen definidos procesos, actividades y tareas
National Institute of Standards and Technology (NIST, http://csrc.nist.gov). Este instituto gubernamental de USA emite una serie de publicaciones a modo de guías (NIST Guidelines), entre las cuales las más destacadas en relación con la seguridad son las de la serie 800, como: Information Security Handbook: A Guide for Managers (800-100), Recommended Security Controls for Federal Information Systems (800-53), Guide to Information Technology Security Services (800-35), Risk Management Guide for Information Technology Systems (800-30), Engineering Principles for Information Technology Security (800-27), Guide for Developing Security Plans for Federal Information Systems (800-18), Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14), and An Introduction to Computer Security: The NISTHandbook (800-12).
La titulada Security Self-Assessment Guide for Information Technology Systems (800-26), publicada desde el 2001, es una checklist de 137 preguntas para examinar un sistema. La Recommended Security Controls for Federal Information Systems (800-53) mapea estas cuestiones con los controles de seguridad más utiles. Describe 17 familias de controles, como controles de acceso, sensibilización y formación, auditoría, evaluación de riesgos, seguridad del personal, etc. Cada familia se subdivide en controles específicos que normalmente hacen referencia a otros documentos más específicos del NIST.
Guías de la ENISA. Conjunto de guías generadas por la European Network of Information Security Agency, que busca establecer estándares y difundir Mejores Prácticas para el mejoramiento de las redes y la seguridad de la información en la Unión Europea (Enisa, 2011).
Top 20 de las fallas de seguridad. Presentación anual de los fallos de seguridad informática más críticas hecha por el SysAdmin Audit, Networking and Security (SANS) de los Estados Unidos (SANS, 2011).
OSSTMM (Open Standard Security Testing Model). Manual de la Metodología Abierta de Testeo de Seguridad desarrollado por ISECOM (Institute for Security and Open Methodologies), que brinda una referencia para realizar análisis de seguridad informática en diferentes niveles.
ISM3 (Information Security Management Maturity Model). Estándar para la creación de sistemas de gestión de la seguridad de la información basados en ITIL, ISO27001 o Cobit, a través de metodologías de análisis de riesgo que tienen como objetivo garantizar la consecución de los objetivos del negocio.
ITIL (Information Technology Infrastructure Library). Conjunto de conceptos y buenas prácticas para la gestión de servicios, el desarrollo y/o las operaciones relacionadas con las tecnologías de la información (APM Group, 2007). El conjunto lo constituyen 44 libros. No se dedica exclusivamente a temas de seguridad pero hay una sección dedicada a ellos e indica cómo implementar controles sobre los procesos de gestión de servicios de IT.
Information Security Forum (ISF) Standard of Good Practice for information Security. Es una guía que contiene un checklist de las políticas que las compañías y empleados deben implementar. Se divide la gestión de la seguridad en 5 partes: aplicaciones críticas para el negocio, instalaciones de computadores, redes, sistemas, y desarrollo. Estas partes se subdividen a su vez en 30 áreas y las áreas en 135 secciones. Las áreas son:
Basel II. Es una compilación del Second Report from the Basel Committee on Banking Supervision, Risk Management Principles for Electronic Banking. Estudia y detalla los riesgos de seguridad relacionados con el negocio bancario
Con objeto de harmonizar los diferentes marcos y estándares se elaboró el Calder—Moir IT Governance Framework como una clasificación gráfica que relaciona los principales tópicos como estrategia de negocio, riesgos, estrategia de IT, operaciones, capacidades y gestión de cambios (http://www.itgovernance.co.uk/calder_moir.aspx).
Comparativa de áreas contempladas por los diferentes marcos y estándares
| Estándares aplicables | |||||||||
| Area | ISO 27000 | SAS70 Type II | GLBA | PCI DSS | EU Privacy | CobIT | Common Criteria | Generally Accepted Privacy Principles | Generally Accepted Security Principles |
| Access Control | X | X | X | X | X | X | X | X | X |
| Application Development | X | X | X | X | X | X | |||
| Asset Management | X | X | X | X | X | ||||
| Business Operations | X | X | X | X | X | X | X | ||
| Communications | X | X | X | X | X | X | X | X | X |
| Compliance | X | X | X | X | X | X | |||
| Corporate Governance | X | X | X | ||||||
| Customers | X | X | X | X | X | X | X | X | |
| Incident Management | X | X | X | X | X | X | X | X | X |
| IT Operations | X | X | X | X | X | X | X | X | X |
| Outsourcing | X | X | X | X | X | X | X | X | |
| Physical/Environmental | X | X | X | X | |||||
| Policies & Procedures | X | X | X | X | X | X | X | X | |
| Privacy | X | X | X | X | X | X | |||
| Security | X | X | X | X | X | X | X | ||
La serie ISO/IEC 27000
La International Standards Organisation (ISO) publicó la especificación estándar para los sistemas de gestión de la seguridad de la información (ISMS o SGSI), indendiente de proveedores o tecnologías, así como del tamaño de la empresa o del sector, con el título ‘Information Technology – Security Techniques – Information Security Management Systems – Requirements’. ISO27001. Ésta fue también el primero de una serie de estándares sobre seguridad de la información, conocido como serie ISO 27000.
ISO/IEC 27000 – Introducción y Vocabulario.
ISO/IEC 27001:2005 – Requerimientos para un ISMS.
ISO/IEC 27002:2005 – Code of Practice for Information Security.
ISO/IEC 27003 – Guía de implementación de un ISMS.
ISO/IEC 27004 – Information Security Management Measurement.
ISO/IEC 27005 – Information Security Risk Management (basado en ISO/IEC 13335).
ISO/IEC 27006 Requerimientos para la auditoría y certificación de sistemas de gestión de la seguridad de la información.
La norma UNE-ISO/IEC 17799, de la que ISO 27000 es heredera, establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información:
1. Política de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificación y control de activos.
4. Seguridad ligada al personal.
5. Seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestión de continuidad del negocio.
10.Conformidad con la legislación.
De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).
Unos de los requerimientos obligatorios indicados en ISO 27001 es que deben especificarse unos controles para cubrir los riesgos identificados en un análisis de riesgos. El anexo A de este estándar contiene una lista de los 133 controles más habituales. ISO 27002 es una adaptación del ISO 17799 para la implementación de los controles de seguridad apropiados. El título oficial de ISO 27002 es ‘Information Technology – Security Techniques – Code of Practice for information security management’. Proporciona un entorno para la aplicación de buenas prácticas en la gestión de la seguridad.
ISO27001 promueve la integración del ISMS en los sistemas de gestión de la calidad (ISO 9001). Un ISMS incluye la estructura organizacional, las políticas, las actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos relacionados con la gestión de la seguridad de la información.
El estándar ISO/IEC 15408
La normativa ISO/IEC 15408 esta conformada por 3 de partes distintas, Introducción y Modelo
General, Requisitos funcionales de Seguridad y Requisitos de garantía de Seguridad y cada una de estas partes enfocada a usuarios, desarrolladores y evaluadores.
ISO/IEC 15408 Common Criteria. Conjunto de estándares sobre seguridad de productos TIC (Tecnologías de la Información y las Comunicaciones) utilizados por diferentes países, que genera un resultado de evaluación que establece un nivel de confianza en el grado en el que el producto TIC satisface la funcionalidad de seguridad y ha superado las medidas de evaluación aplicadas. Gracias a Common Criteria, los usuarios pueden determinar si un producto proporciona el nivel de seguridad que necesita siguiendo unos criterios estándar y no simples percepciones personales.
El estándar de Common Criteria representa el estándar de seguridad universal. Es obligatorio para el desarrollo de productos del Departamento de Defensa de los EE.UU.
Su estructura esta diseñada y es expresada de dos maneras, en un perfil de protección (PP –
Protection Profile) y en un objetivo de seguridad (ST – Sucurity Target) y a su vez esta dividida en 3 niveles diferentes: usuarios, desarrolladores y evaluadores. Esta normativa también cataloga un conjunto de familias, clases y componentes de seguridad, definiendo los criterios de evaluación para los PPs y los STs y presentando los niveles de seguridad para cada evaluación que definen la escala para la calificación de garantías para los TOEs (TOE – Target Of Evaluation), la cual se denomina Evaluación De Niveles De Garantía (Evaluation Assurance Levels (EALs))
La parte 2 se encarga de definir la base para los requisitos funcionales de seguridad expresados en un Perfil de Protección (PP) o un objetivo de seguridad (ST). Estos requisitos describen el comportamiento de seguridad que se desea o se espera de un objetivo de evaluación (TOE) o el entorno de TI de las TOE y se destinan a cumplir los objetivos de seguridad como se indica en un PP o un ST.
