Para el fin de preservar la informacin, se ha demostrado que no es suficiente la
implantacin de controles y procedimientos de seguridad realizados frecuentemente sin un criterio comn establecido, en torno a la compra de productos tcnicos y sin considerar toda la informacin esencial que se debe proteger. La Organizacin Internacional de Estandarizacin (ISO), a travs de las normas recogidas en ISO / IEC 27000, establece una implementacin efectiva de la seguridad de la informacin empresarial desarrolladas en las normas ISO 27001 / ISO 27002. Los requisitos de la Norma ISO 27001 norma nos aportan un Sistema de Gestin de la Seguridad de la Informacin (SGSI), consistente en medidas orientadas a proteger la informacin, indistintamente del formato de la misma, contra cualquier amenaza, de forma que garanticemos en todo momento la continuidad de las actividades de la empresa. Los Objetivos del SGSI son preservar la: Confidencialidad Integridad y Disponibilidad de la Informacin
Elementos o fases para la Implementacin de un SGSI El Sistema de Gestin de La Seguridad de la Informacin que propone la Norma ISO 27001 se puede resumir en las siguientes fases que se detallan en la figura:
Beneficios de la Norma ISO 27001 Los riesgos de seguridad de la informacin representan una amenaza considerable para las empresas debido a la posibilidad de prdida financiera o dao, la prdida de los servicios esenciales de red, o de la reputacin y confianza de los clientes. La gestin de riesgos es uno de los elementos clave en la prevencin del fraude online, robo de identidad, daos a los sitios Web, la prdida de los datos personales y muchos otros incidentes de seguridad de la informacin. Sin un marco de gestin de riesgos slida, las organizaciones se exponen a muchos tipos de amenazas informticas. La nueva norma internacional ISO / IEC 27001 seguridad de la informacin, ayudar a las organizaciones de todo tipo para mejorar la gestin de sus riesgos de seguridad de la informacin. Hoy en da, seguridad de la informacin est constantemente en las noticias con el robo de identidad, las infracciones en las empresas los registros financieros y las amenazas de terrorismo ciberntico. Un sistema de gestin de seguridad de la informacin (SGSI) es un enfoque sistemtico para la gestin de la informacin confidencial de la empresa para que siga siendo seguro. Abarca las personas, procesos y sistemas de TI. El diseo y la implementacin de un SGSI (ISO / IEC 27001:2005) dar confianza a clientes y proveedores que la seguridad de la informacin se toma en serio dentro de la organizacin, estando a la vanguardia en la aplicacin de la tcnica de procesos para hacer frente a las amenazas de la informacin y a y los problemas de la seguridad. Qu entendemos por Informacin en ISO 27001? Sin duda, gran parte de la Informacin de una empresa se encuentra en los sistemas informticos, sin embargo, la Norma ISO 27001 define la informacin como: La informacin es un activo que, como otros activos importantes del negocio, tiene valor para la organizacin y requiere en consecuencia una proteccin adecuada a informacin adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o por medios electrnicos, mostrada en video o hablada en conversacin. Debera protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene. Atendiendo a este concepto, ISO 27001 propone un marco de gestin de la seguridad de toda la informacin de la empresa, incluso si es informacin perteneciente al propio conocimiento y experiencia de las personas o sea tratada en reuniones etc. En este sentido las propias personas pueden ser tratadas en el SGSI como activos de informacin si as se cree conveniente. Por tanto, no debemos centrar la atencin solamente en los sistemas informticos por mucho que tengan hoy en da una importancia ms que relevante en el tratamiento de la informacin ya que de otra forma, podramos dejar sin proteger informacin que puede ser esencial para la actividad de la empresa. Implantando la Norma ISO 27001 A la hora de implantar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn la norma ISO 27001, debemos considerar como eje central de este sistema la Evaluacin de Riesgos. Este captulo de la Norma, permitir a la direccin de la empresa tener la visin necesaria para definir el alcance y mbito de aplicacin de la norma, as como las polticas y medidas a implantar, integrando este sistema en la metodologa de mejora continua, comn para todas las normas ISO. Lo primero, es elegir una metodologa de evaluacin del riesgo apropiada para los requerimientos del negocio. Existen numerosas metodologas estandarizadas de evaluacin de riesgos. Aqu explicaremos la metodologa sugerida en la Norma. Las fases de esta metodologa son los siguientes:
Mtodo de Evaluacin y Tratamiento del Riesgo
1.- Identificar los Activos de Informacin y sus responsables, entendiendo por activo todo aquello que tiene valor para la organizacin, incluyendo soportes fsicos (edificios o equipamientos), intelectuales o informativas (Ideas, aplicaciones, proyectos ) as como la marca, la reputacin etc. 2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias del activo que lo hacen susceptible de sufrir ataques o daos. 3.- Identificar las amenazas: Aquellas cosas que puedan suceder y daar el activo de la informacin, tales como desastres naturales, incendios o ataques de virus, espionaje etc. 4.- Identificar los requisitos legales y contractuales que la organizacin est obligada a cumplir con sus clientes, socios o proveedores. 5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un dao total o parcial al activo de la informacin, en relacin a su disponibilidad, confidencialidad e integridad del mismo. 6.- Clculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia del riesgo y el impacto que este tiene sobre la organizacin (Riesgo = impacto x probabilidad de la amenaza). Con este procedimiento determinamos los riesgos que deben ser controlados con prioridad. 7.- Plan de tratamiento del riesgo: En este punto estamos preparados para definir la poltica de tratamiento de los riesgos en funcin de los puntos anteriores y de la poltica definida por la direccin. En este punto, es donde seleccionaremos los controles adecuados para cada riesgo, los cuales irn orientados a : Asumir el riesgo Reducir el riesgo Eliminar el riesgo Transferir el riesgo
El ciclo de Deming, tambin conocido como crculo PDCA (de Edwards Deming), es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. Tambin se denomina espiral de mejora continua. Es muy utilizado por los Sistemas de Gestin de Calidad (SGC). Las siglas, PDCA son el acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Los resultados de la implementacin de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participacin del mercado y aumentando la rentabilidad de la empresa u organizacin. Plan (Planificar) Establecer las actividades del proceso, necesarias para obtener el resultado esperado. Al basar las acciones para el resultado esperado, la exactitud y cumplimiento de las especificaciones a lograr se convierten tambin en un elemento a mejorar, aunque sera mejor ya no tener que mejorar, o sea, hacerlo bien a la primera. Cuando sea posible conviene realizar pruebas segn sea requerido, para probar los resultados. Recopilar datos para profundizar en el conocimiento del proceso. Detallar las especificaciones de los resultados esperados Definir las actividades necesarias para lograr el producto o servicio, verificando los requisitos especificados Do (Hacer) Es ejecutar el plan estratgico lo que contempla: organizar, dirigir, asignar recursos y supervisar la ejecucin. Check (Verificar) Pasado un periodo previsto de antemano, volver a recopilar datos de control y analizarlos, comparndolos con los requisitos especificados inicialmente, para saber si se han cumplido y en su caso, evaluar si se ha producido la mejora Monitorizar la implementacin y evaluar el plan de ejecucin documentando las conclusiones. Act (Actuar) Con base a las conclusiones del paso anterior elegir una opcin: Si se han detectado errores parciales en el paso anterior, realizar un nuevo ciclo PDCA con nuevas mejoras. Si no se han detectado errores relevantes, aplicar a gran escala las modificaciones de los procesos Si se han detectado errores insalvables, abandonar las modificaciones de los procesos Ofrecer una Retro-alimentacin y/o mejora en la Planificacin. SO/IEC 27002 ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisin Electrotcnica Internacional en el ao 2000, con el ttulo de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisin y actualizacin de los contenidos del estndar, se public en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estndar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs pueden adquirirse en iso.org. ISO/IEC 27002:2005. Dominios (11) , Objetivos de control (39) y Controles (133) 5. POLTICA DE SEGURIDAD. Establecer las Polticas de Seguridad de la Informacin es una de las acciones proactivas que ayudan a disminuir los riesgos y ayuda a establecer claramente los procesos en la administracin de los activos informticos y de la informacin que se gestiona a travs de ellos.
Actualmente se encuentra vigente una poltica aprobada en el 2005 y estando en proceso de aprobacin la poltica denominada ICIC/PS2012.
5.1 Poltica de seguridad de la informacin.
Proporcionar la gua y apoyo de la Direccin para la seguridad de la informacin en relacin a los requisitos del negocio y a las leyes y regulaciones relevantes. La Direccin debera establecer una poltica clara y en lnea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la informacin mediante la publicacin y mantenimiento de una poltica de seguridad de la informacin para toda la organizacin. Piense en trminos de un manual o wiki de polticas de seguridad de la informacin que contenga un conjunto coherente e internamente consistente de polticas, normas, procedimientos y directrices. Determine la frecuencia de revisin de la poltica de seguridad de la informacin y las formas de comunicacin a toda la organizacin. La revisin de la idoneidad y adecuacin de la poltica de seguridad de la informacin puede ser incluida en las revisiones de la direccin. Cobertura de la poltica (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado polticas y sus normas, procedimientos y directrices asociadas. Grado de despliegue y adopcin de la poltica en la organizacin (medido por auditora, gerencia o auto-evaluacin).
5.1.1 Documento de poltica de seguridad de la informacin.
Control: La Direccin debera aprobar y publicar un documento de la poltica de seguridad de la informacin y comunicar la poltica a todos los empleados y las partes externas relevantes. Posibles Soluciones a este control: GESCONSULTOR Plataforma no gratuita que integra todos los elementos necesarios para la implantacin y gestin completa del ciclo de vida de un SGSI, as como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicacin al Alcance del Sistema de Gestin. El portal web aporta informacin de libre disposicin sobre SGSI, Esquema Nacional de Seguridad y otros marcos y polticas relevantes y cmo deben ser tratados. GESCONSULTOR ICIC Modelo de Poltica de Seguridad de la Informacin para la Administracin pblica de Argentina, basado en ISO 27002. Establece directrices para cada uno de los controles. Modelo Poltica - ICIC BIS Department for Business Innovation and Skills (apoyado por el Departamento de Industria y Comercio del Reino Unido) dispone de diversos documentos relacionados con la seguridad de la informacin, includas guas de desarrollo de polticas de seguridad y diversos checklists (ingls) con el objetivo de lograr la proteccin y desarrollo econmico de las empresas. Directorio BIS CENTRO CRIPTOLOGICO NACIONAL Los documentos CCN-STIC del Centro Criptolgico Nacional espaol incluyen normas, instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administracin espaola. Series CCN DIRECTION CENTRALE DE LA SCURIT DES SI Gua de redaccin de polticas de seguridad de la informacin de la " Direction Centrale de la Scurit des Systmes dInformation" francesa. Disponible en espaol. Gua PSSI DMOZ Proyecto abierto que ha recopilado a modo de directorio todo tipo de polticas de seguridad en diversas reas Miscelanea de diversas polticas INFOSECWRITERS Documento de libre descarga (ingls) que analiza las claves para la creacin con xito de una poltica de seguridad para Pequeas y Medianas Empresas. Gua Poltica PYME ISACA Muchas de las directrices de ISACA para auditores de sistemas de informacin son tiles tambin como apoyo para redactar polticas de seguridad. Documentos ISACA NIST Guas de la serie 800 sobre distintos aspectos tcnicos de la seguridad de la informacin del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar polticas. Guas NIST NOTICEBORED Plantilla no gratuita y manual de polticas de seguridad de la informacin basado en ISO 27002. Manual de Polticas RSA Security Inc. Gua de creacin de una poltica de seguridad (ingls). Alojado en web de CCCure.org Poltica RSA SANS INSTITUTE Conjunto de plantillas de polticas de seguridad del SANS Institute (ingls) Plantillas SANS SANS INSTITUTE Gua de desarrollo de una poltica de seguridad de la informacin (ingls). Gua SANS SENADO ESPAA Normativa de uso de sistemas de informacin del Senado espaol como ejemplo de un despliegue de poltica. Poltica Senado TREASURY BOARD OF CANADA SECRETARIAT Poltica de Seguridad del Gobierno de Canad. Poltica TBCS (ingls) Poltica TBCS (francs) UCISA Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido que agrupa a las ms importantes Universidades de Reino Unido y que han generado polticas de seguridad de la informacin basadas en ISO 27001. Toolkit UCISA UNIVERSIDAD TECNOLGICA NACIONAL Poltica de Seguridad de la Universidad Tecnolgica Nacional (Argentina). 50 pginas, en espaol. Poltica UTN
5.1.2 Revisin de la poltica de seguridad de la informacin
Control: La poltica de seguridad de la informacin se debera revisar a intervalos planificados (o en caso que se produzcan cambios significativos) para garantizar que es adecuada, eficaz y suficiente.
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION.
6.1 Organizacin interna.
Gestionar la seguridad de la informacin dentro de la Organizacin.
Se debera establecer una estructura de gestin con objeto de iniciar y controlar la implantacin de la seguridad de la informacin dentro de la Organizacin.
El rgano de direccin debera aprobar la poltica de seguridad de la informacin, asignar los roles de seguridad y coordinar y revisar la implantacin de la seguridad en toda la Organizacin.
Si fuera necesario, en la Organizacin se debera establecer y facilitar el acceso a una fuente especializada de consulta en seguridad de la informacin. Deberan desarrollarse contactos con especialistas externos en seguridad, que incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en las tendencias de la industria, la evolucin de las normas y los mtodos de evaluacin, as como proporcionar enlaces adecuados para el tratamiento de las incidencias de seguridad.
Debera fomentarse un enfoque multidisciplinario de la seguridad de la informacin, que, por ejemplo, implique la cooperacin y la colaboracin de directores, usuarios, administradores, diseadores de aplicaciones, auditores y el equipo de seguridad con expertos en reas como la gestin de seguros y la gestin de riesgos. Reproduzca la estructura y tamao de otras funciones corporativas especializadas, como Legal, Riesgos y Compliance. Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia global para mantener los riesgos de seguridad de la informacin por debajo de umbrales explcitamente aceptados por la direccin. Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de seguridad de la informacin.
6.1.1 Compromiso de la Direccin con la seguridad de la informacin.
Control: Los miembros de la Direccin deberan respaldar activamente las iniciativas de seguridad demostrando su claro apoyo y compromiso, asignando y aprobando explcitamente las responsabilidades en seguridad de la informacin dentro de la Organizacin.
Posibles Soluciones a este control: INTECO Curso introductorio gratuito de 20h. a los Sistemas de Gestin de la Seguridad de la Informacin (SGSI) segn la norma UNE-ISO/IEC 27001. Se dan a conocer los conceptos bsicos necesarios para introducir al usuario en la gestin de la Seguridad de la Informacin, as como conocer la dimensin y alcance que suponen la implantacin, certificacin y mantenimiento de un SGSI en una organizacin, en base a la norma ISO/IEC 27001. Inteco.es ISO27001Security.com Caso de estudio en ingls sobre el valor de negocio de ISO 27001. iso27001security ANETCOM Gua de gestin estratgica de seguridad en la empresa. Publicada por Anetcom. Seguridad estratgica NIST Gua de seguridad de la informacin para gerentes (en ingls). Publicada por NIST. NIST SP800-1
6.1.2 Coordinacin de la seguridad de la informacin.
Control: Las actividades para la seguridad de la informacin deberan ser coordinadas por representantes que posean de cierta relevancia en su puesto y funciones y de los distintos sectores que forman la Organizacin. Posibles Soluciones a este control: SISTESEG Ejemplo bsico en espaol de poltica de organizacin de la seguridad de la informacin. SISTESEG Ministerio de Ciencia e Innovacin Documento de creacin del comit de seguridad de la informacin del Ministerio de Ciencia e Innovacin de Espaa. Comit de seguridad de la informacin
6.1.3 Asignacin de responsabilidades relativas a la seguridad de la informacin.
Control: Se deberan definir claramente todas las responsabilidades para la seguridad de la informacin. Posibles Soluciones a este control: ASIS International Gua en ingls que analiza las responsabilidades, competencias y perfil profesional de un CSO (Chief Security Officer). Chief Security Officer (CSO) Guideline CCN Gua de responsabilidades y funciones dentro del Esquema Nacional de Seguridad. CCN-STIC-801 GesConsultor GesConsultor es una herramienta de pago (alquiler mensual) de gestin de SGSIs, que incluye un mdulo de gestin de roles y responsabilidades del personal en materia de seguridad. GesConsultor INTECO Gua de INTECO en espaol sobre la utilizacin de las tecnologas de la informacin en el mbito laboral y sus consideraciones legales. Gua Inteco