Estos requisitos describen las propiedades de seguridad que los usuarios pueden detectar mediante la interacción directa (es decir, entradas, salidas) con el sistema o producto de TI o de la respuesta al estímulo de TI.
Los componentes funcionales de Seguridad expresan los requisitos de seguridad destinadas a
contrarrestar las amenazas en el entorno operativo del TOE asumido y/o cubrir las políticas de
seguridad de la organización identificadas y las hipótesis.
Estructura de las clases de seguridad:
FAU – Auditoría de seguridad
FCO – Comunicación
FSC – soporte criptográfico
FDP – Protección a datos de usuario
FIA – Identificación y autenticación
FMT – Gestión de seguridad
FPR – Privacidad
FPT – Protección de la función de seguridad del TOE
FRU – Utilización de los recursos
FTA – Acceso al TOE
FTP – Rutas y canales confiables
La parte 3 define la base para los requisitos de garantía de seguridad expresada en un perfil de protección (PP) o un objetivo de seguridad (ST). Esta parte cataloga el conjunto de componentes de seguridad, las familias y las clases. También define los criterios de evaluación de PP y ST y presenta niveles de evaluación que definen la escala predefinida para la clasificación de los TOEs, que se llama la Evaluación de Garantía de Niveles (EALs).
Perfil de Protección (PP): es una estructura formal independiente de implementaciones concretas que especifica el entorno donde se utilizara el TOE (amenazas a las que va a estar expuesto), los objetivos de seguridad y los requisitos de seguridad que el TOE debe satisfacer para alcanzar los objetivos de la seguridad. Tiene la intención de especificar a priori los requisitos de seguridad de un sistema (para su adquisición o desarrollo).
Criterios para la evaluación de PP:
• APE_DES — Descripción del TOE.
• APE_ENV — Ambiente de seguridad.
• APE_INT — Introducción del PP.
• APE_OBJ — Objetivos de seguridad.
• APE_REQ — Requerimientos de seguridad de TI.
• APE_SRE — Declaración explicita de los requerimientos de seguridad de TI.
Objetivo de Seguridad (ST): estructura formal aplicable únicamente a un producto específico, por tanto dependiente de la implementación. Mediante el ST el desarrollador identifica los requisitos que serán, o son, satisfechos por su producto o sistema (TOE).
Criterios para la evaluación de ST:
• ASE_DES — Descripción del TOE
• ASE_ENV — Ambiente de seguridad
• ASE_INT — Introducción del ST
• ASE_OBJ — Objetivos de seguridad
• ASE_PPC —Solicitudes de PP
• ASE_REQ — Requerimientos de seguridad de TI
• ASE_SRE — Declaración explicita de los requerimientos de seguridad de TI.
• ASE_TSS — Resumen de especificaciones del TOE
Niveles EALs. Viene a ser una escala de evaluación del marco de seguridad implantado en una organización, y se divide en 7 niveles que van de la baja confianza al alto nivel de confianza:
EAL1: Funcionalmente a prueba.
EAL2: Estructuralmente a prueba.
EAL3: Metódicamente probado y comprobado.
EAL4: Metódicamente diseñados, probados y revisados.
EAL5: Semi-formalmente diseñados y probados.
EAL6: Semi-formalmente verificado el diseño y la prueba.
EAL7: Formalmente verificado el diseño y la prueba.
Legislaciones más avanzadas sobre seguridad
UK legislation:
Copyright Designs and Patents Act 1988 (CDPA);
Computer Misuse Act 1990 (CMA); regula el acceso al material contenido en los computadores.
Data Protection Act 1998 (DPA). Requiere la implementación en las organizaciones de medidas de seguridad para los datos para prevenir su procesamiento no autorizado o ilegal. Incluye el almacenamiento, el daño y la pérdida.
Human Rights Act 1998 (HRA); incopora en la legislación de UK las directrices de la Convención Europea sobre derechos humanos y libertades fundamentales.
Electronic Communications Act 2000; Regula el uso de criptografía y firmas electrónicas, junto con las Electronic Signatures Regulations 2002 y las Electronic Commerce Regulations 2002.
Freedom of Information Act 2000 (FOIA); Regula el acceso a todo tipo de información manejada por las autoridades públicas.
Regulation of Investigatory Powers Act 2000 (RIPA); Section 1 considera ilegal la intercepción de comunicaciones en una red pública o privada sin una autorización de las autoridades pertinentes. También regular el modo en que los empleadores han de informar a los trabajadores cuando sus comunicaciones van a ser interceptadas. Esto implica la introducción de políticas de uso.
Privacy and Electronic Communications Regulations 2003
Software Licensing Regulations, como la Public Interest Disclosure Act (the ‘Whistle-Blowers Act’), que regula el uso de software bajo licencia y sanciona el uso de software ilegal en las empresas.
La DPA obliga a las organizaciones, tanto públicas como privadas a la implementación de medidas de seguridad para prevenir accesos no autorizados, procesamiento inapropiado (incluyento el almacenamiento), pérdida o daño de los datos. Estos datos están contenidos en registros en cualquier formato, incluido el formato papel o no-computerizado, o también en sitios web, material para selección de personal, revisiones médicas a empleados, etc.
EU Directives:
EU Data Protection Directive of 1995.
EU Privacy Directive of 2003.
US legislation:
Gramm-Leach-Bliley Act (the ‘GLBA’), manejo de datos financieros de clientes; manejo de información privada; seguridad de productos y servicios en internet; transacciones financieras seguras; medidas anti-terroristas.
Health Insurance Portability and Accountability Act (HIPAA), 1996. Regula el pago y entrega de servicios de sanitarios, junto con la seguridad aplicable a la información de la salud y clínica.
Federal Financial Institutions Examination Council (FFIEC), establecido bajo el Título X del Financial Institutions Regulatory Rate Control Act (FIRCA, Public Law 95-630), 1979. Le siguió el Título XI del Financial Institutions Reform, Recovery, and Enforcement Act (FIRREA) de 1989.
Fair Credit Reporting Act (the ‘FRCA’), para la protección de las personas contra el robo de identidad en ambitos financieros;
Payment Card Industry (PCI) Data Security Standard (DSS) version 1.2, 2006, para la protección de datos contables de clientes. Afecta al almacenamiento, transmisión y procesamiento usando tarjetas de crédito. PCI DSS describe las actividades que deben cumplir las organizaciones para el manejo y administración de los sistemas de información.
Sarbanes-Oxley (2002, SOX); aplicable al sector público para prevenir fraudes y falsificaciones en el ámbito financiero-contable. Define los requisitos para el almacenamiento de los registros y el periodo de retención de los mismos. La Section 404 de la Sarbanes Oxley, exige que las compañías aseguren su información, incluyendo los e-mails, ficheros adjuntos, etc.; el conjunto de controles implementados ha de ser sostenible y ha de funcionar tal como está previsto.
Federal Information Systems Management Act (FISMA, 2002). Afecta a las entidades gubernamentales, como parte de la E-Government Act (Public Law 107-347). En el Title III se requiere que cada agencia federal desarrolle, documente e implemente un sistema de seguridad de la información que proporcione controles para la información y los sistemas que operan con ella. Este sistema ha de incluir a terceros, si éstos intervienen o manejan la información de la entidad.
El cumplimiento de esta legislación, especialmente la DPA, implica que las organizaciones han de ser capaces de identificar los pasos seguidos para proteger la disponibilidad, confidencialidad e integridad de los activos informativos de la organización. Ha de existir una política de gestión de la seguridad basada en un análisis de riesgos e implementada mediante un Sistema de Gestión de la Seguridad de la Información (ISMS).
Software Copyright
Todo software ejecutándose dentro de la red de una compañía puede estar sujeto a restricciones de copyright, con lo que la compañía debe asegurarse de que dispone de las licencias adecuadas y en la cantidad correcta[1].
Las organizaciones deben incluir en su política de seguridad el manejo de material sujeto a copyright y su uso de acuerdo con los términos indicados en las licencias.
Hay dos tipos de licencia de usuario: la licencia por sitio y la licencia por usuarios concurrentes. La organización ha de tener claro qué paquetes de software requieren licencia, qué tipo de licencia tiene cada paquete y de cuántas licencias se dispone para cada software.
Las aplicaciones “freeware” disponibles desde internet también están sujetas a licencia, aunque no se pague por ellas. Normalmente el usuario ha de aceptar los términos de la licencia antes de descargar o instalar el software. La organización debe mantener un registro de todas estas licencias para asegurar que sus términos están siendo cumplidos.
Se debería mantener un registro de licencias donde conste la fecha de adquisición y de caducidad. Cada vez que se incorpore un PC a la red de la compañía debería quedar reflejado en este registro como la adición de nuevas licencias asociadas con el software instalado en el PC. Normalmente este tipo de datos se reflejan en la documentación asociada con el sistema de Gestión de Cambios.
El personal debería firmar un acuerdo para el uso del software bajo licencia en el que se determine que el uso de software ilegal puede dar lugar a una acción disciplinaria.
De forma periódica se debería revisar el software instalado en los computadores, guardando los registros que demuestren que las máquinas se han auditado y se han tomado las acciones pertinentes cuando se han encontrado anomalías (aplicaciones ilegales o sin licencia), como puede ser el borrado de aplicaciones o la adquisición de más licencias.
Principios y Requisitos de la infraestructura de seguridad
Infraestructura de Seguridad
El conjunto de elementos normativos, procedimentales, físicos, lógicos, etc, que conforman la infraestructura de seguridad de una organización se pueden situar en una pirámide en la que los elementos superiores determinan y conforman los inferiores. De este modo los elementos tácticos (políticas de seguridad) determinan los estratégicos (clasificación y organización de los activos de seguridad, conformidad con normativas y legislaciones) y éstos sirven para definir los elementos operativos (gestión de la seguridad del entorno, de los sistemas, de las operaciones,…; gestión de incidencias y continuidad), como se ve en la imagen siguiente:
Las regulaciones o reglamentos (Regulations) son mandatos o normas de obligado cumplimiento que deben ser implementadas, de lo contrario pueden dar lugar a multas, cierre del negocio o incluso encarcelamiento. Ejemplos de reglamentos son la Sarbanes–Oxley Act (SOX), la Gramm–Leach–Bliley Act (GLBA), o la Health Insurance Portability and Accountability Act (HIPAA).
Las políticas (policies) son declaraciones documentadas de requerimientos de alto nivel (high-level requirements) e intenciones de gestión.
Los estándares proporcionan instrucciones o indicaciones basadas en las políticas o en otros estándares, de manera que enlazan las políticas con los procedimientos. Un ejemplo es el estándar ISO 27001, dedicado a la seguridad de la información.
Los procedimientos (procedures) son instrucciones para la ejecución paso a paso de procesos. Son más detallados que las políticas e indican la forma concreta de implementarlas.
Las directrices (Guidelines) son ejemplos de implementación para casos concretos de ciertos procedimientos. Constituyen un conjunto de buenas prácticas que se recomienda seguir en determinadas circunstancias.
Requisitos Básicos de Seguridad de la Información (Infosec Basics)
Requisitos mínimos de seguridad que deben implementarse en organizaciones de cualquier tamaño:
Disponer de una política de seguridad.
Establecimiento de responsabilidades y procedimientos.
Clasificación de la información e identificación de los propietarios.
Los contratos y los acuerdos con terceros deben incluir la seguridad de la información.
Proporcionar seguridad física a los sistemas de información.
Mantener actualizado el software antivirus.
Implementar y hacer cumplir los controles de acceso físicos.
Implementar y hacer cumplir los controles de acceso a los sistemas.
Gestionar las vulnerabilidades.
Disponer de un procedimientos de respuesta a las incidencias.
Disponer de un plan de continuidad del negocio y de un plan de recuperación de desastres.
Monitorizar el cumplimiento.
Documentar las políticas, procesos y procedimientos.
Asegurarse de que los usuarios son entrenados y conscientes de sus responsabilidades.
Principios Generales de Seguridad de la Información (Generally Accepted Information Security Principles, GAISP [2])
Principio de penetración (The pervasive principle): ha de existir un conjunto claramente definido de responsabilidades en materia de seguridad de la información.
Principio de concienciación (The awareness principle): todos los empleados tienen que tener un conocimiento adecuado de las políticas de seguridad de la información. También deben ser informados de las amenazas que puedan existir sobre la seguridad de los dato.
Principio ético (The ethics principle): usuarios y administradores deben usar la información de forma éticamente responsable.
Principio multidisciplinario (The multidisciplinary principle): todo el personal esencial de la diferentes unidades de negocio debe ser implicado en el programa de seguridad de la información.
Principio de proporcionalidad (The proportionality principle): los análisis de riesgos son esenciales para determinar la protección más adecuada para los activos de información y la porción de recursos apropiada que se ha de dedicar a estos activos.
Principio de integración (The integration principle): debe haber un programa de seguridad de la información que abarque toda la organización, coordinado e integrado con cada unidad de negocio.
Principio de puntualidad (The timeliness principle): los agujeros de seguridad deben manejarse de una forma eficiente y en un tiempo razonable.
Principio de valoración (The assessment principle): deben evaluarse los riesgos periódicamente y cuando ocurran cambios en los sistemas o en la tecnología aplicada.
Principio de equidad (The equity principle): los sesntimientos personales no deben interferir en el manejo de la seguridad de la información.
Evaluación de la Infraestructura de Seguridad
Evaluación y clasificación de los Activos de Información
Para la gestión de la seguridad de la información necesitamos en primer lugar evaluar los activos de información, empezando por elaborar un inventario de los mismos. La clasificación de la información corporativa es un modo de asegurar que esta información tiene el nivel apropiado de protección, según su criticidad establecida mediante un análisis de riesgos.
La gestión de activos determina la capacidad de la infraestructura de seguridad para proteger los activos de la empresa. Esta gestión incluye:
Mantenimiento de un inventario detallado de los activos, estableciendo al mismo tiempo quiénes son los responsables de cada uno.
Clasificación de los activos basadas en un impacto o importancia para el negocio.
Etiquetado. Los activos se etiquetan según su clasificación.
Manejo de activos. Incluyendo la transferencia, tiempo de retención, eliminación, etc.
Las reglas para el uso aceptable de la información y de los activos para su procesamiento se han de especificar, documentar y divulgar.
La clasificación nos proporcionará al mismo tiempo una línea base (baseline) para determinar la situación actual y las mejoras a implementar.
ISO27002 identifica seis clases de activos:
Activos de información. Incluída la información impresa o en papel, o transmitida por diferentes medios, o almacenada en servidores, sitios web, teléfonos móviles, dispositivos USB, cintas de backup, etc. También incluye bases de datos, contratos y acuerdos, documentación del sistema, manuales de usuario, material de formación, procedimientos operacionales o de soporte, planes de continuidad del negocio, audit trails, etc.
Datos. Conjuntos de instrucciones que indican a los sistemas cómo manipular la información (sistemas operativos, aplicaciones, herramientas de desarrollo, utilidades,etc).
Activos físicos. Lugares donde la información es manipulada. Computadores y dispositivos periféricos, especialmente dispositivos de almacenamiento.
Servicios utilizados por los sistemas computerizados.
Personal. Conocimientos, experiencia, formación.
Intangibles. Propiedad intelectual, reputación, imagen corporativa, etc.
La identificación de los activos implica al mismo tiempo:
Las identificación de los “límites” físicos y lógicos.
La identificación de los sistemas necesarios para la adquisición, copiado, almacenamiento, manipulación y transmisión de la información dentro de esos límites.
La cadena de custodia y registro de eventos de seguridad (log, trazabilidad de las actividades realizadas con la información);
Los procedimientos establecidos para la destrucción de los activos.
La identificación de las relaciones entre los sistemas, los activos, los objetivos organizacionales y las tareas.
La identificación de los activos que son críticos, ordenados según su prioridad.
Los datos se deben clasificar de acuerdo con su disponibilidad, integridad y confidencialidad. Existen varias clasificaciones estandarizadas, como la ISEC-4.
El Department of Trade and Industry del Reino Unido ha establecido unos criterios para la clasificación de la información (unified classification markings) que pueden ser unos buenos criterios para la evaluación de nuestros activos:
SEC1. Información cuya revelación no autorizada fuera de la organización puede ser inapropiada o inconveniente. Información rutinaria de bajo riesgo.
SEC2. Información cuya revelación no autorizada, incluso dentro de la organización, puede causar un perjuicio significativo para los intereses de la misma organización (pérdidas financieras, pérdida de oportunidades, pérdida de reputación, etc). Aquí se puede incluir: información de negociaciones, información de marketing, evaluación de competidores, información sobre el personal, información sobre clientes. Se recomienda “marcar” esta información como Restringida.