6.1.4 Proceso de autorizacin de recursos para el tratamiento de la informacin.
Control: Se debera definir y establecer un proceso de gestin de autorizaciones para los nuevos recursos de tratamiento de la informacin. Posibles Soluciones a este control: FFIEC Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, sobre cmo implantar un proceso de desarrollo y adquisicin de TI eficaz en una organizacin. La acompaa una lista de verificacin -checklist-, til para auditar dicho proceso. FFIEC D&A IT Handbook CNI NS/05: Seguridad en los sistemas de informacin y comunicaciones. Proceso de acreditacin. Publicada por la Autoridad Delegada para la Seguridad de la Informacin Clasificada de Espaa NS/05 CITICUS Citicus, empresa especialista en gestin del riesgo empresarial y en el cumplimiento dispone de una aplicacin free para la gama de IOS de los dispositivos de Apple - iPhone, IPAD y el iPod touch. Aplicacin para el anlisis y gestin de riesgos Demostracin en youtube SpiceWorks Spiceworks es una herramienta gratuita de gestin, monitorizacin y resolucin de problemas de red, creacin automtica de mapas de red, helpdesk (gestin de tickets), inventario de HW y SW (descubrimiento automtico, gestin de licencias...) y gestin de compras TI, entre otras funcionalidades, prevista para pequeas y medianas empresas. Spiceworks
6.1.5 Acuerdos de confidencialidad.
Control: Se deberan identificar y revisar regularmente en los acuerdos aquellos requisitos de confidencialidad o no divulgacin que contemplan las necesidades de proteccin de la informacin de la Organizacin. Posibles Soluciones a este control: MICROSOFT Consideraciones a la hora de establecer clusulas de confidencialidad en los contratos de los empleados. Acuerdos de confidencialidad LegalIT Consideraciones legales sobre confidencialidad en la legislacin argentina. Acuerdos de confidencialidad
6.1.6 Contacto con las autoridades. Control: Se deberan mantener los contactos apropiados con las autoridades pertinentes. Posibles Soluciones a este control: AGENCIA ESPAOLA PROTECCIN DATOS La Agencia de Proteccin de Datos tiene por objetivo velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y cancelacin de datos. AGPD ALIANZA INTERNACIONAL DE PROTECCIN Y SEGURIDAD CIBERNTICA Gobiernos europeos, as como empresas internacionales y agencias policiales como Interpol y Europol forman la alianza para combatir el cibercrimen globalmente. Alianza Internacional de Proteccin y Seguridad Ciberntica se encarga de mejorar la aplicacin de la ley internacional, as como de proteger a las empresas y sus clientes de amenazas informticas. El financiamiento para ICSPA provendr de los gobiernos y de la misma Unin Europea. ICSPA BIT-Polica Nacional La Brigada de Investigacin Tecnolgica del Cuerpo Nacional de Polica de Espaa es la Unidad policial destinada a responder a delitos en el entorno de las nuevas tecnologas: pornografa infantil, estafas y fraudes por Internet, fraudes en el uso de las comunicaciones, ataques cibernticos, piratera... BIT BSA La piratera de software es la copia o distribucin no autorizada de software con copyright. Puede hacerse copiando, descargando, compartiendo, vendiendo o instalando mltiples copias en ordenadores personales o de trabajo. Lo que mucha gente no advierte o no sabe es que cuando se compra software, realmente se est comprando una licencia para usarlo, no el software en s. Esa licencia es la que le dice cuntas veces puede instalar el software, por lo que es importante leerla. Si hace ms copias del software de las permitidas por la licencia, est pirateando. BSA CCN-CERT CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Informacin del Centro Criptolgico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Este servicio se cre a principios de 2007 como CERT gubernamental espaol y est presente en los principales foros internacionales en los que se comparte objetivos, ideas e informacin sobre la seguridad de forma global. CNI CNPIC El Centro Nacional para la Proteccin de las Infraestructuras Crticas (CNPIC) es el rgano director y coordinador de cuantas actividades relacionadas con la proteccin de las infraestructuras crticas tiene encomendadas la Secretara de Estado de Seguridad del Ministerio del Interior de Espaa, a la que est adscrito. El principal objetivo es prestar una eficaz colaboracin para mantener seguras las infraestructuras crticas espaolas que proporcionan los servicios esenciales a la sociedad. CNPIC GUARDIA CIVIL - DELITOS INFORMTICOS El GDT est creado para perseguir los delitos informticos. Si Vd. identifica un problema de seguridad en la red, localiza un contenido ilcito o cree haber detectado u observado una conducta que pudiera ser delictiva, puede comunicarlo al GDT. Todo lo que en ella se recibe es tratado con la mxima discrecin. Guardia Civil INTECO Gua de INTECO "Quin es quin en el sector de seguridad TIC en Espaa". Relacin de los principales actores involucrados en el sector de la seguridad de la informacin en Espaa que no intervienen en el intercambio comercial y que engloba desde aspec-tos como la formacin, los diferentes tipos de agrupaciones, tanto de empresas como de profesionales, entes pblicos o los medios de comunicacin que difunden las noticias relacionadas con el sector. Quin es quin - Inteco INTECO - CERT INTECO tiene encomendadas a travs del Plan Avanza las misiones de sentar las bases de coordinacin de distintas iniciativas pblicas en torno a la seguridad informtica, impulsar la investigacin aplicada y la formacin especializada en el mbito de la seguridad en el uso de las TIC y convertirse en el Centro de Referencia en Seguridad Informtica a nivel nacional. INTECO INTECO-OSI La "Oficina de Seguridad del Internauta" (OSI) es un servicio la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin puesto en marcha por INTECO, para proporcionar la informacin y el soporte necesarios para evitar y resolver problemas de seguridad al navegar por Internet. OSI MISSION-MODE 15 Apps para gestin de crisis y desastres. 15 Disaster and Crisis Apps PROTECCIN CIVIL Direccin General de Proteccin Civil y Emergencias de Espaa. Proteccin Civil SICHERHEITSTACHO Este portal muestra estadsticas de alerta temprana mediante sensores de la red de Deutsche Telekom y partners. Enlace UE CERT Inventario con direcciones de contacto de los 200 Centros de Alerta Temprana de toda la Unin Europea.
6.1.7 Contacto con grupos de especial inters.
Control: Se debera mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales. Posibles Soluciones a este control: ANTI PHISHING WORKING GROUP El Grupo de Trabajo Anti-Phishing (APWG) es una organizacin internacional sin nimo de lucro para la aplicacin en entornos industriales y de cumplimiento de la ley con el objeto de eliminar el fraude, el crimen y el robo de identidad como resultado de las actividades de phishing, pharming, malware y suplantacin de correo electrnico de cualquier tipo. APWG CWE De alcance internacional y libre uso pblico, CWE ofrece un conjunto unificado y medible de las debilidades de software que permite una ms eficaz discusin, descripcin, seleccin y uso de herramientas de seguridad de software y servicios que se podran contener estas debilidades en su cdigo fuente y los sistemas operativos. Permite una mejor comprensin y manejo de las debilidades de software relacionados con la arquitectura y el diseo. CWE ENISA Mapa actualizado cada 6 meses con Inventario europeo de las "Brigadas digitales contra incendios" (Centros de Alerta Temprana) con un listado de 173 equipos de respuesta de emergencia. Centros de Alerta Teprana UE ESET Consejos de seguridad para el uso seguro del ordenador y de la informacin sensible y personal. Alertas ESET INTECO Gua de INTECO "Quin es quin en el sector de seguridad TIC en Espaa". Relacin de los principales actores involucrados en el sector de la seguridad de la informacin en Espaa que no intervienen en el intercambio comercial y que engloba desde aspectos como la formacin, los diferentes tipos de agrupaciones, tanto de empresas como de profesionales, entes pblicos o los medios de comunicacin que difunden las noticias relacionadas con el sector. Quin es quin - Inteco LABORATORIOS INDEPENDIENTES DE EVALUACION ANTIVIRUS En la seleccin de un buen AV se debe consultar a los laboratorios que estn probando varios antivirus contra las ltimas amenazas de malware y comprobar su actualizacin peridica. Varios enlaces a laboratorios disponibles. Virus Bulletin - VB100 AV-TEST Institute AV Comparative MCAFEE Alertas de amenazas al Consumidor de McAfee le advertir sobre las descargas ms peligrosas, pop-ups y el spam sospechoso para que pueda mantenerse a la vanguardia de las actividades de delincuentes y mantener su PC y la informacin personal segura y protegida. Permite suscripcin gratuita a las alertas. McAfee Alerts MICROSOFT Centro de descargas de soluciones. Download Center OFICINA DE SEGURIDAD DEL INTERNAUTA La Oficina de Seguridad del Internauta (OSI) es un servicio del Gobierno para proporcionar la informacin y el soporte necesarios para evitar y resolver los problemas de seguridad que pueden afectarnos al navegar por Internet. Nuestro objetivo es elevar la cultura de seguridad, prevenir, concienciar y formar proporcionando informacin clara y concisa acerca de la tecnologa y el estado de la seguridad en Internet. Al mismo tiempo impulsamos la deteccin y denuncia de nuevas amenazas en la red, de fraudes, estafas online o de cualquier otro tipo de ataque de Seguridad Informtica. OSI SECURELIST Informacin actualizada y muy completa sobre aquellas amenazas de Internet que estn activas, y explica cmo evitarlas. El portal incluye Kaspersky Alerts diferentes secciones con artculos informativos y anlisis, blogs, una enciclopedia de seguridad informtica y descripciones de malware, as como un amplio glosario de trminos. SECURE DATABASE Panel de informacin con las vulnerabilidades en productos y que se actualiza constantemente. La seccin de herramientas permite consultar posibles soluciones de manera extensa y en materia de seguridad. Dashboard y tools
6.1.8 Revisin independiente de la seguridad de la informacin.
Control: Se deberan revisar las prcticas de la Organizacin para la gestin de la seguridad de la informacin y su implantacin (por ej., objetivos de control, polticas, procesos y procedimientos de seguridad) de forma independiente y a intervalos planificados o cuando se produzcan cambios significativos para la seguridad de la informacin. Posibles Soluciones a este control: ISO27001security.com Gua y checklist de auditora de un SGSI, conforme a ISO 27001. Est realizada por el ISO 27001 Implementers Forum. ISMS Audit guideline ISO27001security.com Modelo de procedimiento, en ingls, para el establecimiento de un proceso de auditora interna de un SGSI, conforme a ISO 27001. Est realizado por el ISO 27001 Implementers Forum. ISMS internal audit procedure Microsoft Technet La Herramienta de Evaluacin de Seguridad de Microsoft (MSAT) es una herramienta gratuita, en espaol, diseada para ayudar a las organizaciones de menos de 1.000 empleados a evaluar los puntos dbiles de su entorno de seguridad de TI. Presenta un listado de cuestiones ordenadas por prioridad as como orientacin especfica para minimizar esos riesgos. TechCenter de seguridad Symantec Symantec Small Business Check-up: herramienta gratuita en ingls de auto- evaluacin y benchmarking con 700 pymes de EMEA (Europa, Oriente Medio y frica) para la seguridad de la informacin de pequeas empresas. Symantec Small Business Check-up FFIEC Gua en ingls del Federal Financial Institutions Examination Council para el establecimiento de un proceso eficaz de auditora TI en una organizacin. FFIEC IT Audit booklet FFIEC Diversas listas de verificacin -checklists-, en ingls, del Federal Financial Institutions Examination Council, para auditar los procesos de planificacin de continuidad de negocio, desarrollo y adquisicin de TI, banca electrnica, seguridad de la informacin, outsourcing de TI, direccin y gestin de TI, operaciones TI, supervisin de proveedores TI, retail payment systems, wholesale payment systems y del propio proceso de auditora TI. FFIEC Audit of BC workprogram , FFIEC Audit of D_A workprogram , FFIEC Audit of e-banking workprogram , FFIEC Audit of IS workprogram , FFIEC Audit of IT outsourcing , FFIEC Audit of IT management workprogram , FFIEC Audit of IT operations workprogram , FFIEC Audit of IT providers workprogram , FFIEC Audit of retail payment workprogram , FFIEC Audit of wholesale payment workprogram , FFIEC Audit of IT Audit workprogram GesConsultor GesConsultor es una herramienta de pago (alquiler mensual) de gestin de SGSIs, que incluye un mdulo de gestin de auditoras internas. GesConsultor
6.2 Terceros.
Mantener la seguridad de que los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin sean accesibles por terceros.
La seguridad de la informacin de la organizacin y las instalaciones de procesamiento de la informacin no debera ser reducida por la introduccin de un servicio o producto externo. Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin de la organizacin. Cuando el negocio requiera dicho acceso de terceros, se debera realizar una evaluacin del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberan definirse y aceptarse en un contrato con la tercera parte. Haga inventario de conexiones de red y flujos de informacin significativos con 3as partes, evale sus riesgos y revise los controles de seguridad de informacin existentes respecto a los requisitos. Esto puede dar miedo, pero es 100% necesario! Considere exigir certificados en ISO/IEC 27001 a los partners ms crticos, tales como outsourcing de TI, proveedores de servicios de seguridad TI, etc. Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a su riesgo y estimadas como seguras.
6.2.1 Identificacin de los riesgos derivados del acceso de terceros.
Control: Se deberan identificar los riesgos a la informacin de la organizacin y a las instalaciones del procesamiento de informacin de los procesos de negocio que impliquen a terceros y se deberan implementar controles apropiados antes de conceder el acceso. Posibles Soluciones a este control: CISCO Directrices proporcionadas por Cisco Systems para la evaluacin de la seguridad de ASPs (Application Service Providers). Cisco ASP evaluation Cloud Security Alliance Gua de seguridad de reas crticas en cloud computing. Publicada por la Cloud Security Alliance y traducida al espaol. Gua de seguridad en la nube INTECO Gua para empresas de seguridad y privacidad en cloud computing. Publicada por Inteco en espaol y otros idiomas. Gua de seguridad en la nube
6.2.2 Tratamiento de la seguridad en la relacin con los clientes.
Control: Se deberan anexar todos los requisitos identificados de seguridad antes de dar a los clientes acceso a la informacin o a los activos de la organizacin. Posibles Soluciones a este control: MICROSOFT ADTest.exe es una herramienta de generacin de carga del Active Directory que simula transacciones de clientes a un servidor host para evaluar el rendimiento de Microsoft Active Directory para Microsoft Windows Server 2003 y Microsoft Active Directory Application Mode. Active Directory Performance Testing Tool
6.2.3 Tratamiento de la seguridad en contratos con terceros.
Control: Los acuerdos con terceras partes que implican el acceso, proceso, comunicacin o gestin de la informacin de la organizacin o de las instalaciones de procesamiento de informacin o la adicin de productos o servicios a las instalaciones, deberan cubrir todos los requisitos de seguridad relevantes. Posibles Soluciones a este control: ISO27001Security Modelo de poltica de seguridad para la externalizacin de servicios. Outsourcing security policy FFIEC Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, sobre la externalizacin de procesos TI. La acompaa una lista de verificacin -checklist-, til para auditar dicho proceso. FFIEC IT outsourcing booklet INTECO Modelo de contrato de confidencialidad y secreto para acuerdos entre empresas. En espaol y publicado por el INTECO. Modelo contrato confidencialidad INTECO Centro de Comercio Internacional Modelo en ingls de acuerdo de confidencialidad entre empresas. Acuerdo confidencialidad entre empresas CNI NS/06: Seguridad industrial. Condiciones especficas para el manejo de Informacin Clasificada en las actividades, contratos y programas clasificados en los que participen empresas. Publicada por la Autoridad Delegada para la Seguridad de la Informacin Clasificada de Espaa NS/06
7. GESTIN DE ACTIVOS. 7.1 Responsabilidad sobre los activos.
Alcanzar y mantener una proteccin adecuada de los activos de la Organizacin Todos los activos deberan ser justificados y tener asignado un propietario. Se deberan identificar a los propietarios para todos los activos y asignarles la responsabilidad del mantenimiento de los controles adecuados. La implantacin de controles especficos podra ser delegada por el propietario convenientemente. No obstante, el propietario permanece como responsable de la adecuada proteccin de los activos. El trmino propietario identifica a un individuo o entidad responsable, que cuenta con la aprobacin del rgano de direccin, para el control de la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino propietario no significa que la persona disponga de los derechos de propiedad reales del activo. Elabore y mantenga un inventario de activos de informacin (similar al preparado en su da para el Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes (p. ej., ubicacin, n de serie, n de versin, estado de desarrollo / pruebas / produccin, etc.). Use cdigos de barras para facilitar las tareas de realizacin de inventario y para vincular equipos de TI que entran y salen de las instalaciones con empleados. Porcentaje de activos de informacin en cada fase del proceso de clasificacin (identificado / inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado). Porcentaje de activos de informacin claves para los cuales se ha implantado una estrategia global para mitigar riesgos de seguridad de la informacin segn sea necesario y para mantener dichos riesgos en niveles aceptables. 7.1.1 Inventario de activos.