SEC3. Información cuya revelación no autorizada, incluso dentro de la organización, puede producir serios daños a los intereses de la misma (pérdidas financieras, pérdida de oportunidades, reputación, imagen,etc). Aquí se puede incluir: detalles de adquisiciones, márgenes o inversiones; estrategia del negocio, estrategia de la competencia, evaluación muy sensible de vendedores o competidores, planes de negocio de alto nivel, información secreta de patentes, et. Se recomienda marcar esta información como Confidencial.
De acuerdo con su clasificación los datos deben ser adecuadamente protegidos mediante contraseñas, encriptación, etc.
Según el ISO 27001, para cada uno de los activos se ha de definir un propietario (persona o entidad responsible del control de la producción, desarrollo, mantenimiento, uso y protección del activo).
Amenazas (Threats) y Vulnerabilidades
Una amenaza es algo que potencialmente puede causar un daño. Algunas amenazas son más probables que otras, pero se ha de definir cada una con un único impacto o daño. Las amenazas para un activo afectan a alguno de los tres atributos principales de seguridad: la confidencialidad, la integridad o la disponibilidad.
Las vulnerabilidades son debilidades que pueden ser usadas por las amenazas para causar un daño.
Técnicas usuales en la evaluación de la vulnerabilidad de un sistema son: Network scanning, Port scanning, Password cracking (identificación de contraseñas “débiles”), revisión de logs, chequeo de la integridad (checksums, hash, firmas digitales), detección de virus, escaneo de conexiones wifi no autorizadas,o el test de penetración.
Una metodología ampliamente usada para el testing de las vulnerabilidades es la desarrollada por la National Security Agency’s INFOSEC Evaluation Methodology (IEM), que es independiente de la aplicación y del sector al que pertenezca la organización. La IEM se centra en 10 actividades que recogen información sobre el estado actual de la seguridad de una organización:
port scanning;
SNMP scanning;
Enumeración y captura de banners;
wireless enumeration;
vulnerability scanning;
host evaluation;
network device analysis;
password compliance testing;
application-specific scanning;
network sniffing.
La vulnerabilidad puede ser:
Vulnerabilidad administrativa. Defectos en políticas, procedimientos o actividades de seguridad.
Vulnerabilidad física. Defectos físicos, geográficos, de personal o en los controles relacionados.
Vulnerabilidad técnica. Defectos en los controles lógicos de los sistemas de la organización (routers mal configurados, puertas traseras en los programas, contraseñas débiles,…).
Fig. Relación de las vulnerabilidades con los otros elementos de la seguridad de la información.
La implantación de un sistema de gestión de vulnerabilidades implica que éstas han sido identificadas, se ha determinado como tratar cada una de ellas y las acciones tomadas han sido monitorizadas y trazadas. Como resultado de esta gestión de vulnerabilidades hemos de tener:
Priorización de los sistemas.
Priorización de las vulnerabilidades.
Definición de roles y responsabilidades respecto a la gestión de vulnerabilidades.
Identificación, para cada software y tecnología, de fuentes relevantes de información sobre identificación de vulnerabilidades
Análisis de riesgos para incorporar o no un parche o actualización relacionado con una vulnerabilidad y para decidir los pasos a realizar, que puede incluir la realización de pruebas para evaluar que no hay efectos adversos sobre otros sistemas.
Se permite, en circunstancias especiales o de emergencia, la instalación de parches o actualizaciones siguiendo un proceso de respuesta a incidentes.
Se permite llevar a cabo acciones provisionales (cambio de accesos o privilegios, p.ej.) o controles alternativos, mientras no pueda incorporarse un parche que cubra la vulnerabilidad.
Registro de la actividad (audit log) en relación con la gestión de vulnerabilidades.
Revisión y monitorización periódica del proceso de gestión de vulnerabilidades.
Las SANS [3] Top 20 son las vulnerabilidades que han de tenerse cubiertas en primer lugar. Éstas son:
1: Inventory of Authorized and Unauthorized Devices
2: Inventory of Authorized and Unauthorized Software
3: Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers
4: Continuous Vulnerability Assessment and Remediation
5: Malware Defenses
6: Application Software Security
7: Wireless Device Control
8: Data Recovery Capability
9: Security Skills Assessment and Appropriate Training to Fill Gaps
10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
11: Limitation and Control of Network Ports, Protocols, and Services
12: Controlled Use of Administrative Privileges
13: Boundary Defense
14: Maintenance, Monitoring, and Analysis of Security Audit Logs
15: Controlled Access Based on the Need to Know
16: Account Monitoring and Control
17: Data Loss Prevention
18: Incident Response Capability
19: Secure Network Engineering
20: Penetration Tests and Red Team Exercises
Análisis de Riesgos
Un riesgo es la probabilidad de que algo malo ocurra, o la combinación de la probabilidad de un evento y sus consecuencias. Para tener un riesgo hemos de tener una amenaza y una vulnerabilidad explotada por esa amenaza.
ISO27001 indica seis pasos para llevar a cabo el análisis de riesgos para la seguridad de la información en una organización:
Identificación de los activos.
Identificación de las amenazas para la confidencialidad, disponibilidad e integridad de los activos.
Identificación de las vulnerabilidades que puede ser explotadas por las amenazas.
Evaluación de los posibles impactos de las amenazas.
Evaluación de la probabilidad de ocurrencia.
Evaluación del riesgo. Implica el establecimiento del Nivel de riesgo, que es una función del impacto y la probabilidad, y suele tener tres posibles valores: Bajo, Medio o Alto.
Los principales temas incluídos en un análisis de riesgos de seguridad típico son:
Seguridad física
Gestión de la Seguridad
Políticas, estándares, guías, procedimientos.
Sensibilización del usuario.
Empleo (procedimientos de incorporación/suspensión de cuentas de usuario o cambios de privilegios).
Gestión de Cambios y Configuraciones.
Clasificación de activos y matrix de responsabilidades
Telecomunicaciones y redes
Control de acceso.
Configuración de los dispositivos de red.
Gestión de la Configuración.
Trazabilidad (logging), auditoría, monitorización y encriptación.
Anti-virus.
Copias de seguridad y restauración.
Administración y separación de funciones.
Conectividad y Acceso remoto de personal externo.
Arquitectura de LAN/WAN.
Acceso a Internet/Intranet/Extranet
Aplicaciones y Desarrollos
Controles sobre el desarrollo de código fuente. Testing. Implementación.
Controles para el desarrollo de sistemas. Ciclos de vida de las aplicaciones, testing del sistema, desarrollo de requerimientos, revisión de procesos.
Recuperación de la actividad
Recuperación de desastres (Disaster recovery, a nivel corporativo y departamental)
Business impact statements
Estragegias de copia y recuperación
Respuesta a incidencias
Ejemplo de valoración cualitativa de los activos según su criticidad:
| Criticidad | Evaluación del impacto/Criterios de prioritización |
| Crítico | Si el activo se ve comprometido puede conllevar graves consecuencias, que pueden incluso afectar severamente a personas o interrumpir una función crítica para el negocio. |
| Alto | El activo comprometido puede conllevar serias consecuencias que podrían poner en peligro el buen funcionamiento de una función crítica para el negocio. |
| Medio | El activo comprometido puede tener consecuencias moderadas que a corto plazo pueden perjudicar una función crítica del negocio. |
| Bajo | El activo comprometivo puede ocasionar un impacto pequeño o inexistente en alguna función importante para el negocio. |
Con objeto de mitigar los riesgos encontrados se han de implementar medidas de protección contra la amenaza encontrada. Estas medidas se denominan Controles. Los controles son la manera de manejar el riesgo, incluyendo aquí las políticas, procedimientos, guías, prácticas y estructuras organizacionales (que pueden ser administrativas, técnicas, de gestión o normativas).
Los controles se dividen en tres categorías: Físicos, Lógicos o Administrativos.
Los controles físicos protegen el entorno en el que se trabaja con los activos o éstos se guardan. Los controles lógicos protegen los sistemas, redes o entornos en los que se procesa, transmite o almacenan los activos. Aquí se incluyen las contraseñas, la encriptación, los controles de acceso lógico, los firewalls, los sistemas de detección de intrusos, etc.
Los controles administrativos se basan en reglas, leyes, políticas, procedimientos, guías y otros ítems tradicionalmente en formato papel. Sirven para establecer la manera en que los usuarios deben comportarse para el manejo correcto del activo.
El ISC-CBK (Common Body of Knowledge del Internet System Consortium) describe cinco tipos de controles:
Directivos, generalmente administrativos, como la creación de políticas;
Preventivos, que protegen las vulnerabilidades y hacen que los ataques fracasen o reducen su impacto;
Detectivos, que descubren los ataques y desencadenan la actuación de controles preventivos o correctivos;
Correctivos, que reducen el efecto de un ataque;
Disuasivos, destinados a desalentar a los infractores de realizar fraudulentas.
Otras clasificaciones incluyen controles más propios de las operaciones (llamados controles OPSEC, de OPerationsSECurity):
Controles de Aplicación. Principalmente aquellos que sirven para monitorizar los procesos de instalación y actualización de versiones de las aplicaciones.
Controles de Transacción. Usados para verificar la entrada y salida de datos a los largo de los procesos, aceptando o rechazando los datos en ciertos puntos.
Finalmente, los riesgos encontrados se pueden manejar de las siguientes formas:
Eliminación o resolución de los riesgos.
Reducción de aquellos riesgos que no pueden eliminarse hasta un nivel aceptable.
Aceptación del riesgo. Decisión deliberada de asumir el riesgo mientras no afecte o distorsione seriamente los objetivos del negocio.
Transferencia de los riesgos a otra organización mediante externalización de servicios o mediante una aseguradora que los asuma y se haga cargo de compensar el daño causado si se produce.
Como conclusión del análisis de riesgos se hacen recomendaciones para las vulnerabilidades consideradas como de medio o de alto riesgo y que requieren esfuerzos para mitigarlas o reducirlas hasta un nivel aceptable.
Los riesgos que no pueden eliminarse se definen también en términos económicos, midiendo su impacto económico sobre los activos de la organización. De este modo el análisis de riesgos también se basa en una evaluación del coste económico que supondría el establecimiento o no de determinados controles para eliminar un riesgo. La propia organización debe especificar los criterios para aceptar un riesgo (su impacto económico es despreciable, por ejemplo) o para implantar controles que lo minimicen o eliminen (puede afectar a un activo crítico y por tanto ha de ser controlado, por ejemplo).
Evaluación de la madurez de la infraestructura de seguridad
Un modelo de madurez es un conjunto estructurado de elementos indicativos del grado en el que la organización gestiona, mantiene, mejora e informa sobre todos aquellos aspectos relacionados con la seguridad de sus activos de información. Un modelo de madurez, de forma general:
Establece un orden definido, organizado en niveles o etapas progresivas.
Establece de manera explícita los pasos a realizar o los aspectos que han de cumplirse para que la organización evolucione hacia niveles mayores de madurez.
Está diseñado para ser aplicable independientemente de la organización, sector, industria o sistema informático.
Se puede usar como guía para la mejora de la seguridad en los sistemas informáticos de una organización, ayudando a determinar la situación actual y los pasos a realizar para alcanzar el siguiente nivel.
Puede ser útil para priorizar inversiones o concentrar esfuerzos en determinados aspectos menos evolucionados de la infraestructura de seguridad.
Los modelos de madurez más conocidos son:
Modelo del NIST[4] CSEAT SMM (Computer Secutiry Expert Assist Team Security Madurity Model). Considera cinco niveles de madurez progresiva: 1. Política, 2. Procedimiento, 3. Implantación, 4. Prueba, 5. Intregración. Se centra principalmente en la documentación de cada nivel.
Modelo de COBIT[5]. Cinco niveles: 1. Inicial o ad hoc, 2. Repetible pero intuitivo, 3. Procesos definidos, 4. Gestionado y medible, 5. Optimizado. Se centra en procedimientos específicos de auditoría.
Modelo ISM3 (Information Security Management Maturity Model). Centrado en integración de procesos. Los niveles son: 1. Indefinido, 2. Definido, 3. Gestionado, 4. Controlado, 5. Optimizado.
Modelo SSE-CMM (Systems Security Engineering Capability Maturity Model). Cinco niveles: 1. Realizado informalmente. 2. Planificado, perseguido, 3. Bien definido, 4. Controlado cuantitativamente, 5. Continuamente mejorado. Desarrollado inicialmente para los procesos relativos al desarrollo e implementación de software por la Universidad Carnegie-Mellon para el SEI (Software Engineering Institute).
Modelo CERT/CSO[6]. Cinco niveles: 1. Existente, 2. Repetible, 3. Persona designada, 4. Documentado, 5. Revisado y actualizado. Se evalúa el progreso de acuerdo con cuatro niveles: 1. inicial, 2. en desarrollo, 3. establecido, 4. gestionado.
Los diferentes niveles que consideran los distintos modelos podrían resumirse como sigue:
Nivel 1 (Maturity Level 1). Seguridad física, falta de confidencialidad, protección básica de computadores y redes.
No hay un programa de seguridad como tal. Los temas de seguridad no están formalmente tratados. No hay una política de seguridad documentada. Los procedimientos y tareas de seguridad se van haciendo sobre la marcha. Los activos de información no están clasificados ni valorados. Las actividades de seguridad se incluyen dentro de las funciones generales de IT. La seguridad de la información no está implicada en el desarrollo de nuevos sistemas. Como mucho se espera la aprobación de algún responsable para implantar los nuevos sistemas en producción. Los desarrolladores no están familiarizados con las características de la programación segura y tienen acceso no controlado ni monitorizado a los sistemas en producción. Tampoco se controla o se realiza ordenadamente el paso de los sistemas entre entornos de desarrollo, test y producción. No existe personal dedicado a la seguridad de la información ni hay formación específica sobre estos temas. Sólo un mínimo de herramientas, como un firewall y algún antivirus, se dedican a la protección de datos y aplicaciones, pero no hay personal entrenado para configurar adecuadamente los elementos de red, incluida la WLAN. La aplicación de parches y actualizaciones es irregular y a menudo con retraso. Los cambios en los sistemas se hacen sin planificar y sin trazar. El test de los cambios tampoco se hace de forma organizada y completa. Existen cuentas activas de usuarios que ya no están en la empresa. Los sistemas de autenticación son débiles y los empleados no se forman sobre el uso de contraseñas adecuadas. No hay una política de gestión de contraseñas. Los accesos y los intentos de acceso no son monitorizados o registrados en logs. No hay auditorías o evaluaciones en las que se preste atención a los temas de seguridad. No existe un Plan de Continuidad del negocio, o planes de contingencia y recuperación. No hay un sistema de gestión de incidentes de seguridad. No hay un programa para la formación y concienciación del personal sobre los temas de seguridad.
Nivel 2 (Maturity Level 2). Se ha establecido un programa de seguridad básico. Los gestores están concienciados de forma básica sobre los temas de seguridad, pero de forma reactiva o en respuesta a las incidencias que van ocurriendo.
Políticas de Seguridad. Se han implantado algunas políticas básicas, como el uso del email por los empleados. Se han identificado los sistemas que contienen datos críticos, pero no están totalmente documentados, aunque reciben más atención y protección que otros sistemas.
Soporte a la gestión. Los gestores son conscientes de que es necesario algún tipo de control de seguridad para proteger los activos de información, aunque el gasto en seguridad sigue siendo un pequeño porcentaje asignado al gasto en IT.
Integración de la seguridad en el Ciclo de Vida del Desarrollo del Software. La seguridad forma parte de la fase de test en el desarrollo de sistemas y antes de llevar el sistema al entorno de producción. Algunos desarrolladores han recibido formación sobre métodos de programación segura, pero estos métodos no se siguen de forma consistente y documentada.
Personal de Seguridad. El personal clave de IT ha recibido algo de formación y entiende las implicaciones en las áreas principales de riesgo. Hay personal de IT dedicado casi todo el tiempo a temas de seguridad.
Infraestructura y herramientas de seguridad. Se han implementado una serie de herramientas en la red corporativa y en los sistemas informáticos, aunque existen algunas brechas que implican amenazas significativas contra la seguridad. Los antivirus se actualizan automáticamente, existen detectores de intrusos en algunos segmentos de la red, aunque las alarmas generadas no son gestionadas apropiadamente y pueden pasar desapercibidas o hay un exceso de alarmas irrelevantes. Se ha implementado un filtrado del tráfico para las conexiones remotas de colaboradores y terceras empresas.
Gestión de amenazas y vulnerabilidades. La identificación de los sistemas clave implica la priorización de la aplicación de parches, aunque a menudo los servidores web periféricos reciben menos atención que los servidores de bases de datos internos. Los parches críticos se aplican, pero con demasiada lentitud, debido al uso de procedimientos manuales.