Control: Todos los activos deberan estar claramente identificados, confeccionando y manteniendo un inventario con los ms importantes. Posibles Soluciones a este control: Belarc Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la informacin del perfil del PC se mantiene privada y no se enva a servidores de la web. Belarc Advisor Genos Open Source GMF es una implementacin de las recomendaciones ITIL (IT Infrastructure Library) para la gestin de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye mdulos de gestin de incidencias (Trouble Ticketing), gestin de inventario, gestin del cambio (Change Management), SLA y reporting. GMF - GenosOrg GesConsultor GesConsultor es una herramienta de pago (alquiler mensual) de gestin de SGSIs, que incluye un gestor centralizado de activos TI que permite el mapeo con su mdulo de anlisis de riesgos. GesConsultor GLPI GLPI es una herramienta gratuita de inventario de activos TI, con funcionalidades de gestin de los mismos. Es integrable con OCS Inventory. GLPI OCS Inventory NG OCS Inventory es una herramienta gratuita de creacin automtica de inventarios de HW, escaneo de red y distribucin de paquetes de software. OCS SpiceWorks Spiceworks es una herramienta gratuita de gestin, monitorizacin y resolucin de problemas de red, creacin automtica de mapas de red, helpdesk (gestin de tickets), inventario de HW y SW (descubrimiento automtico, gestin de licencias...) y gestin de compras TI, entre otras funcionalidades, prevista para pequeas y medianas empresas. Spiceworks
7.1.2 Propiedad de los activos.
Control: Toda la informacin y activos asociados a los recursos para el tratamiento de la informacin deberan pertenecer a una parte designada de la Organizacin. 7.1.3 Acuerdos sobre el uso adecuado de los activos Control: Se deberan identificar, documentar e implantar regulaciones para el uso adecuado de la informacin y los activos asociados a recursos de tratamiento de la informacin. Posibles Soluciones a este control: INTECO Gua de INTECO en espaol sobre la utilizacin de las tecnologas de la informacin en el mbito laboral y sus consideraciones legales. Gua Inteco TIC laboral INTECO Gua para proteger y usar de forma segura el telfono mvil. Gua INTECO telfono mvil DMOZ Proyecto abierto que ha recopilado a modo de directorio todo tipo de polticas de seguridad en diversas reas. Miscelanea de diversas polticas
7.2 Clasificacin de la informacin.
Asegurar que se aplica un nivel de proteccin adecuado a la informacin.
Se debera clasificar la informacin para indicar la necesidad, prioridades y nivel de proteccin previsto para su tratamiento.
La informacin tiene diversos grados de sensibilidad y criticidad. Algunos tems podran requerir niveles de proteccin adicionales o de un tratamiento especial. Debera utilizarse un esquema de clasificacin de la informacin para definir el conjunto adecuado de niveles de proteccin y comunicar la necesidad de medidas especiales para el tratamiento. Mantenga la sencillez! Distinga los requisitos de seguridad bsicos (globales) de los avanzados, de acuerdo con el riesgo. Comience quizs con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad. Porcentaje de activos de informacin en cada categora de clasificacin (incluida la de "an sin clasificar").
7.2.1 Directrices de clasificacin.
Control: La informacin debera clasificarse en relacin a su valor, requisitos legales, sensibilidad y criticidad para la Organizacin Posibles Soluciones a este control: CLUSIF MEHARI 2010 : Guide de lanalyse des enjeux et de la classification MEHARI CNI Directrices de clasificacin y tratamiento de informacin en Espaa. Publicadas por la Autoridad Delegada para la Seguridad de la Informacin Clasificada. NS//04
7.2.2 Etiquetado y manipulado de la informacin.
Control: Se debera desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la informacin, de acuerdo con el esquema de clasificacin adoptado por la Organizacin. Posibles Soluciones a este control: MICROSOFT Esta solucin est diseada para ayudar y permitir a una organizacin identificar, clasificar y proteger los datos en sus servidores de archivos. Ejemplos de reglas y de clasificacin ayudan a las organizaciones a crear e implementar sus polticas para proteger la informacin crtica. Data Classification Toolkit
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 8.1 Antes del empleo. Seguridad en la definicin del trabajo y los recursos
Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios. Las responsabilidades de la seguridad se deberan definir antes de la contratacin laboral mediante la descripcin adecuada del trabajo y los trminos y condiciones del empleo. Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deberan seleccionar adecuadamente, especialmente para los trabajos sensibles. Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento de la informacin deberan firmar un acuerdo sobre sus funciones y responsabilidades con relacin a la seguridad. Conjuntamente con RRHH, asegure que se emplea un proceso de verificacin de antecedentes proporcional a la clasificacin de seguridad de aquella informacin a la que va a acceder el empleado a contratar. Dicho simplemente, el proceso de contratacin de un administrador de sistemas TI debera ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formacin, conocimientos, etc. Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.) que hayan sido totalmente verificados y aprobados de acuerdo con las polticas de la empresa antes de comenzar a trabajar.
8.1.1 Funciones y responsabilidades. 8.1.1. Inclusin de la seguridad en las responsabilidades laborales Control: Se deberan definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la poltica de seguridad de la informacin de la organizacin. (Consultar tambin 5.1, 6.1.3) Posibles Soluciones a este control: GesConsultor GesConsultor es una herramienta de pago (alquiler mensual) de gestin de SGSIs, que incluye un mdulo de gestin de roles y responsabilidades. GesConsultor 8.1.2 Investigacin de antecedentes. 8.1.2. Seleccin y poltica de personal Control: Se deberan realizar revisiones de verificacin de antecedentes de los candidatos al empleo, contratistas y terceros y en concordancia con las regulaciones, tica y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos Posibles Soluciones a este control: BSI SHOP Cdigo de buenas prcticas en ingls, publicado por BSI, relativo a la comprobacin de antecendentes para empleados en entornos de seguridad. BS 7858:2006+A2:2009 ASIS International Gua en ingls de cmo realizar comprobaciones de antecedentes a la hora de contratar personal. Screening guideline National Association of Professional Background Screeners Asociacin que proporciona opiniones relevantes a entidades legales estatales, nacionales e internacionales en relacin a asuntos relacionados con la industria de seleccin y supervisin del personal. De origen EEUU existen captulos en LatAm y Europa, entre otros pases y regiones. NAPBS CNI NS/02: Seguridad en el personal. Habilitacin de seguridad. Publicada por la Autoridad Delegada para la Seguridad de la Informacin Clasificada de Espaa. NS/02 Elena Larrauri / James B. Jacobs Estudio legal sobre la solicitud de certificado de antecedentes penales a trabajadores en Espaa. Artculo
8.1.3 Trminos y condiciones de contratacin.
Control: Como parte de su obligacin contractual, empleados, contratistas y terceros deberan aceptar y firmar los trminos y condiciones del contrato de empleo, el cual establecer sus obligaciones y las obligaciones de la organizacin para la seguridad de informacin. 8.2 Durante el empleo. Seguridad en el desempeo de las funciones del empleo Asegurar que los empleados, contratistas y terceras partes son conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que estn equipados para cumplir con la poltica de seguridad de la organizacin en el desempeo de sus labores diarias, para reducir el riesgo asociado a los errores humanos. Se debera definir las responsabilidades de la Direccin para garantizar que la seguridad se aplica en todos los puestos de trabajo de las personas de la organizacin. A todos los usuarios empleados, contratistas y terceras personas se les debera proporcionar un adecuado nivel de concienciacin, educacin y capacitacin en procedimientos de seguridad y en el uso correcto de los medios disponibles para el procesamiento de la informacin con objeto de minimizar los posibles riesgos de seguridad. Se debera establecer un proceso disciplinario normal para gestionar las brechas en seguridad. La responsabilidad con respecto a la proteccin de la informacin no finaliza cuando un empleado se va a casa o abandona la organizacin. Asegure que esto se documenta claramente en materiales de concienciacin, contratos de empleo, etc. Contemple la posibilidad de una revisin anual por RRHH de los contratos junto con los empleados para refrescar las expectativas expuestas en los trminos y condiciones de empleo, incluyendo su compromiso con la seguridad de la informacin. Respuesta a las actividades de concienciacin en seguridad medidas por (por ejemplo) el nmero de e-mails y llamadas relativas a iniciativas de concienciacin individuales.
8.2.1 Responsabilidades de la Direccin. Supervisin de las obligaciones Control: La Direccin debera requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las polticas y los procedimientos establecidos de la organizacin.
8.2.2 Concienciacin, formacin y capacitacin seguridad de la informacin.
Control: Todos los empleados de la organizacin y donde sea relevante, contratistas y usuarios de terceros deberan recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en polticas y procedimientos organizacionales como sean relevantes para la funcin de su trabajo. Posibles Soluciones a este control: AGPD En esta pgina la Agencia Espaola de Proteccin de Datos pone a disposicin de los ciudadanos informacin, consejos as como recursos y materiales para fomentar un uso seguro de Internet. Agencia Proteccin de Datos CCN-CERT CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Informacin del Centro Criptolgico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Dispone de cursos online pblicos de formacin en anlisis de riesgos y Esquema Nacional de Seguridad, adems de convocatorias de cursos presenciales y privados. CNI ENISA Documento en espaol publicado por ENISA (Agencia Europea de Seguridad de las Redes y de la Informacin) conteniendo plantillas de cuestionarios, con respuestas, sobre aspectos de seguridad de la informacin. ENISA ENISA ENISA ha producido material til (clips de vdeo, ilustraciones, posters, salvapantallas) que har que los empleados sean conscientes de los riesgos de seguridad de la informacin y recordarles las buenas prcticas. El material de ENISA estn disponibles en distintos idiomas incluido el espaol para ser descargados y usados en cualquier programa de formacin de seguridad de la informacin y en la actividad de sensibilizacin desde la web de la empresa. ENISA ENISA Material de capacitacin para PYMES que puede ser utilizada por individuos o presentado en una sala de formacin por los instructores que participan en el esfuerzo de su organizacin en temas de seguridad. Las guas de referencia de "formacin de formadores" proporcionan informacin adicional y referencias externas para formadores y presentadores para utilizar durante el entrenamiento en concienciacin de seguridad. ENISA INTECO Una forma de despertar el inters de los empleados por la seguridad de la informacin es formarles en aspectos que afectan a su uso privado de las TIC. Los manuales de INTECO pueden ayudar a preparar programas de formacin sobre: qu es y cmo prevenir el sexting en adolescentes, seguridad y privacidad en la Web 2.0, seguridad y privacidad en comercio electrnico, uso de videojuegos por menores, uso seguro del DNI electrnico en Internet, configuracin de privacidad y seguridad en las redes sociales, ciberbullying y grooming, proteccin de WI-FI en el hogar, proteccin y uso seguro del telfono mvil, menores de edad en las redes sociales e Internet, cmo actuar ante ataques a la propia imagen en Internet, aspectos legales de la privacidad en Internet, etc. Manuales de seguridad Inteco INTECO Curso introductorio gratuito de 20h. a los Sistemas de Gestin de la Seguridad de la Informacin (SGSI) segn la norma UNE-ISO/IEC 27001. Se dan a conocer los conceptos bsicos necesarios para introducir al usuario en la gestin de la Seguridad de la Informacin, as como conocer la dimensin y alcance que suponen la implantacin, certificacin y mantenimiento de un SGSI en una organizacin, en base a la norma ISO/IEC 27001. Inteco.es INFORMATION SECURITY ENCYCLOPEDIA Cada vdeo presenta una leccin sobre un tema de seguridad. Unos tienen un enfoque generalista e introductorio y otros ms especficos, incluso con cierto nivel de dificultad y en ese caso orientado a tcnicos y especialistas. Al final de cada leccin encontrars un conjunto de preguntas que te servirn de autoevaluacin.. INTYPEDIA ISO27001Security Concienciacin para directivos: caso de estudio en ingls sobre el valor de negocio de ISO 27001. iso27001security ISQ Formacin en ingls sobre en qu consiste y cmo informar de Incidentes de seguridad. Sirve como modelo de formacin til a implantar internamente por una organizacin. IQS dispone de material diverso de demostracin y tambien para su adquisicin y traduccin al espaol. ISQ Kirkpatrick El Modelo Kirkpatrick es una metodologa ampliamente extendida de evaluacin de la eficacia de acciones de formacin. Previo registro, en este sitio se tiene acceso gratuito a informacin y herramientas sobre el modelo. El libro oficial es de pago (tambin traducido al espaol). Kirkpatrick Partners LAMP Security LAMPSecurity training est diseado mediante una serie de imgenes de mquinas virtuales vulnerables junto con la documentacin complementaria diseada para ensear seguridad en linux, apache, php, mysql. Descarga Management Games and Simulations Lista recopilatoria de diversos juegos de simulacin en gestin de servicios TI, continuidad de negocio, gestin del riesgo, entre otros y para la formacin en diferentes aspectos como toma de conciencia, organizacin del personal y roles a desempear en los diferentes casos. Listado de soluciones Microsoft Microsoft Security Awareness Toolkit: conjunto de herramientas en ingls de Microsoft para planificar, disear y desplegar un programa de concienciacin en seguridad de la informacin en una organizacin. Microsoft Security Awareness Toolkit Technet MindfulSecurity.com Portal en ingls con recursos, enlaces e ideas sobre concienciacin en seguridad de la informacin. mindfulsecurity NIST SP800-50: Gua para generar un plan de concienciacin y formacin en seguridad de la informacin publicado por el NIST (National Institute of Standards and Technology) de EEUU. NIST SP800-50 NIST SP800-16: Gua para un plan de formacin basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU. Va acompaado de 2 anexos: AppendixA-D y Appendix_E. NIST SP800-16 Appendix A-D Appendix E NOTICEBORED Conjunto de herramientas y servicios de concienciacin. En general, no gratuitas, aunque algunos elementos s son de libre acceso. NoticeBored Wikipedia Enlaces a distintas plataformas de aprendizaje en lnea (LMS: software instalado en un servidor, que se emplea para administrar, distribuir y controlar las actividades de formacin no presencial o e-Learning de una institucin. Learning Management systems 8.2.3 Proceso disciplinario.
Control: Debera existir un proceso formal disciplinario para empleados que produzcan brechas en la seguridad. Posibles Soluciones a este control: SEINHE Consideraciones relativas al proceso disciplinario laboral en Espaa. Proceso disciplinario Tribunal Supremo Jurisprudencia del Tribunal Supremo espaol relativa al despido de trabajadores por uso inapropiado de medios informticos. Hacer clic en el enlace e introducir en el campo "Texto a buscar": 28079140012011100178 para la sentencia STS 1323/2011 y 28079140012007101065 para la sentencia STS 6128/2007. Jurisprudencia Tribunal Supremo derechoycambiosocial.com Anlisis de la sentencia STS 1323/2011 del Tribunal Supremo espaol. Despido_por_uso_indebido_de_internet.pdf INTECO Gua de INTECO en espaol sobre la utilizacin de las tecnologas de la informacin en el mbito laboral y sus consideraciones legales. Gua Inteco
8.3 Cese del empleo o cambio de puesto de trabajo.
Garantizar que los empleados, contratistas y terceras personas abandonan la organizacin o cambian de empleo de forma organizada. Se deberan establecer las responsabilidades para asegurar que el abandono de la organizacin por parte de los empleados, contratistas o terceras personas se controla, que se devuelve todo el equipamiento y se eliminan completamente todos los derechos de acceso. Los cambios en las responsabilidades y empleos en la organizacin se deberan manejar, en el caso de su finalizacin en lnea con esta seccin, y para el caso de nuevos empleos como se describe en la seccin 8.1. Vase Seccin 7.1. La devolucin de los activos de la organizacin cuando un empleado se marcha sera mucho ms sencilla de verificar si el inventario de activos ha sido actualizado y verificado regularmente. Examine qu accesos necesita revocar en primer lugar cuando un empleado presenta su carta de dimisin: cules son los sistemas ms crticos o vulnerables?. Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la empresa, por si comienzan a sacar informacin confidencial (sujeto a las polticas aplicables y a consideraciones legales sobre privacidad). Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la organizacin, separados por las categoras de activos (pendientes de desactivacin) e inactivos (pendientes de archivo y borrado).
8.3.1 Responsabilidad del cese o cambio.
Control: Las responsabilidades para ejecutar la finalizacin de un empleo o el cambio de ste deberan estar claramente definidas y asignadas.
8.3.2 Devolucin de activos.
Control: Todos los empleados, contratistas y terceros deberan devolver todos los activos de la organizacin que estn en su posesin a la finalizacin de su empleo, contrato o acuerdo. Gua: El proceso de finalizacin debera estar formalizado para incluir el retorno previo de los software, documentos corporativos y equipos. Otros activos de la organizacin como dispositivos mviles de computo, tarjetas de crdito, tarjetas de acceso, manuales, software e informacin guardada en medios electrnicos, tambin necesitan ser devueltos. En casos donde el empleado, contratista o tercero compra el equipo de la organizacin o usa su propio equipo, se debera seguir procedimientos para asegurar que toda la informacin relevante es transferida a la organizacin y borrado con seguridad del equipo (consultar 10.7.1). En casos donde un empleado, contratista o tercero tiene conocimiento que es importante para las operaciones en curso, esa informacin debe ser documentada y transferida a la organizacin.
8.3.3 Retirada de los derechos de acceso.
Control: Se deberan retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la informacin y a las instalaciones del procesamiento de informacin a la finalizacin del empleo, contrato o acuerdo, o ser revisada en caso de cambio. Gua: Tras la finalizacin, se deberan reconsiderar los derechos de acceso de un individuo a los activos asociados con los sistemas de informacin y a los servicios. Esto determinara si es necesario retirar los derechos de acceso. Los cambios en un empleo deberan reflejarse en la retirada de todos los derechos de acceso que no sean aprobados para el nuevo empleo. Los derechos de acceso deberan ser retirados o adaptados, incluyendo acceso fsico y lgico, llaves, tarjetas de identificacin, instalaciones del proceso de informacin (consultar 11.2.4), subscripciones y retirada de cualquier documentacin que los identifica como un miembro actual de la organizacin. Si un empleado, contratista o usuario de tercero saliente ha sabido contraseas para activos restantes de las cuentas, deberan ser cambiadas hasta la finalizacin o cambio del empleo, contrato o acuerdo. Los derechos de acceso para activos de informacin y equipos se deberan reducir o retirar antes que el empleo termine o cambie, dependiendo de la evaluacin de los factores de riesgo como: a) si la finalizacin o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la gerencia y la razn de la finalizacin; b) las responsabilidades actuales del empleado u otro usuario; c) el valor de los activos a los que se accede actualmente. Informacin adicional: En ciertas circunstancias los derechos de acceso pueden ser asignados en base a la disponibilidad hacia ms personas que el empleado, contratista o usuario de tercero saliente. En estas circunstancias, los individuos salientes deberan ser removidos de cualquier lista de grupos de acceso y se deben realizar arreglos para advertir a los dems empleados, contratistas y usuarios de terceros involucrados de no compartir esta informacin con la persona saliente. En casos de gerencia terminada, contrariedad con los empleados, contratistas o usuarios de terceros pueden llevar a corromper informacin deliberadamente o a sabotear las instalaciones del procesamiento de informacin. En casos de renuncia de personal, estos pueden ser tentados a recolectar informacin para usos futuros.
9. SEGURIDAD FSICA Y DEL ENTORNO. 9.1 reas seguras. Evitar el acceso fsico no autorizado, daos o intromisiones en las instalaciones y a la informacin de la organizacin. Los servicios de procesamiento de informacin sensible deberan ubicarse en reas seguras y protegidas en un permetro de seguridad definido por barreras y controles de entrada adecuados. Estas reas deberan estar protegidas fsicamente contra accesos no autorizados, daos e interferencias. La proteccin suministrada debera estar acorde con los riesgos identificados. El estndar parece centrarse en el CPD pero hay muchas otras reas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estndares se refieren a asegurar la informacin, no slo las TI). Examine la entrada y salida de personas a/de su organizacin. Hasta dnde podra llegar el repartidor de pizza o el mensajero sin ser parado, identificado y acompaado? Qu podran ver, llevarse o escuchar mientras estn dentro? Algunas organizaciones usan tarjetas de identificacin de colores para indicar las reas accesibles por los visitantes (p. ej., azul para la 1 planta, verde para la 3, etc.; ahora, si ve a alguien con una identificacin verde en la 4 planta, retngalo). Asegrese de retirar todos los pases de empleado y de visita cuando se vayan. Haga que los sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de visita que se vuelvan opacos o muestren de alguna manera que ya no son vlidos a las x horas de haberse emitido. Informes de inspecciones peridicas de seguridad fsica de instalaciones, incluyendo actualizacin regular del estado de medidas correctivas identificadas en inspecciones previas que an estn pendientes. 9.1.1 Permetro de seguridad fsica. Control: Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepcin) deberan utilizarse para proteger las reas que contengan informacin y recursos para su procesamiento. Posibles Soluciones a este control: ASIS International Gua en ingls sobre medidas de seguridad fsica ASIS Facilities Physical Security Measures Guideline SISTESEG Ejemplo de poltica de seguridad fsica en espaol de SISTESEG Poltica de seguridad fsica 9.1.2 Controles fsicos de entrada.
Control: Las reas de seguridad deberan estar protegidas por controles de entrada adecuados que garanticen el acceso nicamente al personal autorizado. (Consultar tambin 8.3.3) Posibles Soluciones a este control: APC Documento tcnico en ingls de APC sobre control de acceso fsico a infraestructuras crticas Acceso fsico INTECO Gua de INTECO y Anova sobre el uso de videovigilancia en distintos entornos, la legislacin aplicable y sus implicaciones en materia de proteccin de datos personales. Gua Inteco videovigilancia
9.1.3 Seguridad de oficinas, despachos e instalaciones.
Control: Se debera asignar y aplicar la seguridad fsica para oficinas, despachos y recursos. Posibles Soluciones a este control: CNI NS/03: Seguridad fsica de instalaciones de almacenamiento de informacin clasificada en la administracin pblica espaola. Publicada por la Autoridad Delegada para la Seguridad de la Informacin Clasificada de Espaa. NS/03 Oficina Nacional de Seguridad OR-ASIP-01-01.02: Orientaciones para el plan de proteccin de una zona de acceso restringido. Oficina Nacional de Seguridad de Espaa. OR-ASIP-01-01.02 Oficina Nacional de Seguridad OR-ASIP-01-02.02: Orientaciones para la constitucin de zonas de acceso restringido. Oficina Nacional de Seguridad de Espaa. OR-ASIP-01-02.02
9.1.4 Proteccin contra las amenazas externas y de origen ambiental.
Control: Se debera designar y aplicar medidas de proteccin fsica contra incendio, inundacin, terremoto, explosin, malestar civil y otras formas de desastre natural o humano. (Consultar tambin 9.2.1) Posibles Soluciones a este control: APC Documento tcnico en ingls de APC sobre proteccin contra incendios en infraestructuras crticas APC: Extincin de incendios APC Diversos documentos tcnicos de APC en ingls y espaol sobre refrigeracin de CPDs APC: Refrigeracin Uptime Institute The Uptime Institute es una organizacin que publica estndares y mantiene un esquema de certificacin para la mejora del grado de disponiblidad de centros de proceso de datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV). Uptime Institute Publications
9.1.5 Trabajo en reas seguras.
Control: Se debera disear y aplicar proteccin fsica y pautas para trabajar en las reas seguras.
9.1.6 reas de acceso pblico y de carga y descarga.
Control: Se deberan controlar las reas de carga y descarga con objeto de evitar accesos no autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la informacin. (consultar 9.2.1d) (consultar 7.1.1)
9.2 Seguridad de los equipos.
Evitar la prdida, dao, robo o puesta en peligro de los activos y interrupcin de las actividades de la organizacin. Deberan protegerse los equipos contra las amenazas fsicas y ambientales. La proteccin del equipo es necesaria para reducir el riesgo de acceso no autorizado a la informacin y su proteccin contra prdida o robo. As mismo, se debera considerar la ubicacin y eliminacin de los equipos. Se podran requerir controles especiales para la proteccin contra amenazas fsicas y para salvaguardar servicios de apoyo como energa elctrica e infraestructura del cableado. Haga que los vigilantes de seguridad impidan a cualquiera (empleados, visitas, personas de soporte TI, mensajeros, personal de mudanzas, etc.) sacar equipos informticos de las instalaciones sin autorizacin escrita. Convirtalo en un elemento disuasorio visible mediante chequeos aleatorios (o, incluso, arcos de deteccin de metales). Est especialmente atento a puertas traseras, rampas de carga, salidas para fumadores, etc. Tome en consideracin el uso de cdigos de barras para hacer los chequeos ms eficientes. Nmero de chequeos (a personas a la salida y a existencias en stock) realizados en el ltimo mes y porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes informticos u otras cuestiones de seguridad. 9.2.1 Emplazamiento y proteccin de equipos. Control: El equipo debera situarse y protegerse para reducir el riesgo de materializacin de las amenazas del entorno, as como las oportunidades de acceso no autorizado. Posibles Soluciones a este control: APC Documentos tcnicos de APC en ingls y espaol sobre arquitectura de CPDs APC: arquitectura de CPDs APC Documentos tcnicos de APC en ingls sobre monitorizacin y control de CPDs APC: Monitorzacin de CPDs (1) APC: Monitorizacin de CPDs (2) Uptime Institute The Uptime Institute es una organizacin que publica estndares y mantiene un esquema de certificacin para la mejora del grado de disponiblidad de centros de proceso de datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV). Uptime Institute Publications TIA Estndar de la Telecommunications Industry Association en ingls que establece requisitos para las infraestructuras de comunicaciones en centros de proceso de datos. TIA-942 NFPA NFPA 75 es el estndar de la National Fire Protection Association para la proteccin de equipos TI: construccin de edificios, proteccin anti-incendios, sistemas de extincin, sistemas elctricos, refrigeracin, etc. Versiones en ingls y en espaol. NFPA 75 NFPA NFPA 76 es el estndar de la National Fire Protection Association para la proteccin contra incendios de instalaciones de telecomunicaciones. Versiones en ingls y en espaol. NFPA 76 NFPA Larga lista de estndares relacionados con la seguridad contra el fuego de la National Fire Protection Association. Versiones en ingls y en espaol. Normas NFPA ANIXTER Gua en ingls de la empresa Anixter sobre infraestructuras de centros de proceso de datos. Data Center Guide
9.2.2 Instalaciones de suministro.
Control: Se deberan proteger los equipos contra fallos en el suministro de energa u otras anomalas elctricas en los equipos de apoyo. Posibles Soluciones a este control: APC Documento tcnico de APC con explicaciones sobre tipos de SAI (sistemas de alimentacin ininterrumpida) Tipos de SAI APC Documentos tcnicos de APC sobre alimentacin elctrica, SAIs, eficiencia, distintos tipos de clculos, etc. Libros blancos de APC T2APP Documento tcnico de T2APP sobre problemas de suministro elctrico, soluciones, clculo de la carga, tipos de SAI (sistemas de alimentacin ininterrumpida), mantenimiento de un SAI, etc. SAI
9.2.3 Seguridad del cableado.
Control: Se debera proteger el cableado de energa y de telecomunicaciones que transporten datos o soporten servicios de informacin contra posibles interceptaciones o daos. Posibles Soluciones a este control: TIA Estndar de la Telecommunications Industry Association en ingls que establece requisitos para las infraestructuras de comunicaciones en centros de proceso de datos. TIA-942 ANIXTER Gua tcnica en ingls de la empresa Anixter que resume el contenido de diferentes estndares de cableado de redes. Cabling standards reference guide ANIXTER Gua tcnica en ingls de la empresa Anixter de instalacin de cableado de redes. Installation pocket reference guide ANIXTER Gua tcnica en ingls de la empresa Anixter de cableado de redes en plantas industriales. Telecommunications infrastructure for industrial premises
9.2.4 Mantenimiento de los equipos.
Control: Se deberan mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad. Posibles Soluciones a este control: APC Documento tcnico de APC en espaol sobre mantenimiento preventivo de CPDs APC: mantenimiento de CPDs CCleaner Herramienta para la limpieza de Windows. Proteccin en privacidad online and aporta rapidez y seguridad en los ordenadores. Limpieza equipos System Ninja Herramienta para la limpieza de Windows eliminado todo tipo de archivos temporales como cachs de juegos, historiales, cookies, dumps de memoria, archivos abiertos recientemente. Dispone de funcionalidades extras como un administrador de procesos, un lector de hashes, informacin detallada sobre el hardware y un gestor de programas de inicio, til para eliminar programas innecesarios que se cargan con Windows consumiendo recursos. Limpieza equipos
9.2.5 Seguridad de los equipos fuera de las instalaciones.
Control: Se debera aplicar seguridad a los equipos que se encuentran fuera de los locales de la organizacin considerando los diversos riesgos a los que estn expuestos. (Consultar tambin 11.7.1.). Posibles Soluciones a este control: INTECO Gua de Inteco para proteger y usar de forma segura el telfono mvil Gua INTECO Wikipedia Consideraciones sobre Kensington lock para equipos porttiles K-Slot K-Slot Cerradura tubular OSI Consejos de seguridad para porttiles de la Oficina de Seguridad del Internauta. OSI Symantec Consejos de Symantec para la proteccin contra el robo de porttiles. Laptop Security, Symantec
9.2.6 Reutilizacin o retirada segura de equipos.
Control: Debera revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o sobrescrito con seguridad antes de la eliminacin. (Consultar tambin 10.7.2). Posibles Soluciones a este control: DARIK'S BOOT AND NUKE Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita- autoarrancable que permite hacer un borrado seguro del disco duro completo de un equipo (operacin que no sera posible si se inicia el equipo con el sistema operativo instalado en ese mismo disco). DBAN Heidi-Eraser Herramienta open source de borrado seguro. Eraser Hardwipe Herramienta gratuita de borrado seguro. Hardwipe INTECO Gua sobre almacenamiento y borrado seguro de informacin: aborda cuestiones como por qu se debe controlar la informacin en la empresa, cmo se almacena dicha informacin en los dispositivos de almacenamiento ms comunes, en qu consiste la recuperacin en caso de prdida y qu debe hacerse si se quiere eliminar de modo permanente la informacin. Disponible la gua completa en castellano e ingls y la resea de la misma en cataln, euskera, gallego y valenciano. Gua INTECO NATIONAL SECURITY AGENCY Los productos de estas listas reunen los requisitos especificos de la NSA para la desinfeccin, destruccin o eliminizacin de dispositivos que contengan informacin sensible o clasificada. Guas NSA de destruccin NIST La gua nmero 88 de la serie NIST SP800 ayuda a las organizaciones en la implementacin de un programa de sanitizacin de medios con las tcnicas adecuadas y aplicables y los controles para la desinfeccin y eliminacin teniendo en cuenta la clasificacin de seguridad de la confidencialidad del sistema asociado. Gua NIST SP800-88
9.2.7 Retirada de materiales propiedad de la empresa. Traslado de Activos
Control: No deberan sacarse equipos, informacin o software fuera del local sin una autorizacin.
10. GESTIN DE COMUNICACIONES Y OPERACIONES. 10.1 Responsabilidades y procedimientos de operacin.
Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Se deberan establecer responsabilidades y procedimientos para la gestin y operacin de todos los recursos para el tratamiento de la informacin. Esto incluye el desarrollo de instrucciones apropiadas de operacin y de procedimientos de respuesta ante incidencias. Se implantar la segregacin de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia. Documente procedimientos, normas y directrices de seguridad de la informacin, adems de roles y responsabilidades, identificadas en el manual de poltica de seguridad de la organizacin. Mtricas de madurez de procesos TI relativos a seguridad, tales como el semiperiodo de aplicacin de parches de seguridad (tiempo que ha llevado parchear al menos la mitad de los sistemas vulnerables -esta medida evita la cola variable provocada por los pocos sistemas inevitables que permanecen sin parchear por no ser de uso diario, estar normalmente fuera de la oficina o cualquier otra razn-).
10.1.1 Documentacin de los procedimientos de operacin.
Control: Se deberan documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios que lo necesiten. (Consultar tambin 10.5, 11.5.4, 10.7.2, 10.7.3 y 10.10).
Posibles Soluciones a este control: FFIEC Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, sobre la gestin de TI en una organizacin. La acompaa una lista de verificacin -checklist-, til para auditar dicho proceso. FFIEC IT management booklet INFOSECWRITERS Gua prctica para el anlisis y plan de respuesta a incidentes para ataques DoS de Denegacin del Servicio. DoS! Denial of Service NATIONAL SECURITY AGENCY NSA desarrolla y distribuye guas para la configuracin de una amplia variedad de software, tanto open source como propietario. Guas NSA de seguridad
10.1.2 Gestin de cambios operacionales.
Control: Se deberan controlar los cambios en los sistemas y en los recursos de tratamiento de la informacin. (Consultar tambin 12.5.1) Posibles Soluciones a este control: Distribucin de SW Diversas herramientas de pago de distribucin de paquetes de software en una red: Altiris, Enteo NetInstall, Microsoft System Center Configuration Manager. Altiris, Enteo, Microsoft SCCM Genos Open Source GMF es una implementacin de las recomendaciones ITIL (IT Infrastructure Library) para la gestin de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye mdulos de gestin de incidencias (Trouble Ticketing), gestin de inventario, gestin del cambio (Change Management), SLA y reporting. GMF - GenosOrg Microsoft Attack Surface Analyzer Solucin para tomar un "snapshot" de nuestro sistema previo a la instalacin del software y tras la instalacin, comparando ambas para comprobar las modificaciones reales y posibles exposiciones y vulnerabilidades. MASA OCS Inventory NG OCS Inventory es una herramienta gratuita de creacin automtica de inventarios de HW, escaneo de red y distribucin de paquetes de software. OCS
10.1.3 Segregacin de tareas.
Control: Se deberan segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una modificacin no autorizada o no intencionada, o el de un mal uso de los activos de la organizacin. Posibles Soluciones a este control: BANCO CENTRAL DE LA REPBLICA ARGENTINA Requisitos mnimos de gestin, implementacin y control de los riesgos relacionados con tecnologa informtica, sistemas de informacin y recursos asociados para las entidades financieras. Circular RUNOR 1 805 Ernst & Young En este documento se plantea un enfoque prctico y basado en riesgos del cumplimiento con la segregacin de funciones. Documento de Enfoque ISACA La matriz de segregacin de funciones ilustra las posibilidades de segregacin potencial que se pueden aplicar. ISACA OBSERVE IT Solucin software que captura la actividad en cualquier sesin de usuario, incluidas terminales, escritorios remotos, Citrix, VMWare, VNC, NetOP y PC Anywhere. ObserveIT Xpress es una versin completamente free del producto ObserveIT, sin fecha de expiracin. La versin free puede monitorizar un mximo de 5 servidores. ObserveIT Xpress SANS Artculo en el que se analizan los diferentes roles relevantes a la informacin clave de una organizacin, el grado de segregacin recomendado y las razones para acometer esta segregacin. Sans
10.1.4 Separacin de los recursos de desarrollo, prueba y operacin.
Control: La separacin de los recursos para el desarrollo, prueba y produccin es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional. (consultar 12.4.2)
10.2 Gestin de la provisin de servicios por terceros.
Implementar y mantener un nivel apropiado de seguridad de la informacin y de la prestacin del servicio en lnea con los acuerdos de prestacin del servicio por terceros. La organizacin debera verificar la implementacin de acuerdos, el monitoreo de su cumplimiento y gestin de los cambios con el fin de asegurar que los servicios que se ser prestan cumplen con todos los requerimientos acordados con los terceros. Lo que recibe vale lo que paga por ello? D respuesta a esta pregunta y respldela con hechos, estableciendo un sistema de supervisin de terceros proveedores de servicios y sus respectivas entregas de servicio. Revise peridicamente los acuerdos de nivel de servicio (SLA) y comprelos con los registros de supervisin. En algunos casos puede funcionar un sistema de premio y castigo. Est atento a cambios que tengan impacto en la seguridad. Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluacin del rendimiento de proveedores incluyendo la calidad de servicio, entrega, coste, etc.