Gestión de la configuración. Los desarrolladores tienen acceso a los sistemas de producción, ya que son los único que saben cómo configurar y resover las dificultades en el manejo de las aplicaciones en ejecución, pero al menos necesitan la aprobación de un responsible de operaciones para poder intervenir. El tiempo de inactividad es reducido pero a costa de un testeo incompleto, especialmente el test de integración.
Control de acceso. Se controlan las cuentas de usuario que acceden a los sistemas, aunque no todas las cuentas se desactivan con la suficiente rapidez (revisiones mensuales o trimestrales, p.ej.). Existen recomendaciones sobre el uso de contraseñas. Algunos sistemas clave utilizan autenticación fuerte para el acceso administrativo y se generan logs sobre el acceso a los sistemas críticos, aunque se monitorizan manualmente.
Auditorías y evaluaciones. Una empresa externa realiza periódicamente (al menos una vez al año) auditorías y evaluaciones de seguridad, pero los informes no llegan a nivel de dirección, de manera que algunos defectos significativos permanecen no resueltos.
Continuidad del negocio. Existe un plan de contingencia y recuperación de desastres (DRP, Disaster and Recovery Plan) básico, pero nunca se ha probado. Puede haber un contrato con un centro externo de recuperación. Pero los gestores no prestan mucha antención a los temas relacionados con recuperación de desastres. Las cintas u otros dispositivos de copias de seguridad no suelen probarse para verificar la recuperabilidad.
Manejo de incidencias. Existe un proceso básico para el manejo de incidentes, documentado. Algunos empleados clave han recibido formación básica sobre ello, pero no se ha creado un equipo de trabajo y en general los incidentes de seguridad reciben respuestas precipitadas e improvisadas.
Formación y concienciación. Los esfuerzos para concienciar al personal son rudimentarios e infrecuentes. Algunos empleados desconocen los comportamientos básicos para preservar la seguridad en su puesto de trabajo, lo que resulta en ataques regulares de malware y otros incidentes.
Nivel 3 (Maturity Level 3). Existe un gestor de seguridad y una focalización en áreas estratégicas, pero algunos procesos resultan costosos y enlentecedores debido a la falta de buenas herramientas para automatizarlos.
Políticas de seguridad. Un conjunto de políticas, estándares y guías se han desarrollado y divulgado por toda la organización. El cumplimiento es monitorizado en algunas áreas pero no en otras. Algunas áreas usan herramientas para hacer más efectiva la monitorización.
Soporte a la gestión. El presupuesto de seguridad está dentro de lo indicado para el sector. Los gestores tienen un buen conocimiento de los riesgos que tiene la información y da soporte a un programa de seguridad consolidado. Los gestores de seguridad proporcionan un informe periódico a dirección sobre métricas y estado de la seguridad.
Integración de la seguridad en el Ciclo de Vida del Desarrollo del Software. La seguridad está integrada en el desarrollo de nuevos sistemas desde el inicio, determinando el paso a producción. Se ha implementado un procedimiento para la aceptación de riesgos en sistemas que no cumplen con algún requisito. La mayor parte de los desarrolladores han recibido formación sobre los métodos seguros de desarrollo.
Personal de seguridad. Existe un equipo de seguridad dedicado con personal certificado y experimentado, dirigido por un senior manager o un chief information security officer. El cumplimiento de los objetivos de seguridad es también garantizado por personal clave en otros departamentos.
Infraestructura y herramientas de seguridad. Se han implementado herramientas en red que proporcionan controles preventivos y detectores que monitorizan e informan sobre actividades sospechosas, ataques, intentos de acceso, etc. Estas herramientas requieren personal dedicado. Una herramienta de gestión de eventos de seguridad (SEM, security event management) se usa para normalizar y centralizar las alertas procedentes de los sistemas de detección de intrusiones (IDS), los firewalls y los logs de los sistemas críticos.
Gestión de amenazas y vulnerabilidades. Los sistemas críticos son parcheados y actualizados semanalmente, usando herramientas de automatización.
Gestión de la configuración. El acceso a los sistemas de producción está restringido al personal de operaciones. Los parches y actualizaciones son testados en primer lugar en un entorno de desarrollo. Los datos de configuración del sistema se almacenan manualmente en repositorios dedicados.
Control de acceso. Las cuentas de usuario que acceden a los sistemas están controladas, aunque en su mayor parte de forma manual. No se ha implantado un sistema general de gestión de IDs. Algunas aplicaciones críticas, así como el acceso como administrador a los servidores o a la infraestructura de red, requieren una autenticación fuerte de dos factores. El centro de datos (data center) se encuentra en una instalación segura con acceso muy controlado. Se han establecido responsables o propietarios de los diferentes datos, con capacidad para decidir sobre el acceso a los mismos.
Auditorías y evaluaciones. De forma regular se realizan auditoría y evaluaciones de seguridad. Los resultados son comunicados a los responsables, que responden colectivamente mediante planes de acción. La evaluación de la seguridad también está implicada en el proceso de selección de colaboradores y alianzas con otras empresas, estableciendo requisitos para la evaluación de las prácticas de seguridad de terceros. Sin embargo, los procedimientos de auditoría y evaluación no siempre están bien coordinados, produciendo duplicidades, especialmente en el área de auditorías para cumplimientos regulatorios.
Continuidad del negocio. Un plan completo existe y ha sido probado al menos una vez en el último año. Sin embargo puede no haber sido actualizado para reflejar las últimas novedades o funciones IT añadidas. El plan es respaldado y promovido por dirección. Los sistemas para copia de seguridad de aplicaciones críticas se comprueban en cuanto a su restauración de forma regular.
Gestión de incidentes. Existe un equipo de respuesta a incidentes formado por personas entrenadas de los departamentos clave. El plan de Respuesta a Incidentes (IR Plan) es probado al menos una vez al año, y el equipo es capaz de responder razonablemente bien a los incidentes. No obstante existen algunos déficits de coordinación entre departamentos.
Formación y concienciación. Los nuevos empleados son informados sobre las políticas de seguridad, existe un esfuerzo annual para recordar a los empleados la importancia de ciertas prácticas. También existen disposiciones para la protección de la propiedad intelectual.
Nivel 4 (Maturity Level 4). El nivel más alto alcanzable por un programa de seguridad. El programa opera de forma optimizada y efectiva, con el suporte de dirección, creando una organización consciente de los riesgos y no basada exclusivamente en un equipo responsable de la seguridad, sino que toda la empresa está implicada. La seguridad se percibe como un aspecto integral del negocio y que permite operar en áreas que de otra forma serían muy arriesgadas. Existe un conjunto coordinado de controles de seguridad, técnicos y procedimentales, y los empleados participan en la protección de los activos de información de la compañía. Los procesos clave están automatizados y mecanismos de notificación aseguran que el equipo de seguridad puede responder a las amenazas de forma rápida y eficaz.
Políticas de seguridad. Revisión y actualización exhaustiva, al menos anualmente, de las políticas y normas. El cumplimiento es monitorizado de diversas formas, y las áreas deficientes reciben controles adicionales y/o incrementos de la formación.
Soporte a la gestión. Soporte total de los responsables a los objetivos de seguridad, incluyendo la información sobre los riesgos de los activos de información en la evaluación general de riesgos del negocio.
Integración de la seguridad en el Ciclo de Vida del Desarrollo del Software. La seguridad interviene en todas las fases del ciclo. Los requisitos de seguridad se definen antes de cualquier desarrollo. La mayor parte de los desarrolladores están entrenados y siguen las prácticas de seguridad establecidas en la organización. Se ejecuta un test de seguridad funcional para todas las aplicaciones antes de llevarlas al entorno operativo.
Personal de seguridad. El equipo de seguridad está formado por personal experto y motivado, no centrado exclusivamente en temas técnicos y rotando por diferentes posiciones para mejorar y desarrollar su perfil.
Infraestructura y herramientas de seguridad. Automatización de tareas de seguridad, de manera que se reduce la carga de trabajo y la posibilidad de errores. La infraestructura de seguridad se gestiona centralmente en un centro de operaciones dedicado. Se implementan herramientas para el control integrado y el seguimiento e identificación de las áreas que necesitan atención adicional, permitiendo la cuantificación de la reducción de riesgos.
Gestión de amenazas y vulnerabilidades (TVM, threat and vulnerability management). Existe una base de datos exhaustiva y regularmente actualizada para todos los sistemas críticos y que permite la implementación rápida de parches de seguridad. Estos parches se priorizan de acuerdo con la exposición al riesgo.
Gestión de la configuración (configuration management, CM). existe una estrecha relación entre CM y TVM (threat and vulnerability management). Los datos de configuración se almancenan automáticamente en una base de datos centralizada que sirve como herramienta para la visualización general de la seguridad de la organización.
Control de acceso. Se utiliza un sistema centralizado para la gestión de las credenciales de usuarios y sistemas, y para asegurar que éstas se añaden y eliminan apropiadamente y con la debida rápidez. Los sistemas sensibles disponen de autenticación de dos factores. El acceso como superusuario está muy restringido y controlado. Todas las aplicaciones tienen propietario, encargado de aprobar los accesos.
Auditorías y evaluaciones. Son actividades coordinadas en toda la organización que cumplen con los requisitos de seguridad y que contribuyen a la mejora continua de los controles.
Continuidad del negocio (Business Continuity, BC). Existe un plan que permite una recuperación rápida de las actividades clave del negocio. Además se dispone de una infraestructura de trabajo (servidores, redes, etc) alternativa que se activa cuando la infraestructura primaria deja de estar operativa. Este sitio alternativo se ensaya al menos anualmente. Los procesos de negocio críticos están incluidos en los planes de recuperación. Los procesos de BC/DR (Business Continuity / Disaster Recovery) están a cargo de un responsable experimentado encargado de actualizarlos periódicamente.
Gestión de incidentes. Un plan de resolución de incidencias está implantado en coordinación con todos los departamentos. Se incluyen diversos escenarios sobre los que el personal encargado se entrena para responder apropiada y eficazmente a las incidencias.
Formación y concienciación. Un programa de formación asegura que los empleados están continuamente informados sobre sus responsabilidades en la seguridad de la organización. Se monitoriza y mide la efectividad de las actividades de formación y sus resultados se utilizan para el ajuste y mejora de los contenidos. Los responsables de datos y el personal de IT recibe formación especializada.
Política de Seguridad
Una política de seguridad es una declaración formal de las reglas que deben seguir las personas con acceso a los activos de tecnología e información dentro de una organización. Por otro lado los procedimientos son la descripción detallada de la manera como se implanta una Política. El procedimiento incluye todas las actividades requeridas y los roles y responsabilidades de las personas encargadas de llevarlos a cabo.
Prioridades estratégicas que han de formar parte de la política de seguridad de una organización:
Evaluar y proteger los activos de información clave y la infraestructura crítica.
Limitar el riesgo sobre los activos de la compañía, mediante el uso de medios administrativos, tecnológicos y físicos.
Asegurar la privacidad de la información relacionada con los empleados, los colaboradores y los clientes.
Asegurar que la organización está conforme con las regulaciones aplicables, así como otras regulaciones que pueden afectar a clientes y colaboradores.
Fusionar y compartir la información de seguridad entre todas las áreas de negocio de la organización.
Planificar y proporcionar continuidad en las operaciones antes, durante y después de desastres.
Proteger y dar soporte al funcionamiento y la interoperabilidad de las comunicaciones de los sistemas que están alrededor de los activos de información.
Ejecutar iniciativas proactivas de disuasión, preferencia y prevención.
El documento donde se desarrolla la política de seguridad de la información (Information Secutiry, ISEC) en la organización ha de estar debidamente publicado y aprobado. También ha de estar disponible para todo el personal.
Este documento se revisa y actualiza periódicamente, o cada vez que haya cambios significativos.
Detalle de los elementos de una política de seguridad
Introducción a la política de seguridad.
Aproximación y Extrategia.
Ultima versión-actualización
Responsables del mantenimiento y actualización
Responsables de la implementación
Monitorización del cumplimiento
Separación de funciones.
Conformidad con leyes, regulaciones y estándares de seguridad
Obligaciones legales/reglamentarias
Licencias de software
Cumplimiento de Data Protection Act u otras leyes equivalentes
Legislación sobre copyright aplicable
Clasificación de los Datos (Asset Management).
Niveles de la clasificación de seguridad.
Reglas para clasificar la información según su nivel de confidencialidad.
Definición, manejo, almacenamiento, clasificación y etiquetado de la información.
Documentos y ficheros etiquetados según su clasificación de seguridad.
Implicación del personal en las clasificaciones de seguridad.
Sistemas Sensibles.
Sistemas, documentos o información que debería protegerse contra su divulgación no autorizada.
Manejo cotidiano de la información sensible.
Sistemas Críticos.
Sistemas, documentos o información que son críticos y deben ser protegidos contra su modificación no autorizada o su destrucción.
Autenticación.
Uso de firma digital en documentos electrónicos
Uso de copias no autorizadas de software propietario
Evaluación de riesgos e impactos
Peores consecuencias de la divulgación de la información más sensible que se maneje en la organización.
Consecuencias de que los competidores obtengan información confidencial de la empresa.
Estimación del coste con los escenarios anteriores.
Peores consecuencias de la alteración sin autorización de información crítica.
Consecuencias de la falta de acceso inmediato a la información crítica.
Estimación del coste de la falta de integridad y disponibilidad de los datos críticos.
Consecuencias y coste resultante de la suplantación de identidad para la firma de documentos.
Recursos humanos, gestión, sensibilización de los empleados.
Responsables del desarrollo de la política de seguridad.
Localización de las políticas aplicables a cada trabajo
Preparación de términos y condiciones de empleo
Firma de documentos de conformidad con la política de seguridad
Responsabilidad de los empleados para los datos confidenciales
Acuerdos de servicio para terceros
Gestión de la seguridad para proveedores
Responsables de la monitorización del cumplimiento de la política de seguridad.
Claves o tarjetas para el acceso a áreas de seguridad
Derechos de propiedad intelectual
Formación sobre política de seguridad. Registros de la formación.
Programas de sensibilización para el personal
Comunicaciones de gestión de seguridad
Programas de sensibilización para personal externo
Administración regular y actualizada de información
Privacidad y datos personales
Privacidad en el puesto de trabajo
Manejo de información confidencial de los empleados
Compartición de información de empleados
Gestión del despido/fin de contrato
Política de Uso Aceptable de los activos de información
Carga de ficheros e información de diferentes fuentes
Comunicaciones electrónicas
Firmas digitales
Retención de registros
Uso de activos de la organización para el trabajo
Uso de material inapropiado
Omisión de la aprobación del responsable
Encriptación y uso de claves
Adquisición y mantenimiento de software comercial
Adquisición e instalación
Especificación de los requerimientos de usuario
Implementación de software nuevo
Selección de paquetes de software para negocios
Gestión de vulnerabilidades (Technical Vulnerability Management)
Mantenimiento y actualización
Gestión de parches
Conexión (interfacing) con otras aplicaciones / sistemas
Registro e informe de fallos
Retirada de aplicaciones (software disposal)
Seguridad Física.
Comprobación de la identidad en la entrada del edificio u oficina.
Sistemas electrónicos de control de acceso al área de trabajo.
Puertas de seguridad para áreas restringidas.
Distintivos de identificación para los trabajadores
Distintivos de identificación para los visitantes.
Bloqueo del escritorio al abandonar el puesto de trabajo.
Alarmas de evacuación e información sobre extintores
Procedimientos de emergencias médicas
Formación sobre emergencias y evacuación del edificio
Seguridad en hardware, periféricos y equipamiento
Especificación de requerimientos de seguridad para el hardware
Necesidades funcionales detalladas para nuevo hardware
Instalación de nuevo hardware
Verificación de sistemas y equipos
Retirada de equipos obsoletos
Registro e informe de fallos del hardware
Organización del espacio para los equipos (clear screen policy)
Mantenimiento del hardware (on-site y off-site)
Aseguramiento de portátiles para uso externo o doméstico
Seguridad en el desarrollo del software.
Control del código fuente
Control de las versiones antiguas de los programas
Gestión de librerías de código fuente
Adquisición de software desarrollado por terceros
Desarrollo del software
Estándares de desarrollo utilizados
Justificación de nuevos desarrollos
Protección del código contra accesos o modoficaciones no autorizadas.
Sistemas automáticos de versionado
Procedimientos de control de cambios
Modificaciones de emergencia en el software
Separación de entorno de desarrollo y de operaciones
Documentación del ciclo de vida del software
Testing y Formación
Sistemas automáticos de testing (automated software testing tools)
Control de los entornos de test
Uso de datos sensibles en el testing
Transferencia al entorno real
Planificación del rendimiento y la capacidad
Formación para nuevos sistemas
Documentación de usuario y de formación
Documentación técnica y administrativa de los sistemas
Mejoras propuestas y pendientes
Controles de acceso a datos y sistemas.