10.2.1 Provisin de servicios.
Control: Se debera garantizar que los controles de seguridad, definiciones de servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa. (Consultar tambin 6.2.1, 6.2.3, 6.1.5, 10.2.2, 12.5.5). Posibles Soluciones a este control: FFIEC Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, sobre la externalizacin de procesos TI. La acompaa una lista de verificacin -checklist-, til para auditar dicho proceso. FFIEC IT outsourcing booklet Kerala State Ejemplos de peticiones de propuestas en los que se incluyen descripciones del servicio entregado y acuerdos de seguridad con terceros, as como, definiciones de servicio y aspectos de la gestin del servicio (en ingls). Kerala State Wide Area Network Infrastructure Kerala State ISMS implantation
10.2.2 Supervisin y revisin de los servicios prestados por terceros.
Control: Los servicios, informes y registros suministrados por terceros deberan ser monitoreados y revisados regularmente, y las auditoras se deberan realizar a intervalos regulares. (Consultar tambin 6.2.1, 6.2.3, 6.1.5, 10.2.1, 12.5.5). Posibles Soluciones a este control: FFIEC Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, para la adecuada supervisin de proveedores de servicios TI. La acompaa una lista de verificacin -checklist-, til para auditar dicho proceso. FFIEC IT providers superivision booklet Genos Open Source GMF es una implementacin de las recomendaciones ITIL (IT Infrastructure Library) para la gestin de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye mdulos de gestin de incidencias (Trouble Ticketing), gestin de inventario, gestin del cambio (Change Management), SLA y reporting. GMF - GenosOrg
10.2.3 Gestin del cambio en los servicios prestados por terceros.
Control: Se deberan gestionar los cambios en la provisin del servicio, incluyendo mantenimiento y mejoras en las polticas de seguridad de informacin existentes, en los procedimientos y los controles teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, as como la reevaluacin de los riesgos.
10.3 Planificacin y aceptacin del sistema. Minimizar el riesgo de fallos en los sistemas. Se requiere una planificacin y preparacin avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los sistemas requerida. Deberan realizarse proyecciones de los requisitos de capacidad en el futuro para reducir el riesgo de sobrecarga de los sistemas. Se deberan establecer, documentar y probar, antes de su aceptacin, los requisitos operacionales de los nuevos sistemas. Adopte procesos estructurados de planificacin de capacidad TI, desarrollo seguro, pruebas de seguridad, etc., usando estndares aceptados como ISO 20000 (ITIL) donde sea posible. Defina e imponga estndares de seguridad bsica (mnimos aceptables) para todas las plataformas de sistemas operativos, usando las recomendaciones de seguridad de CIS, NIST, NSA y fabricantes de sistemas operativos y, por supuesto, sus propias polticas de seguridad de la informacin. Porcentaje de cambios de riesgo bajo, medio, alto y de emergencia. Nmero y tendencia de cambios revertidos y rechazados frente a cambios exitosos. Porcentaje de sistemas (a) que deberan cumplir con estndares de seguridad bsica o similares y (b) cuya conformidad con dichos estndares ha sido comprobada mediante benchmarking o pruebas.
10.3.1 Gestin de capacidades.
Control: Se debera monitorizar el uso de recursos, as como de las proyecciones de los requisitos de las capacidades adecuadas para el futuro con objeto de asegurar el funcionamiento requerido del sistema. Posibles Soluciones a este control: MICROSOFT ADTest.exe es una herramienta de generacin de carga del Active Directory que simula transacciones de clientes a un servidor host para evaluar el rendimiento de Microsoft Active Directory para Microsoft Windows Server 2003 y Microsoft Active Directory Application Mode. Active Directory Performance Testing Tool
10.3.2 Aceptacin del sistema.
Control: Se deberan establecer criterios de aceptacin para nuevos sistemas de informacin, actualizaciones y versiones nuevas. Se deberan desarrollar las pruebas adecuadas del sistema durante el desarrollo y antes de su aceptacin. (consultar 14.1)
10.4 Proteccin contra el cdigo malicioso y descargable. Cdigo Mvil.
Proteger la integridad del software y de la informacin. Se requieren ciertas precauciones para prevenir y detectar la introduccin de cdigo malicioso y cdigos mviles no autorizados. El software y los recursos de tratamiento de informacin son vulnerables a la introduccin de software malicioso como virus informticos, gusanos de la red, caballos de troya y bombas lgicas. Los usuarios deberan conocer los peligros que puede ocasionar el software malicioso o no autor izado y los administradores deberan introducir controles y medidas especiales para detectar o evitar su introduccin. Combine controles tecnolgicos (p. ej., software antivirus) con medidas no tcnicas (educacin, concienciacin y formacin). No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables! Tendencia en el nmero de virus, gusanos, troyanos o spam detectados y bloqueados. Nmero y costes acumulados de incidentes por software malicioso.
10.4.1 Controles contra el cdigo malicioso.
Control: Se deberan implantar controles de deteccin, prevencin y recuperacin contra el software malicioso, junto a procedimientos adecuados para la concienciacin de los usuarios. (consultar 15.1.2) (consultar 13.1 y 13.2) (consultar 14)
Posibles Soluciones a este control: ANUBIS Servicio on-line para cdigo malicioso (malware). Sube tu fichero Windows ejecutable y recibes un informe de anlisis indicndote qu es lo que hace el fichero. Para el anlisis de ficheros de Javascript y Flash prueba con Wepawet Anubis BITDEFENDER Enfocado en las amenazas cibernticas activas, el producto usa slo una parte de los recursos del sistema necesarios para un anlisis de virus y no requiere de tiempo para la actualizacin de firmas de virus, ya que el proceso de deteccin es ejecutado en los servidores remotos de Bitdefender. Se puede acceder al servicio Quickscan desde cualquier PC conectado a Internet. No necesita instalar software, realizar actualizaciones o hacer tareas de configuracin. Anlisis Online Comodo Servicio de anlisis automtico de Malware en ficheros de cualquier tipo. Enlace EICAR European Institute for Computer Antivirus Research dedicado a la seguridad TI y con actividad relevante en soluciones de Malware. Dispone de ficheros incuos que permiten verificar si sus soluciones antimalware permanecen activas y eficaces. Ficheros test Antimalware ENISA Utilizando aplicaciones maliciosas se puede acceder fcilmente a datos privados almacenados o procesados por los smartphones como emails confidenciales, datos de ubicacin y geoposicionamiento, llamadas telefnicas, mensajes SMS, entre otros. Partiendo de un modelo de amenazas para la tiendas de aplicaciones, este documento identifica 5 lneas de defensa que deben estar establecidas para combatir el malware en las appstores. Appstore security EUREKA Servicio de anlisis automtico de Malware en ficheros binarios de Windows. Enlace GMER GMER es una aplicacin que no necesita de instalacin y que detecta y elimina cdigo malicioso (rootkit) oculto mediante el escaneo de procesos, mdulos, servicios, archivos, sectores de disco (MBR) y drivers que dependen de llamdas SSDT/IDT y IRP del sistema operativo (Windows NT/W2K/XP/VISTA/7). GMER ISO Especificaciones para el etiquetado de software con el objeto de optimizar su identificacin y gestin. (ingls) ISO/IEC 19077- 2:2009 JOTTI El escner de viruses de Jotti es un servicio online gratuito con el cual se puede revisar archivos sospechosos mediante diversos programas de antivirus. Los escneres son de la version Linux y por eso posiblemente tendrn diferencias menores en comparacin a los resultados de Windows. El tamao mximo de los archivos es de 25MB. Favor de tener en cuenta que no habr una deteccin de virus a 100%, tampoco en el caso que se usara varios programas de antivirus (p.ej. este servicio de escner). Acceso Online JSUNPACK A Generic JavaScript Unpacker que permite analizar ficheros PDF, pcap, HTML, JavaScript y URL. Acceso Online KASPERSKY Solucin gratuita disponible desde Android Market que proporciona defensa antirobo, permitiendo bloquear, limpiar o encontrar tu telfono perdido. Permite tambin filtrar fcilmente mensajes de texto SMS y llamadas no deseadas. Adicionalmente, el escaner Anti-Virus Lite alerta sobre aplicaciones potencialmente maliciosas antes de que daen tu telfono. Kaspersky Mobile Security Lite LABORATORIOS INDEPENDIENTES DE EVALUACION ANTIVIRUS En la seleccin de un buen AV se debe consultar a los laboratorios que estn probando varios antivirus contra las ltimas amenazas de malware y comprobar su actualizacin peridica. Varios enlaces a laboratorios disponibles. Virus Bulletin - VB100 AV-TEST Institute AV Comparative MICROSOFT Microsoft Security Essentials proporciona proteccin en tiempo real contra virus, spyware y otros tipos de software malintencionado para PCs. Microsoft Security Essentials MOBILE SANDBOX Proporciona un fichero de una aplicacin Android (apk-file) y Mobile-Sandbox- System analizar el fichero en busca de un comportamiento malicioso. Enlace NETCOP NetCop en un servidor UTM con sistema operativo integrado. No requiere instalacin de software en la parte del cliente. NetCop dispone de funcionalidades de filtrado de contenidos (Content filter), motor de cache (Cache Engine), proteccin contra Spam, Hotspot, control de ancho de banda. Tambin protege tu red de amenazas del exterior como Virus, SPAM , Troyanos, entre otros. NetCop UTM NoVirusThanks NoVirusThanks es un proyecto que se inici en junio de 2008 con el objetivo primordial de la creacin de software y servicios relacionados con la seguridad informtica y de Internet. Ofrecemos diversos servicios y software para la seguridad y ayudar a los usuarios a defenderse de las amenazas de Internet. Enlace a soluciones PEEPDF Python tool para explorar ficheros PDF y comprobar si puede provocar daos o no. Peedpf proporciona todos los componentes que un investigador necesita para el anlisis de PDFs y posibilita ver todos los objetos de un documento mostrando elementos sospechosos en base al uso de la mayora de los filtros y codificaciones, parseando diferentes versiones de un fichero, streams de objetos y cifrado de ficheros. Junto a la instalacin de Spidermonkey y Libemu proporciona anlisis de Javascript y shellcode adicionalmente. Tambin es capaz de crear nuevos ficheros PDF y modificar los actuales. peepdf ROOTREPEAL Aplicacin que no necesita instalacin con funcionalidades de: Driver Scan (kernel-mode drivers), Files Scan (ocultos, bloqueados o falseados), Processes Scan (en ejecucin, ocultos o bloqueados), SSDT Scan (funciones adulteradas en el System Service Descriptor Table (SSDT)), Stealth Objects Scan (rootkits activos segn ciertos sntomas tpicos), Hidden Services Scan (servicios ocultos), Shadow SSDT Scan (similar a SSDT Scan pero centrado en funciones de interfaz grfico). Sistemas operativos: Microsoft Windows 2008 Server; Windows Vista; Windows XP Professional or Home Edition; Windows 2000 with Service Pack 4; Windows 2003 Server (Nota: Only x86 versions of Windows are supported.). ROOTREPEAL VisSCAN VirSCAN.org es un servicio GRATUITO de escaneo en lnea que chequea los archivos subidos usando los motores antivirus indicados en la lista VirSCAN. Luego de subir el archivo a chequear pods ver los resultados y lo peligroso o inofensivo que es este archivo. Acceso Online VIRUS TOTAL VirusTotal es un servicio de anlisis de archivos sospechosos que permite detectar virus, gusanos, troyanos, y malware en general. Caractersticas: Servicio independiente y gratuito, Uso simultneo de mltiples motores antivirus, Actualizacin automtica de los motores en tiempo real, Resultados detallados por cada uno de los antivirus, Estadsticas globales en tiempo real VirusTotal
10.4.2 Controles contra el cdigo descargado en el cliente. Medidas y controles contra cdigo mvil.
Control: Cuando se autorice la utilizacin de cdigo mvil, la configuracin debera asegurar que dicho cdigo mvil opera de acuerdo a una poltica de seguridad definida y se debera evitar la ejecucin de los cdigos mviles no autorizados. Se refiere a cdigo que se descarga y ejecuta en el equipo con poca o ninguna intervencin del usuario. Entraran en esta categora, p. ej., todo tipo de scripts (Java, VB...), macros, controles Active X, applets (Java, Flash...), etc. 10.5 Copias de seguridad. Gestin interna de soportes y recuperacin. Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin. Se deberan establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo (consultar 14.1) para realizar copias de seguridad y probar su puntual recuperacin. Implante procedimientos de backup y recuperacin que satisfagan no slo requisitos contractuales sino tambin requisitos de negocio "internos" de la organizacin. Bsese en la evaluacin de riesgos realizada para determinar cules son los activos de informacin ms importantes y use esta informacin para crear su estrategia de backup y recuperacin. Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicacin de backup, frecuencia de copia y prueba de soportes. Encripte copias de seguridad y archivos que contengan datos sensibles o valiosos (en realidad, sern prcticamente todos porque, si no, para qu hacer copias de seguridad?). Porcentaje de operaciones de backup exitosas. Porcentaje de recuperaciones de prueba exitosas. Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento fuera de las instalaciones hasta la recuperacin exitosa de los datos en todas ubicaciones principales. Porcentaje de backups y archivos con datos sensibles o valiosos que estn encriptados.
10.5.1 Copias de seguridad de la informacin. Recuperacin de la informacin
Control: Se deberan hacer regularmente copias de seguridad de toda la informacin esencial del negocio y del software, de acuerdo con la poltica acordada de recuperacin. (consultar 9) (consultar 14) (consultar 15.1.3)
10.6 Gestin de la seguridad de las redes.
Asegurar la proteccin de la informacin en las redes y la proteccin de su infraestructura de apoyo. La gestin de la seguridad de las redes, las cuales pueden cruzar las fronteras de la organizacin, exige la atencin a los flujos de datos, implicaciones legales, monitoreo y la proteccin. Podran ser necesarios controles adicionales con el fin de proteger la informacin sensible que pasa por las redes pblicas. Prepare e implante estndares, directrices y procedimientos de seguridad tcnicos para redes y herramientas de seguridad de red como IDS/IPS (deteccin y prevencin de intrusiones), gestin de vulnerabilidades, etc. Nmero de incidentes de seguridad de red identificados en el mes anterior, dividido por categoras de leve / importante / grave, con anlisis de tendencias y descripcin comentada de todo incidente serio y tendencia adversa.