Identificación y Autenticación.
Gestión de passwords
Seguridad contra accesos físicos/lógicos no autorizados
Uso de tokens (llave, smart card) para identificarse en el sistema.
Limitaciones en el acceso, visualización, modificación, adición y borrado de datos.
Control de acceso interno
Listas de control de acceso
Control de acceso externo
Control de puertos
Políticas de seguridad para Firewalls
Acceso directo, remoto, por wifi
Uso de encriptación de datos.
Uso de computadores portátiles.
Seguridad en las estaciones de trabajo desatendidas.
Gestión del teletrabajo.
Gestión del trabajo de terceros (third-party)
Monitorización de accesos y usos
Sistema operativo y administración del sistema
Segregación de funciones en administración del sistema
Uso de las Utilidades del Sistema
Procedimientos de uso del Sistema
Manejo de Electronic Keys
Manejo de la documentación del sistema
Sincronización de relojes del sistema
Planificación de cambios y mantenimiento de dispositivos
Monitorización de auditorías y errores mediantes logs
Respuesta a fallos del sistema (incidencias, corrupción de datos, corrupción de controles).
Manejo de informes de Transacciones/Procesamiento.
Seguridad en las operaciones.
Período de retención antes de la instalación de nuevas versiones de sistema operativo en producción.
Procedimiento de implementación de nuevo software en producción
Control del acceso de desarrolladores al software y a los datos de producción.
Gestión de problemas. Sistema automático de asignación y evaluación de problemas.
Control de acceso al centro de operaciones.
Control de acceso de personal externo con acompañamiento
Etiquetado de los componentes del sistema
Sistema de prevención de los cortes de suministro eléctrico.
Registros de inactividad del sistema
Monitorización del uso de sistemas. Informes automatizados.
Mejoras propuestas y pendientes
Seguridad en comunicaciones y redes.
Reglas para el uso del e-mail y de internet.
Filtrado de información en la web.
Segregación de redes.
Encriptación de mensajes sensibles.
Actualización de los diagramas de red.
Monitorización de los servicios en ejecución en los sistemas conectados a Internet.
Instalación de parches. Chequeo periódico. Notificación de vulnerabilidades.
Uso de Firewalls en la arquitectura de seguridad.
Reglas de filtrado.
Proxies
Zona Desmilitarizada (DMZ)
Redes inalámbricas
Seguridad en los Access Point
SSID (Service Set ID)
WEP (Wired Equivalent Privacy)
Filtrado por MAC address
Autenticación RADIUS
WLAN VPN
Sistemas de detección de intrusos. Procedimientos de respuesta a las intrusiones.
Gestión de passwords. Nuevos passwords.
Control del acceso remoto.
Uso de Virtual private networks (VPNs) para el acceso a sistemas corporativos desde el exterior de los firewalls.
Uso de encriptación para e-mails sensibles.
Firmas digitales en las comunicaciones.
Protección de los servidores web frente a intrusiones y vandalismo.
Mantenimiento de información sensible encriptada o fuera de los servidores web.
Procedimientos de recuperación de sitios web destruidos o vandalizados.
Procedimientos para el despido o reasignación de trabajadores.
Externalización de funciones y teletrabajo
Contratación de servicios externos
Uso de dispositivos móviles
Uso de medios de almacenamiento extraíbles
Uso de computadores portátiles
Trabajo desde casa y desde otras localizaciones externas
Desplazamiento del hardware de unas localizaciones a otras
Gestión de Datos
Transferencia e intercambio de datos
Configuración de la estructura de directorios para el acceso a datos compartidos
Archivado de documentos
Uso de sistemas de control de versiones
Actualización de información de clientes
Política de nombres de ficheros.
Copias de seguridad, almacenamiento y destrucción de datos.
Planificación de las copias de seguridad.
Almacenamiento de las copias. Periodo de retención y destrucción. Tipos de copias.
Prevención del acceso no autorizado a las copias.
Reinicio y recuperación del sistema
Recuperación y restauración de ficheros de datos
Almacenamiento de las copias
Uso de cabinas con cerradura y antiincendios
Copia de información confidencial
Impresión de documentos
Aprobación, Verificación, Firma electrónica de documentos
Buenas prácticas de manejo y destrucción de datos
Protección de Datos
Técnicas de encriptación
Envío de información a terceros
Mantenimiento de la confidencialidad de la información de clientes
Política de compartición de la información
Otras políticas de manejo y procesamiento de la información
Protectores de pantalla
Comunicación con terceros
Clear Desk Policy (entorno de escritorio)
Uso de faxes y fotocopiadoras
Viajes de trabajo
Medidas anti código malicioso.
Antivirus instalado en estaciones de trabajo.
Actualización periódica del antivirus.
Material adjunto a e-mails inesperado o no solicitado.
Gestión de Incidencias
Notificación de incidentes de seguridad
Codigo de conducta al presenciar una violación de seguridad
Procedimientos para resolución de incidencias.
Colección de evidencias
Modos de respuesta
Registro de anomalías de seguridad
Equipo de trabajo asignado
Planificación para reanudar la actividad (business continuity) y recuperación de desastres (disaster recovery).
Business resumption planning (BRP), Disaster recovery plan (DRP).
Responsables del mantenimiento y actualización del BRP y el DRP
Testing del BRP y el DRP. Periodicidad y planificación.
Formación al personal para reanudar actividad y recuperarse de desastres
Bibliografía consultada
ISO/IEC 15408-1:2005. Information technology — Security techniques — Evaluation criteria for IT security. Introduction and general model.
ISO/IEC 15408-3:2005. Information technology — Security techniques — Evaluation criteria for IT security. Security assurance requirements.
ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements.
ISO/IEC 27002:2005, Information technology — Security techniques — Code of practice for information security management.
The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice. Jason Andress. Syngress Publishing © 2011.
Application Security in the ISO27001 Environment . Vinod Vasudevan et al. IT Governance © 2008.
IT Governanace: A Manager’s Guide to Data Security and ISO27001/ISO 27002, 4th Edition. Alan Calder and Steve Watkins. Kogan Page © 2008
Building an Effective Information Security Policy Architecture . Sandy Bacik. Auerbach Publications © 2008.
Advances in Enterprise Information Technology Security. Djamel Khadraoui and Francine Herrmann (eds). IGI Global © 2007.
Computer Security Handbook, Fifth Edition. Seymour Bosworth, M.E. Kabay and Eric Whyne (eds). John Wiley & Sons © 2009.
The Executive MBA in Information Security . John J. Trinckes .Auerbach Publications © 2010.
Information Security Management Handbook, Sixth Edition, Volume 2 (Volume Set). Harold F. Tipton and Micki Krause . Auerbach Publications © 2008.
Information Security Management Handbook, Sixth Edition, Volume 6 . Harold F. Tipton and Micki Krause Nozaki (eds) . Auerbach Publications © 2012.
How to Cheat at Managing Information Security . Mark Osborne . Syngress Publishing © 2006.
The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments, Second Edition. Douglas J/ Landoll. Auerbach Publications © 2011.
For more information:
Antonio Álvarez Folgado – Analista Funcional – Sogeti España
antonio.alvarez@sogeti.com
[1] Existen algunas organizaciones, como la Federation Against Software Theft (FAST – www.fast.org.uk), fundada en 1984 por la British Computer Society’s Copyright Committee, que proporcionan información y servicios para prevenir el uso de soft ilegal. A menudo también realizan auditorías y proporcionan certificaciones del manejo adecuado de las aplicaciones en las organizaciones
[2] La guía GAISP es un proyecto de ISSA (Information Systems Security Association) sobre los principios y buenas prácticas recomendadas en Seguridad de la Información.
[3] Publicadas por el SANS Institute (SysAdmin Audit Networking and Security Institute).
[4] National Institute of Standards and Technology (NIST) es una agencia no regulatoria del Departamento de Comercio de US, encargado de promover la seguridad mediante tecnologías, metrologías y estándares.
[5] Control Objectives for Information and Related Technology (COBIT), es un framework creado por el ISACA (Information Systems Audit and Control Association) para proporcionar un conjunto de herramientas y controles para la gestión de los procesos en el ámbito de las tecnologías de la información.
[6] Instituto de Ingeniería del Software de la Carnegie Mellon University.
Autor | Antonio Álvarez Folgado – Analista Funcional – Sogeti España
Tu centro de expertise en España sobre Quality Engineering y Testing 
0 comments on “«Evaluación de la seguridad de los Sistemas Informáticos: políticas, estándares y análisis de riesgos»”