10.6.1 Controles de red.
Control: Se deberan mantener y controlar adecuadamente las redes para protegerlas de amenazas y mantener la seguridad en los sistemas y aplicaciones que utilizan las redes, incluyendo la informacin en trnsito. (Consultar tambin: 10.1.3, 11.4, 12.3) Posibles Soluciones a este control: Cloud Cracker Servicio de cracking de contraseas para test de penetracin y audtitores de red que necesitan chequear la securidad de protecciones WPA2-PSK en redes wireless, crack hashes o romper cifrados de documentos. Servicio Cloud CONTROLSCADA Recomendaciones de seguridad en ingls para redes inalmbricas. Controlscada FLINT Herramienta gratuita, en ingls, de localizacin de problemas de configuracin en firewalls. Matasano Flint GoToManage GoToManage es una herramienta de pago de gestin de inventario TI, monitorizacin de servidores y redes, soporte remoto, etc. GoToManage INTECO Gua para Pymes, en espaol, publicada por INTECO, sobre cmo proteger adecuadamente las redes inalmbricas (WI-FI). Gua Inteco proteccin WI- FI ISO Las normas de la serie ISO/IEC 18028 estn dedicadas a la seguridad en redes. Estn siendo sustituidas paulatinamente por la normas ISO/IEC 27033. ISO 27033 / ISO 18028 KISMAC KisMAC es la versin para Mac OS X de KisMET. Kismac KISMET Kismet es un rastreador capaz de pasar la tarjeta Airport en modo monitor y detectar todas las redes inalmbricas disponibles en las cercanas, y controlar el trfico que se realiza a travs de ellas. Kismet md5deep and hashdeep Set de herramientas para comprobar el hash de los ficheros y su estado en relacin a los originales para comprobar posibles alteraciones md5deep y hashdeep NETWORKTOOLS Comandos bsicos de red. NetworkTools NIPPER Nipper (Network Infrastructure Parser) es una herramienta open source de configuracin, auditora y gestin de redes y dispositivos de red. NIPPER NMAP Herramienta en ingls de exploracin de redes y auditora de seguridad. til para inventario de red, planificacin de actualizaciones y monitorizacin de disponiblidad de servidores o servicios. NMAP NTOP OSWA es una herramienta gratuita de de auditora de seguridad de redes inalmbricas, bluetooth y RFID. OSWA OSWA ntop es una sonda de trfico de red que muestra el uso de la red de manera similar al comando Unix. ntop se basa en libpcap y se ha escrito para ejecutar prcticamente en todas las plataformas Unix y Win32. ntop SECURITY ONION Security Onion distro Linux para IDS (Deteccin de intrusiones) y NSM (Monitorizacin de la seguridad de la red). Est basada en Ubuntu y contiene Snort, Suricata, Bro, Sguil, Squert, Snorby, Xplico, NetworkMiner, entre otras muchas herramientas. Dispone de un men de inicio rpido que permite construir sensores distribuidos para tu organizacin en minutos. Main page SPICEWORKS Spiceworks es una herramienta gratuita de gestin, monitorizacin y resolucin de problemas de red, creacin automtica de mapas de red, helpdesk (gestin de tickets), inventario de HW y SW (descubrimiento automtico, gestin de licencias...) y gestin de compras TI, entre otras funcionalidades, prevista para pequeas y medianas empresas. Spiceworks WIRESHARK Uno de los analizadores de red ms populares. Wireshark
10.6.2 Seguridad de los servicios de red.
Control: Se deberan identificar e incluir, en cualquier acuerdo sobre servicios de red, las caractersticas de seguridad, los niveles de servicio y los requisitos de gestin de todos los servicios de red, independientemente de que estos servicios sean provistos desde la propia organizacin o se contratan desde el exterior. Posibles Soluciones a este control: The CENTER FOR INTERNET SECURITY Cisco Router Audit Tool for Windows and Unix. Ability to score Cisco Router IOS, Ability to score Cisco PIX firewalls and Includes benchmark documents (PDF) for both Cisco IOS and Cisco ASA, FWSM, and PIX security settings. (ingls) RAT Cisco CISCO This guide discusses the Cisco SAFE best practices, designs and configurations, and provides network and security engineers with the necessary information to help them succeed in designing, implementing and operating secure network infrastructures based on Cisco products and technologies. (ingls) SAFE Cisco SAMHAIM Open-source host-based intrusion detection system (HIDS) provides file integrity checking and log file monitoring/analysis, as well as rootkit detection, port monitoring, detection of rogue SUID executables, and hidden processes. Designed to monitor multiple hosts with potentially different operating systems (Unix, Linux, Cygwin/Windows). Samhain SOURCEFORGE Open Source Tripwire software is a security and data integrity tool useful for monitoring and alerting on specific file change(s) on a range of systems. The project is based on code originally contributed by Tripwire, Inc. in 2000. Tripwire SOURCEFORGE Advanced Intrusion Detection Environment. Host-based tool. AIDE
10.7 Manipulacin de los soportes.
Evitar la divulgacin, modificacin, retirada o destruccin de activos no autorizada e interrupciones en las actividades de la organizacin. Los medios deberan ser controlados y fsicamente protegidos. Se deberan establecer los procedimientos operativos adecuados para proteger los documentos, medios informticos (discos, cintas, etc.), datos de entrada o salida y documentacin del sistema contra la divulgacin, modificacin, retirada o destruccin de activos no autorizadas . Asegure los soportes y la informacin en trnsito no solo fsico sino electrnico (a travs de las redes). Encripte todos los datos sensibles o valiosos antes de ser transportados. Porcentaje de soportes de backup o archivo que estn totalmente encriptados. 10.7.1 Gestin de soportes extrables.
Control: Se deberan establecer procedimientos para la gestin de los medios informticos removibles. Posibles Soluciones a este control: CITICUS Citicus, empresa especialista en gestin del riesgo empresarial y en el cumplimiento dispone de una aplicacin free para la gama de IOS de los dispositivos de Apple - iPhone, IPAD y el iPod touch. Aplicacin para el anlisis y gestin de riesgos Demostracin en youtube
10.7.2 Retirada de soportes.
Control: Se deberan eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales. (Consultar tambin 9.2.6) Posibles Soluciones a este control: INTECO Gua sobre almacenamiento y borrado seguro de informacin: aborda cuestiones como por qu se debe controlar la informacin en la empresa, cmo se almacena dicha informacin en los dispositivos de almacenamiento ms comunes, en qu consiste la recuperacin en caso de prdida y qu debe hacerse si se quiere eliminar de modo permanente la informacin. Disponible la gua completa en castellano e ingls y la resea de la misma en cataln, euskera, gallego y valenciano. Gua INTECO NAID NAID es la asociacin internacional de empresas que prestan servicios de destruccin de la informacin. Enlace para localizar sus miembros de los distintos paises e informacin sobre normas, tica y auditoras de certificacin de empresas. naidonline.org HEIDI-Eraser Eraser es una herramienta gratuita para Windows de borrado seguro de soportes por sobreescritura de ficheros, soportes completos o espacios sin utilizar. Eraser Harwipe Herramienta gratuita de borrado seguro. Hardwipe DARIK'S BOOT AND NUKE Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita- autoarrancable que permite hacer un borrado seguro del disco duro completo de un equipo (operacin que no sera posible si se inicia el equipo con el sistema operativo instalado en ese mismo disco). DBAN UCSDCSE Artculo de investigacin sobre la no aplicabilidad de mtodos tradicionales de borrado seguro en discos duros a discos SSD (de estado Borrado de SSD slido). Wikipedia Informacin en ingls sobre tipos de destructoras de papel y referencia a la norma DIN 32757. Destructoras de papel AENOR Norma UNE-EN 15713:2010: "Destruccin segura del material confidencial. Cdigo de buenas prcticas." Establece requerimientos para la gestin y control de recogida, transporte y destruccin de material confidencial para su destruccin. Aplicable, principalmente a empresas que prestan servicio de recogida y destruccin de soportes (especialmente, papel). UNE-EN 15713:2010 BSIA Resumen de requisitos expuestos en la norma EN 15713:2010: "Destruccin segura del material confidencial. Cdigo de buenas prcticas." Editado por BSIA (Asociacin britnica de la industria de seguridad. Explicacin EN 15713 Revista AyS Artculo de introduccin a la destruccin segura de soportes. Artculo
10.7.3 Procedimientos de manipulacin de la informacin.
Control: Se deberan establecer procedimientos para la manipulacin y almacenamiento de la informacin con el objeto de proteger esta informacin contra divulgaciones o usos no autorizados o inadecuados. (Consultar tambin 7.2) Posibles Soluciones a este control: INTECO Gua sobre almacenamiento y borrado seguro de informacin: aborda cuestiones como por qu se debe controlar la informacin en la empresa, cmo se almacena dicha informacin en los dispositivos de almacenamiento ms comunes, en qu consiste la recuperacin en caso de prdida y qu debe hacerse si se quiere eliminar de modo permanente la informacin. Disponible la gua completa en castellano e ingls y la resea de la misma en cataln, euskera, gallego y valenciano. Gua INTECO
10.7.4 Seguridad de la documentacin del sistema.
Control: Se debera proteger la documentacin de los sistemas contra accesos no autorizados. Posibles Soluciones a este control: PATHLOCK PathLock es una pequea utilidad que permite tomar el control total de las acciones de los usuarios en cada ruta del sistema y decidir qu usuarios pueden cambiar el nombre de los directorios de archivos y carpetas o crear archivos y carpetas. De este modo se puede proteger los datos contra daos o acciones no deseadas. Puede ocultar PathLock en cualquier lugar y no requiere instalacin. RCP Soft 10.8 Intercambio de informacin.
Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin o con cualquier entidad externa. Se deberan realizar los intercambios sobre la base de una poltica formal de intercambio, segn los acuerdos de intercambio y cumplir con la legislacin correspondiente (consultar clusula 15). Se deberan establecer procedimientos y normas para proteger la informacin y los medios fsicos que contienen informacin en trnsito. Estudie canales de comunicaciones alternativos y "pre-autorizados", en especial direcciones de e- mail secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si caen las redes. El verificar canales de comunicacin alternativos reducir el estrs en caso de un incidente real. Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b) implementado satisfactoriamente los requisitos de seguridad de la informacin. 10.8.1 Polticas y procedimientos de intercambio de informacin.
Control: Se deberan establecer polticas, procedimientos y controles formales de intercambio con objeto de proteger la informacin mediante el uso de todo tipo de servicios de comunicacin. (consultar 10.4.1), (consultar 7.1.3), (consultar 12.3), (consultar 15), (consultar 10.3 y 14), (consultar 11) Posibles Soluciones a este control: FIREFOX Complementos para navegador relacionados con la Privacidad y seguridad Complementos FireFox ISO/IEC 27010 Proporciona controles y orientaciones relativas especficamente a iniciar, implementar, mantener y mejorar la seguridad de la informacin en las comunicaciones inter-organizacionales e intersectoriales. Compra y preview NIST Anlisis de vulnerabilidades para PBX (voz) Special Publication NIST 800-24 VIPER VAST has been released with UCSniff 3.0 which includes GUI interface, VoIP video realtime monitoring, TFTP MitM modification of IP phone features, Gratuitous ARP disablement bypass support, and support for several compression codecs VIPERVAST WARVOX WarVOX is a suite of tools for exploring, classifying, and auditing telephone systems. WarVOX
10.8.2 Acuerdos de intercambio.
Control: Se deberan establecer acuerdos para el intercambio de informacin y software entre la organizacin y las partes externas. (consultar 15.1.2 y 15.1.4) (consultar 12.3) (consultar 10.8.3) Posibles Soluciones a este control: TRUECRYPT Free Open-Source Disk Encryption Software TRUECRYPT
10.8.3 Soportes fsicos en trnsito.
Control: Se deberan proteger los medios que contienen informacin contra acceso no autorizado, mal uso o corrupcin durante el transporte fuera de los lmites fsicos de la organizacin. Posibles Soluciones a este control: TRUECRYPT Free Open-Source Disk Encryption Software Truecrypt ROHOS Rohos Mini Drive es una aplicacin gratuita que permite crear particiones con cifrado, ocultarlas y protegerlas con contrasea en cualquier unidad USB flash. Con los datos cifrados puede trabajar en cualquier ordenador an sin derechos administrativos. El programa crea una particin protegida con el estndar AES 256 bits accesible slo con la clave secreta que elijas. Rohos
10.8.4 Mensajera electrnica.
Control: Se debera proteger adecuadamente la informacin contenida en la mensajera electrnica. Posibles Soluciones a este control: ALBALIA Herramienta gratuita y genera firmas codificadas segn el formato PKCS#7 o CMS (Cryptographic Message Syntax) AlbaliaFirma ELEFILE Sistema de intercambio cifrado de informacin adjunta a e-mails de forma gratuita de extremo a extremo y sin instalaciones de software en los extremos. Slo es necesaria el alta gratuita del emisor del mensaje (no es necesaria la del receptor). Servicio Online FOCA Herramienta para por la extraccin de metadatos en documentos pblicos antes de proceder a su envo. La herramienta permite adicionalmente la realizacin de procesos de fingerprinting e information gathering en trabajos de auditora web. La versin Free realiza bsqueda de servidores, dominios, URLs y documentos publicados, as como el descubrimiento de versiones de software en servidores y clientes. Informtica 64 KRIPTOPOLIS Plataforma Wiki de Kriptpolis con una recopilacin de herramientas de cifrado para programas de mensajera instantnea. kriptowiki Metashield Protector La fuga de la informacin por medio de canales ocultos como son los metadatos y la informacin oculta en los documentos requiere que se comprueben todos los documentos antes de ser entregados a los clientes. Mdulo para IIS 7 capaz de eliminar los metadatos de los documentos ofimticos. De este modo con solo instalar este mdulo todos los documentos accesibles pblicamente a travs de un portal no contendrn metadatos. MetaShield protector puede limpiar documentos de Microsoft Office de la versin 97 a la 2007, OpenOffice, Portable Document Format (pdf), wpd y jpg. Metashield
10.8.5 Sistemas de informacin empresariales.
Control: Se deberan desarrollar e implementar polticas y procedimientos con el fin de proteger la informacin asociada con la interconexin de sistemas de informacin del negocio. (consultar 7.2), (consultar 6.2), (consultar 10.5.1), (consultar 14) 10.9 Servicios de comercio electrnico.
Asegurar la seguridad de los servicios de comercio electrnico y de su uso seguro. Se deberan considerar las implicaciones de seguridad asociadas con el uso de servicios de comercio electrnico, incluyendo transacciones en lnea y los requisitos para los controles. La integridad y disponibilidad de la informacin electrnica publicada a travs de sistemas disponibles de publicidad deberan ser tambin consideradas. Trabaje estrechamente con las unidades de negocio para desarrollar un eBusiness seguro, incorporando requisitos de seguridad de la informacin en los proyectos, y con ello en los sistemas de eCommerce, desde el principio (tambin en cualquier cambio/actualizacin posterior). Insista en el valor aadido de la seguridad en la reduccin de riesgos comerciales, legales y operativos asociados al eBusiness. Trabaje los 3 aspectos clave de la seguridad: confidencialidad, integridad y disponibilidad "Estado de la eSeguridad", es decir, un informe sobre el nivel global de confianza de la direccin, basado en el anlisis de los ltimos tests de penetracin, incidentes actuales o recientes, vulnerabilidades actuales conocidas, cambios planificados, etc.. 10.9.1 Comercio electrnico.
Control: Se debera proteger la informacin involucrada en el comercio electrnico que pasa por redes publicas contra actividades fraudulentas, disputas por contratos y divulgacin o modificacin no autorizadas. (Consultar tambin: 12.3, 15.1, 15.1.6, 11.4.6, 12.3) Posibles Soluciones a este control: Albalia Herramienta gratuita y genera firmas codificadas segn el formato PKCS#7 o CMS (Cryptographic Message Syntax) AlbaliaFirma.zip ENISA Informe de ENISA, en ingls, sobre el uso de smart cards como medio de autenticacin, frente a otros. ENISA report FFIEC Guas del FFIEC (Federal Financial Institutions Examination Council), en ingls, sobre banca electrnica, retail payment systems y wholesale payment systems. Las acompaan listas de verificacin -checklists-, tiles para auditar dichos procesos. FFIEC e-banking IT booklet, FFIEC retail payment systems IT booklet, FFIEC wholesale payment systems IT booklet INTECO Gua publicada por INTECO para empresarios acerca de los requisitos legales bsicos que se deben cumplir a la hora de iniciar un negocio en Internet. Gua Inteco INTECO Gua de INTECO sobre seguridad y privacidad en el Comercio Electrnico. Gua Inteco seguridad comercio electrnico ISACA Gua de ISACA sobre aspectos relevantes a riesgos y seguridad en el Comercio Electrnico va dispositivos mviles. Mobile Payments Ministerio de Industria, Turismo y Comercio Informacin general sobre la Ley de Servicios de la Sociedad de la Informacin y de Comercio Electrnico (LSSI), que ha sido elaborada por la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin del Ministerio de Industria, Turismo y Comercio. Portal LSSI OWASP La gua de desarrollo de OWASP (Open Web Application Security Project) ayuda a crear aplicaciones web seguras. Disponible tambin en espaol. OWASP Guide Project PCI Security Standards Council PCI DSS (Payment Card Industry Data Security Standard) es un estndar internacional para la seguridad en los pagos mediante tarjeta de crdito. PCI DSS
10.9.2 Transacciones en lnea.
Control: Se debera proteger la informacin involucrada en el comercio electrnico que pasa por redes pblicas contra actividades fraudulentas, disputas por contratos y divulgacin o modificacin no autorizadas. (Consultar tambin: 12.3, 15.1, 15.1.6, 11.4.6, 12.3) Posibles Soluciones a este control: Albalia Herramienta gratuita y genera firmas codificadas segn el formato PKCS#7 o CMS (Cryptographic Message Syntax) AlbaliaFirma.zip ENISA Informe de ENISA, en ingls, sobre el uso de smart cards como medio de autenticacin, frente a otros. ENISA report FFIEC Guas del FFIEC (Federal Financial Institutions Examination Council), en ingls, sobre banca electrnica, retail payment systems y wholesale payment systems. Las acompaan listas de verificacin -checklists-, tiles para auditar dichos procesos. FFIEC e-banking IT booklet, FFIEC retail payment systems IT booklet, FFIEC wholesale payment systems IT booklet INTECO Gua publicada por INTECO para empresarios acerca de los requisitos legales bsicos que se deben cumplir a la hora de iniciar un negocio en Internet. Gua Inteco INTECO Gua de INTECO sobre seguridad y privacidad en el Comercio Electrnico. Gua Inteco seguridad comercio electrnico ISACA Gua de ISACA sobre aspectos relevantes a riesgos y seguridad en el Comercio Electrnico va dispositivos mviles. Mobile Payments Ministerio de Industria, Turismo y Comercio Informacin general sobre la Ley de Servicios de la Sociedad de la Informacin y de Comercio Electrnico (LSSI), que ha sido elaborada por la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin del Ministerio de Industria, Turismo y Comercio. Portal LSSI OWASP La gua de desarrollo de OWASP (Open Web Application Security Project) ayuda a crear aplicaciones web seguras. Disponible tambin en espaol. OWASP Guide Project PCI Security Standards Council PCI DSS (Payment Card Industry Data Security Standard) es un estndar internacional para la seguridad en los pagos mediante tarjeta de crdito. PCI DSS
10.9.3 Informacin pblicamente disponible.
Control: Se debera proteger la integridad de la informacin que pone a disposicin en un sistema de acceso pblico para prevenir modificaciones no autorizadas. (Consultar tambin 12.3 y 15.1.4) Posibles Soluciones a este control: Albalia Interactiva Herramienta gratuita y genera firmas codificadas segn el formato PKCS#7 o CMS (Cryptographic Message Syntax) AlbaliaFirma.zip Informtica 64 FOCA FREE es una herramienta para la realizacin de procesos de fingerprinting e information gathering en trabajos de auditora web. La versin Free realiza bsqueda de servidores, dominios, URLs y documentos publicados, as como el descubrimiento de versiones de software en servidores y clientes. FOCA se hizo famosa por la extraccin de metadatos en documentos pblicos. FOCA INTECO Gua publicada por INTECO sobre seguridad de sitios web Gua INTECO INTECO Junto con Wordpress y Drupal, Joomla! es uno de los gestores de contenidos ms utilizados debido a su facilidad de instalacin, posibilidad de personalizacin, etc. y que puede ser empleado en muy diversos mbitos como el personal, para crear un blog por ejemplo; o el empresarial, para el desarrollo de una pgina web corporativa. Pero con independencia del uso que se le vaya a dar, el tcnico que lleve a cabo la implementacin debe ser consciente acerca de los aspectos de seguridad que se han de cubrir en la aplicacin antes de llevar una instalacin de este CMS a un entorno de produccin. Gua INTECO INTECO La gua analiza los conceptos de identidad digital y reputacin online, describiendo los riesgos que existen en la gestin de la personalidad online del usuario, y el marco jurdico que protege a los ciudadanos. Tambin ofrece una serie de pautas y recomendaciones de actuacin dirigidas a ciudadanos y poderes pblicos, con el objetivo de garantizar una correcta construccin de la identidad digital. Gua INTECO iScanner iScanner es una herramienta libre que permite detectar y eliminar cdigo malicioso de sitios web.. iScanner Mandiant MANDIANT Web Historian ayuda a los usuarios a revisar la lista de URLs almacenadas en el historial de los navegadores ms habituales, como Internet Explorer, Firefox y Chrome. Mandiant WEB Historian Microsoft SDL Quick Security References Guas que sirven de ayuda para una mejor comprensin y proteccin ante los ataques ms habituales que puedan afectar a su software, Web sites y usuarios. Quick References UNMASK Los hackers explotan las vulnerabilidades de seguridad en los sites de Internet ms populares, tales como blogs, foros, CMS, galeras de imgenes y los wikis para insertar contenido ilcito oculto en pginas web de inocentes sitios Web de terceros. Miles de propietarios de sitios web no son conscientes de que sus sitios son hackeados e infectados con parsitos. Herramienta para comprobar posibles infecciones en su sitio Web. Unmask Parasites
10.10 Supervisin. Monitorizacin
Detectar actividades de procesamiento de la informacin no autorizadas. Los sistemas deberan ser monitoreados y los eventos de la seguridad de informacin registrados. El registro de los operadores y el registro de fallos debera ser usado para garantizar la identificacin de los problemas del sistema de informacin. La organizacin debera cumplir con todos los requerimientos legales aplicables para el monitoreo y el registro de actividades. El monitoreo del sistema debera ser utilizado para verificar la efectividad de los controles adoptados y para verificar la conformidad del modelo de poltica de acceso. El viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no puedes medir o monitorizar" es tambin vlido para la seguridad de la informacin. La necesidad de implantar procesos de supervisin es ms evidente ahora que la medicin de la eficacia de los controles se ha convertido en un requisito especfico. Analice la criticidad e importancia de los datos que va a monitorizar y cmo esto afecta a los objetivos globales de negocio de la organizacin en relacin a la seguridad de la informacin. Porcentaje de sistemas cuyos logs de seguridad (a) estn adecuadamente configurados, (b) son transferidos con seguridad a un sistema de gestin centralizada de logs y (c) son monitorizados/revisados/evaluados regularmente. Tendencia en el nmero de entradas en los logs de seguridad que (a) han sido registradas, (b) han sido analizadas y (c) han conducido a actividades de seguimiento.
10.10.1 Registros de auditora.
Control: Se deberan producir y mantener durante un periodo establecido los registros de auditora con la grabacin de las actividades de los usuarios, excepciones y eventos de la seguridad de informacin, con el fin de facilitar las investigaciones futuras y el monitoreo de los controles de acceso. (consultar 15.1.4) (consultar 10.1.3) Posibles Soluciones a este control: LINUX Audit Quick Start La referencia rpida para habilitar auditora en LINUX le permite registrar y hacer un seguimiento integral de acceso a los archivos, directorios y recursos de su sistema, as como de las llamadas del sistema. Le permite controlar el seguimiento de comportamientos irregulares o mal funcionamiento de las aplicaciones. Mediante la creacin de un conjunto de normas que incluyen la auditora de archivos y llamadas al sistema, usted puede asegurarse de que Suse Linux Audit Quick Start cualquier violacin de sus polticas de seguridad queda registrada y localizada correctamente. Q1LABS Solutions from Q1 Labs are quickly becoming the standard for centralized management of enterprise network and security information. Q1labs SAMHAIN The Samhain host-based intrusion detection system (HIDS) provides file integrity checking and log file monitoring/analysis, as well as rootkit detection, port monitoring, detection of rogue SUID executables, and hidden processes. Samhain been designed to monitor multiple hosts with potentially different operating systems, providing centralized logging and maintenance, although it can also be used as standalone application on a single host. Samhain SPLUNK Splunk es una herramienta de monitorizacin y anlisis de datos masivos procedentes de redes, aplicaciones, equipos, etc., que permite detectar y solucionar problemas e incidentes de seguridad con rapidez. Splunk
10.10.2 Supervisin del uso del sistema.
Control: Se deberan establecer procedimientos para el uso del monitoreo de las instalacin de procesamiento de informacin y revisar regularemente los resultados de las actividades de monitoreo. (Consultar 13.1.1) Posibles Soluciones a este control: LIRE Open Source software en entornos Linux/Unix para el anlisis y generacin de informes sobre los logs y que sirvan como nexo de mejora en la documentacin, ideas y el uso de otras aplicaciones de mejora en el mantenimiento de los equipos. Forja Logreport Log2timeline El principal propsito de la herramienta es proporcionar una nica herramienta que inspeccione varios ficheros de logs (p.ej. de diversos sistemas y equipamiento de red) y generar una linea temporal que pueda ser analizada por los analistas y/o forenses. Proyecto LOGSURFER Open Source software en entornos Linux/Unix para la monitorizacin de logs de sistemas en tiempo real e informe en los eventos registrados. Forja Logsurfer LOGWATCH Logwatch es un sistema de anlisis para entornos Linux de log personalizable que revisa los logs de los sistemas y los muestra en forma de informe por las reas analizadas que se hayan especificado. Logwatch es de fcil uso y til en la mayora de los sistemas. Forja Logwatch MANDIANT Mandiant dispone de una serie de herramientas gratuitas de monitorizacin y anlisis de sistemas. Mandiant OBSERVE IT Solucin software que captura la actividad en cualquier sesin de usuario, incluso en Terminales, Remote Desktop, Citrix, VMWare, VNC, NetOP y PC Anywhere. ObserveIT Xpress es una versin completamente free sin tiempo ObserveIT Xpress lmite de uso con un mximo de monitorizacin de 5 servidores. OSSEC Sistema de deteccin de intrusos (IDS) Open Source que realiza anlisis de log, comprobacin de integridad de ficheros, monitorizacin de polticas, deteccin de rootkits y respuesta con alerta activa en tiempo real. Disponible para la mayora de sistemas opertativos, incluidos Linux, MacOS, Solaris, HP-UX, AIX y Windows. OSSEC PAGLO Paglo es una herramienta bajo demanda que permite que las organizaciones puedan descubrir toda su informacin TI y obtener respuestas inmediatas a cuestiones relacionadas con sus ordenadores, redes y seguridad. Paglo PATRIOT NG Patriot es una herramienta 'Host IDS' para la monitorizacin en tiempo real de cambios en sistemas Windows o ataques de red. Website RSYSLOG Rsyslog es un programa de logging de mensajes que implementa el protocolo basico de syslog y lo extiende agregando filtros, con una configuracin flexible. Tiene la capacidad de reenviar via UDP o TCP los mensajes del log a otra maquina. Proyecto y descarga SHINKEN Herramienta que puede controlar desde sistemas TI hasta aplicaciones del usuario final. En el caso de detectarse fallos Shinken puede alertar a los responsables de operacin para aplicar rpidamente actividades de gestin de incidentes. Tiene las mismas capacidades de Nagios , e incluso ms avanzadas con funciones integradas tales como monitoreo de la disponibilidad con balanceo de carga alta. Proyecto Open Source disponible para diversos sistemas operativos. Download SNARE El rango de herramientas 'Snare' para la recoleccin, anlisis, informes y archivo de logs de eventos permite habilitar un completo sistema de monitorizacin y gestin. InterSect Alliance SNORT Snort es una solucin de deteccin y prevencin de intrusiones en red (IDS/IPS) open source desarrollada por Sourcefire y que combina los beneficios de la inspeccin en firmas, protocolos y anomalas. Snort es una de las tecnologas IDS/IPS ms ampliamente distribuidas a nivel mundial. Snort SPICEWORKS Spiceworks es una solucin completa para la monitorizacin e informes de la gestin de redes, helpdesk, inventario de PCs y de software que permite gestionar todo lo relacionado con TI en organizaciones PYME de medio y pequeo tamao. Spiceworks SYSLOG-NG Syslog-ng Open Source Edition es una solucin para crear una infraestructura segura, confiable y flexible de gestin logs en las empresas. Inicialmente para entornos LINUX/UNIX dispone actualmente de integracin con otros entornos como Windows y desde la versin Open Source se puede acceder a otras versiones ms completas y profesionales. Balabit solutions UNIBLUE Uniblue libre y la biblioteca en lnea comprensiva de procesos est para cada uno que necesite saber la naturaleza y el propsito exactos de cada proceso que debe, y no deba, funcionar en su PC Processlibrary ZENOSS CORE Software open source para la monitorizacin de aplicaciones, redes, servidores y muchos ms. Zenoss Communit 10.10.3 Proteccin de la informacin de los registros. Proteccin de los registros de incidencia.
Control: Se deberan proteger los servicios y la informacin de registro de la actividad contra acciones forzosas o accesos no autorizados. (consultar 13.2.3)
10.10.4 Registros de administracin y operacin.
Control: Se deberan registrar las actividades del administrador y de los operadores del sistema. Posibles Soluciones a este control: OBSERVE IT The software-based solution captures user activity in any user session, including Terminal, Remote Desktop, Citrix, VMWare, VNC, NetOP and PC Anywhere. ObserveIT Xpress is a completely free version of the ObserveIT product, with no time limit. The free version can monitor a maximum of 5 servers ObserveIT Xpress 10.10.5 Registro de fallos. Control: Se deberan registrar, analizar y tomar acciones apropiadas de las averas. Posibles Soluciones a este control: SPLUNK Splunk es una herramienta de monitorizacin y anlisis de datos masivos procedentes de redes, aplicaciones, equipos, etc., que permite detectar y solucionar problemas e incidentes de seguridad con rapidez. Splunk Web Help Desk Web Help Desk es una herramienta de gestin de soporte a usuarios -incluyendo el registro de incidencias automtico va correo electrnico-, que dispone de una versin gratuita. Web Help Desk
10.10.6 Sincronizacin del reloj.
Control: Se deberan sincronizar los relojes de todos los sistemas de procesamiento de informacin dentro de la organizacin o en el dominio de seguridad, con una fuente acordada y exacta de tiempo. Posibles Soluciones a este control:
Servidores de hora NTP para todo el mundo pool.ntp.org
Enlace con informacin completa de protocolos y enlaces Wikipedia
11. CONTROL DE ACCESO.
11.1 Requisitos de negocio para el control de acceso.
Controlar los accesos a la informacin. Se deberan controlar los accesos a la informacin, los recursos de tratamiento de la informacin y los procesos de negocio en base a las necesidades de seguridad y de negocio de la Organizacin. Las regulaciones para el control de los accesos deberan considerar las polticas de distribucin de la informacin y de autorizaciones. Los propietarios de activos de informacin que son responsables ante la direccin de la proteccin "sus" activos deberan tener la capacidad de definir y/o aprobar las reglas de control de acceso y otros controles de seguridad. Asegrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes. Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en roles.
11.1.1 Poltica de control de acceso.
Control: Se debera establecer, documentar y revisar una poltica de control de accesos en base a las necesidades de seguridad y de negocio de la Organizacin. (consultar tambin seccin 9) (consultar 7.2) (consultar 15.1) (consultar 11.2.1) (consultar 11.2.4) (consultar 8.3.3)
11.2 Gestin de acceso de usuario.
Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de informacin. Se deberan establecer procedimientos formales para controlar la asignacin de los permisos de acceso a los sistemas y servicios de informacin. Los procedimientos deberan cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de informacin. Se debera prestar especial atencin, si fuera oportuno, a la necesidad de controlar la asignacin de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema. Cree la funcin diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de control de acceso definidas por los propietarios de las aplicaciones y la direccin de seguridad de la informacin. Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo ms eficientemente posible. Tiempo medio transcurrido entre la solicitud y la realizacin de peticiones de cambio de accesos y nmero de solicitudes de cambio de acceso cursadas en el mes anterior (con anlisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicacin financiera este mes").
11.2.1 Registro de usuario.
Control: Debera existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y cancelar los accesos a todos los sistemas y servicios de informacin. (consultar 11.1) (consultar 10.1.3) (consultar 11.2.4) Posibles Soluciones a este control: Mc Graw Hill Documento con modelos y tcnicas de control de accesos (ingls) http://shop.osborne.com
11.2.2 Gestin de privilegios.
Control: Se debera restringir y controlar la asignacin y uso de los privilegios. (consultar 11.1.1) Posibles Soluciones a este control: Manageengine Solucin web (free trial 30 days) que permite realizar las tareas ms comunes, como las altas y bajas de usuarios y la aplicacin de polticas de grupo, a travs de un interfaz intuitivo y fcil de aprender. A travs de sus informes detallados, ofrece visibilidad completa sobre todos los objetivos en el Directorio Activo. Manageengine.co m Soft tree DB Audit is a complete out-of-the-box database security & auditing solution for Oracle, Sybase, MySQL, DB2 and MS SQL Server. DB Audit allows database and system administrators, security administrators, auditors and operators to track and analyze any database activity including database access and usage, data creation, change or deletion; mananage database users; quickly discover uprotected PCI and PII data; enforce SOX, PCI/CISP, HIPAA, GLBA compliance; and more. DB Audit Pangolin Once it detects one or more SQL injections on the target host, the user can choose among a variety of options to perform an extensive back-end database management system fingerprint, retrieve DBMS session user and database, enumerate users, password hashes, privileges, databases, dump entire or users specific DBMS tables/columns, run his own SQL statement, read specific files on the file system and more. Pangolin audit tool idesicions UserLock permite proteger el acceso a las redes de Windows, impidiendo las conexiones simultneas, al dar la posibilidad de limitar las conexiones de los usuarios y proporcionando a los administradores el control remoto de las sesiones, de las funcionalidades de alerta, de informes y anlisis sobre todas las conexiones/desconexiones efectuadas en sus redes.La versin de evaluacin de UserLock es vlida durante 180 das. No comporta ninguna limitacin en trminos de funcionalidades. Userlock
11.2.3 Gestin de contraseas de usuario.
Control: Se debera controlar la asignacin de contraseas mediante un proceso de gestin formal. (consultar 8.1.3) (consultar 11.3.1) Posibles Soluciones a este control: NERVEPOINT TECH Nervepoint Access Manager Self Service ayuda a reducir una importante carga de trabajo en la gestin de contraseas de los empleados mediante una sencilla interfaz, la configuracin y soporte automtico en marcha por una mquina virtual en cuestin de minutos. Los empleados tambin se benefician, ya que significa que no hay ms tickets o esperas a que el servicio de apoyo atienda sus peticiones. Nervepoint
11.2.4 Revisin de los derechos de acceso de usuario.
Control: El rgano de Direccin debera revisar con regularidad los derechos de acceso de los usuarios, siguiendo un procedimiento formal. (consultar 11.2.1) (consultar 11.2.2)
11.3 Responsabilidades de usuario.
Impedir el acceso de usuarios no autorizados y el compromiso o robo de informacin y recursos para el tratamiento de la informacin. La cooperacin de los usuarios autorizados es esencial para una seguridad efectiva. Los usuarios deberan ser conscientes de sus responsabilidades en el mantenimiento de controles de acceso eficaces, en particular respecto al uso de contraseas y seguridad en los equipos puestos a su disposicin. Se debera implantar una poltica para mantener mesas de escritorio y monitores libres de cualquier informacin con objeto de reducir el riesgo de accesos no autorizados o el deterioro de documentos, medios y recursos para el tratamiento de la informacin. Asegrese de que se establecen las responsabilidades de seguridad y que son entendidas por el personal afectado. Una buena estrategia es definir y documentar claramente las responsabilidades relativas a seguridad de la informacin en las descripciones o perfiles de los puestos de trabajo. Son imprescindibles las revisiones peridicas para incluir cualquier cambio. Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisin anual de objetivos), para recordarles sus responsabilidades y recoger cualquier cambio. Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la informacin (a) totalmente documentadas y (b) formalmente aceptadas.
11.3.1 Uso de contraseas.
Control: Se debera exigir a los usuarios el uso de las buenas prcticas de seguridad en la seleccin y uso de las contraseas. Posibles Soluciones a este control: RANDOW PASSWORD GENERATOR Random Password Generator (freeware) is designed to help you create secure Random passwords that are extremely difficult to crack or guess, with a combination of random lower and upper case letters, numbers and punctuation symbols. And these random generated passwords will be saved for memo. You can give a mark to the generated random password for later check. Password generator KEEPASS KeePass es una aplicacin free open source para la gestin de contraseas que sirve de ayuda para gestionar las contraseas de un modo seguro. Puedes almacenar todas las contraseas en una nica base de datos, la cual permanece accesible mediante una nica clave maestra o fichero. Por tanto, slo se tiene que recordar una nica contrasea o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish). Keepass PASSWORD GENERATOR Generador on-line de contraseas. Password.es 0PHCRACK Ophcrack is a free Windows password cracker based on rainbow tables. It is a very efficient implementation of rainbow tables done by the inventors of the method. It comes with a Graphical User Interface and runs on multiple platforms. Utilidad para verificar la fortaleza de las contraseas en uso y determinar polticas y frecuencias en la renovacin de las contraseas. ophcrack OXID Cain & Abel is a password recovery tool for Microsoft Operating Systems. It allows easy recovery of various kind of passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, recovering wireless network keys, revealing password boxes, uncovering cached passwords and analyzing routing protocols. Utilidad para verificar la fortaleza de las contraseas en uso y determinar polticas y frecuencias en la renovacin de las contraseas. Cain & Abel JOHN THE RIPPER John the Ripper is free and Open Source software, distributed primarily in source code form. If you would rather use a commercial product tailored for your specific operating system, please consider John the Ripper Pro, which is distributed primarily in the form of "native" packages for the target operating systems and in general is meant to be easier to install and use while delivering optimal performance.Utilidad para verificar la fortaleza de las contraseas en uso y determinar polticas y frecuencias en la renovacin de las contraseas. John the Ripper
11.3.2 Equipo de usuario desatendido.
Control: Los usuarios deberan garantizar que los equipos desatendidos disponen de la proteccin apropiada. (consultar tambin 11.3.3)
11.3.3 Poltica de puesto de trabajo despejado y pantalla limpia.
Control: Polticas para escritorios y monitores limpios de informacin (consultar 7.2) (consultar 15.1) Posibles Soluciones a este control: OISSG Posters are utilized to efficiently and effectively educate numerous staff on new security topics each and every month. Our eye- catching, entertaining, posters will help increase the security awareness level in your workplace. OISSG
11.4 Control de acceso a la red.
Impedir el acceso no autorizado a los servicios en red. Se deberan controlar los accesos a servicios internos y externos conectados en red. El acceso de los usuarios a redes y servicios en red no debera comprometer la seguridad de los servicios en red si se garantizan: a) que existen interfaces adecuadas entre la red de la Organizacin y las redes pblicas o privadas de otras organizaciones; b) que los mecanismos de autenticacin adecuados se aplican a los usuarios y equipos; c) el cumplimiento del control de los accesos de los usuarios a los servicios de informacin. Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN), frente a controles de seguridad en aplicaciones (defensa en profundidad). Estadsticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a pginas web prohibidas; nmero de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/crticos).
11.4.1 Poltica de uso de los servicios en red.
Control: Se debera proveer a los usuarios de los accesos a los servicios para los que han sido expresamente autorizados a utilizar. (consultar 11.1)
11.4.2 Autenticacin de usuario para conexiones externas
Control: Se deberan utilizar mtodos de autenticacin adecuados para el control del acceso remoto de los usuarios. Posibles Soluciones a este control: INTECO En esta Gua se sealan los diferentes pasos y procesos existentes en un sistema de autenticacin y sus problemticas especficas, as como las indicaciones y requisitos que marca la normativa en el caso de la firma electrnica. Por su parte, las buenas prcticas recomendadas se clasifican segn estn dirigidas a usuarios o a los desarrolladores y administradores que definen y configuran todas las opciones existentes en los procesos de autenticacin. Gua INTECO
11.4.3 Identificacin de los equipos en las redes.
ontrol: Se debera considerar la identificacin automtica de los equipos como un medio de autenticacin de conexiones procedentes de lugares y equipos especficos. Posibles Soluciones a este control: IPVoid Permite a los usuarios escanear una direccin IP mediante mltiples motores de comprobacin de reputacin y de blacklists para facilitar la deteccin de posibles IP peligrosas. IPVoid NIST CPE es un esquema de nomenclatura estructurado para sistemas de tecnologa de la informacin, software y parches de seguridad. Sobre la base de la sintaxis Official Common Platform Enumeration (CPE) genrica de los identificadores de recursos uniformes (URI), CPE incluye un formato de nombre formal, un mtodo para comprobar los nombres en un sistema y un formato de descripcin de texto vinculante a un nombre. El diccionario en XML proporciona una lista con nomenclatura oficialmente aprobada de nombres CPE y est abierta a todo el pblico. Dictionary PAGLO Herramienta bajo demanda para el descubrimiento de toda la informacin de negocio dependiente de TI y la obtencin de respuestas intantaneas en relacin a preguntas sobre sus ordenadores, red y seguridad. Paglo SPICEWORKS Solucin completa para la gestin de de la monitorizacin, helpdesk, inventario de PCs y generador de informes muy prctico y dirigido a la gestin TI en pequeas y medianas empresas. Spiceworks TRASIR En base a una direccin IP, DNS, e-mail o URL aporta informacin relevante de identificacin para la verificacin. Spiceworks URLVoid Permite a los usuarios escanear una direccin URL mediante mltiples motores de comprobacin de reputacin y de blacklists para facilitar la deteccin de posibles Web peligrosas. URLVoid
11.4.4 Proteccin de los puertos de diagnstico y configuracin remotos.
Control: Se debera controlar la configuracin y el acceso fsico y lgico a los puertos de diagnstico.
11.4.5 Segregacin de las redes.
Control: Se deberan segregar los grupos de usuarios, servicios y sistemas de informacin en las redes. (consultar 11.4.6 y 11.4.7) (consultar 11.1) (consultar 10.1) Posibles Soluciones a este control: CYBERGHOST La comunicacin entre el ordenador del usuario de CyberGhost VPN y el servidor de anonimizacin tambin est protegida para impedir una interceptacin de las transmisiones de datos. Esta proteccin se crea en dos pasos con el establecimiento de la conexin: la conexin se establece mediante cifrado SSL de 1.024 bits y se proporciona una clave AES de 128 bits, que es Solucin VPN nica por conexin. ULTRAVPN Utilizado para la proteccin de la privacidad de datos en LAN o en puntos de conexin pblicos. Solucin VPN LOKI NETWORK PROJECT Proyecto Loki Network es un servicio VPN basado en SSL. Es una oportunidad para proteger sus datos privados (direcciones IP, contraseas de e- mail/FTP/HTTP, sitios web visitados, ficheros subidos/descargados, entre otros). Solucin VPN LOGMEIN LogMeIn Hamachi ofrece conectividad de dispositivos de confianza y redes privadas a travs de redes pblicas. Cree redes virtuales seguras basadas en Internet mediante solicitud sin hardware dedicado o infraestructura de TI adicional. Redes
11.4.6 Control de la conexin a la red.
Control: En el caso de las redes compartidas, especialmente aquellas que se extienden ms all de los lmites de la propia Organizacin, se deberan restringir las competencias de los usuarios para conectarse en red segn la poltica de control de accesos y necesidad de uso de las aplicaciones de negocio. (consultar 11.1) (consultar 11.1.1) Posibles Soluciones a este control: SECURITY ONION Security Onion distro Linux para IDS (Deteccin de intrusiones) y NSM (Monitorizacin de la seguridad de la red). Est basada en Ubuntu y contiene Snort, Suricata, Bro, Sguil, Squert, Snorby, Xplico, NetworkMiner, entre otras muchas herramientas. Dispone de un men de inicio rpido que permite construir sensores distribuidos para tu organizacin en minutos. Main page SPICEWORKS Spiceworks es una herramienta gratuita de gestin, monitorizacin y resolucin de problemas de red, creacin automtica de mapas de red, helpdesk (gestin de tickets), inventario de HW y SW (descubrimiento automtico, gestin de licencias...) y gestin de compras TI, entre otras funcionalidades, prevista para pequeas y medianas empresas. Spiceworks 11.4.7 Control de encaminamiento (routing) de red.
Control: Se deberan establecer controles de enrutamiento en las redes para asegurar que las conexiones de los ordenadores y flujos de informacin no incumplen la poltica de control de accesos a las aplicaciones de negocio. (consultar 11.1) Posibles Soluciones a este control: BACKSCATTERER Simply use this list via DNS at ips.backscatterer.org for scoring or rejecting bounces and sender callouts from abusive systems. Backscatterer BGP MONITOR BGPmon monitoriza tus prefijos de red y te alert en el caso de sospechosos cambios en las rutas. Soporte para IPv6 BGPMon CYCLOPS Cyclops es capaz de detectar diversas formas de ataque a rutas de comunicaciones, p.ej. cuando las rutas en Internet son maliciosamente redirigidas desde su estado original. UCLA FOUNDSTONE Herramienta que se utiliza para redireccin de puertos y bypass de Firewall. FPIPE I2P ANONYMOUS NETWORK I2P es un red para el anonimato que ofrece una capa para las aplicaciones sensibles a la identificacin de modo que se pueda establecer una comunicacin segura. Todos los datos se encapsulan con varias capas de cifrado y la red sirve para su distribucin y cambio de nodos de modo dinmico. I2P MXTOOLBOX Herramienta para comprobacin de DNS Blacklisting on line. Website MULTI RBL Herramienta para comprobacin FCrDNS (Forward Confirmed reverse DNS). Website NETWORK-TOOLS Freeware employee monitoring. Network-Tools owner sues Microsoft, Cisco, Comcast and TRUSTe over IP Address Blacklisting. Suit alleges eavdropping, privacy policy fraud, breach of contract and defamation. NetworkTools NTA Herramienta que permite escanear IPs activas en la red. ARP scan PRIVOXY Utilidad que se basa en TOR para garantizar la privacidad y que ofrece un avanzado web proxy desde el que controlar los accesos o administrar las cookies. Privoxy SQUID Utilidad Proxy con optimizacin de uso de ancho de banda en las conexiones. Webpage STUNNEL Utilidad Proxy con funcionalidad de Tunneling SSL para POP2, POP3, IMAP sin necesidad de modificaciones en los programas. Webpage WEBFILTER Herramienta que tiene el uso de proxy pero permite adicionalmente filtrar aquellos contenidos no deseables como publicidad, entre otros.
11.5 Control de acceso al sistema operativo.
Impedir el acceso no autorizado al sistema operativo de los sistemas. Se deberan utilizar las prestaciones de seguridad del sistema operativo para permitir el acceso exclusivo a los usuarios autorizados. Las prestaciones deberan ser capaces de: a) la autenticacin de los usuarios autorizados, de acuerdo a la poltica de control de accesos definida; b) registrar los intentos de autenticacin correctos y fallidos del sistema; c) registrar el uso de privilegios especiales del sistema; d) emitir seales de alarma cuando se violan las polticas de seguridad del sistema; e) disponer los recursos adecuados para la autenticacin; f) restringir los horarios de conexin de los usuarios cuando sea necesario. Implante estndares de seguridad bsica para todas las plataformas informticas y de comunicaciones, recogiendo las mejores prcticas de CIS, NIST, fabricantes de sistemas, etc. Estadsticas de vulnerabilidad de sistemas y redes, como n de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categoras del fabricante o propias).
11.5.1 Procedimientos seguros de inicio de sesin. Conexiones a terminales.
Control: Debera controlarse el acceso al sistema operativo mediante procedimientos seguros de conexin. 11.5.2 Identificacin y autenticacin de usuario.
Control: Se deberan utilizar mtodos de autenticacin adecuados para el control del acceso remoto de los usuarios. Posibles Soluciones a este control: INTECO En esta Gua se sealan los diferentes pasos y procesos existentes en un sistema de autenticacin y sus problemticas especficas, as como las indicaciones y requisitos que marca la normativa en el caso de la firma electrnica. Por su parte, las buenas prcticas recomendadas se clasifican segn estn dirigidas a usuarios o a los desarrolladores y administradores que definen y configuran todas las opciones existentes en los procesos de autenticacin. Gua INTECO
11.5.3 Sistema de gestin de contraseas.
Control: Los sistemas de gestin de contraseas deberan ser interactivos y garantizar la calidad de las contraseas. (consultar 11.3.1) (consultar 11.2.3) Posibles Soluciones a este control: RANDOW PASSWORD GENERATOR Generador aleatorio de contraseas (freeware) diseado para crear contraseas seguras de modo aleatorio que son difciles de crackear or adivinar mediante la combinacin de maysculas, minsculas, nmeros y smbolos de puntuacin. Password generator KEEPASS KeePass es una aplicacin free open source para la gestin de contraseas que sirve de ayuda para gestionar las contraseas de un modo seguro. Puedes almacenar todas las contraseas en una nica base de datos, la cual permanece accesible mediante una nica clave maestra o fichero. Por tanto, slo se tiene que Keepass recordar una nica contrasea o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish). PASSWORD GENERATOR Generador on-line de contraseas. Password.es PASSWORD SAFE Password Safe es una aplicacin de software libre, creada en su da por Bruce Schneier, que permite gestionar de modo seguro en una nica base de datos cifrada todas las contraseas del usuario. Password Safe
11.5.4 Uso de los recursos del sistema.
Control: Se debera restringir y controlar muy de cerca el uso de programas de utilidad del sistema que pudieran ser capaces de eludir los controles del propio sistema y de las aplicaciones. (consultar tambin 11.2.2) Posibles Soluciones a este control: WINDOWS WORMS DOORS CLEANER Herramienta para detectar los servicios habilitados mediante el chequeo del registro del sistema, los puertos locales abiertos y los servicios en ejecucin. Propone acciones de parcheo y deshabilitacin directamente una vez realizado el chequeo para que el usuario fcilmente pueda valorar tomar acciones de proteccin pertinentes. Softpedia WINLOCKLESS herramienta para prevenir (en lo posible) que el malware se ejecute de nuevo en el inicio del sistema (y as pueda bloquearlo). til contra aplicaciones como el malware que buscan modificar los registros del sistema operativo. Hispasec
11.5.5 Desconexin automtica de sesin.
Control: Se deberan desconectar las sesiones tras un determinado periodo de inactividad.
11.5.6 Limitacin del tiempo de conexin.
Control: Se deberan utilizar limitaciones en el tiempo de conexin que proporcionen un nivel de seguridad adicional a las aplicaciones de alto riesgo. 11.6 Control de acceso a las aplicaciones y a la informacin.
Impedir el acceso no autorizado a la informacin mantenida por los sistemas de las aplicaciones. Se deberan utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y sus contenidos. Se debera restringir el acceso lgico a las aplicaciones software y su informacin nicamente a usuarios autorizados. Los sistemas de aplicacin deberan: a) controlar el acceso de los usuarios a la informacin y funciones de los sistemas de aplicaciones, en relacin a la poltica de control de accesos definida; b) proporcionar proteccin contra accesos no autorizados derivados del uso de cualquier utilidad, software del sistema operativo y software malicioso que puedan traspasar o eludir los controles del sistema o de las aplicaciones; c) no comprometer otros sistemas con los que se compartan recursos de informacin. Implante estndares de seguridad bsica para todas las aplicaciones y middleware, recogiendo las mejores prcticas y checklists de CIS, NIST, fabricantes de software, etc. Porcentaje de plataformas totalmente conformes con los estndares de seguridad bsica (comprobado mediante pruebas independientes), con anotaciones sobre los sistemas no conformes (p. ej., "Sistema de finanzas ser actualizado para ser conforme en cuarto trimestre)". 11.6.1 Restriccin del acceso a la informacin.
Control: Se debera restringir el acceso de los usuarios y el personal de mantenimiento a la informacin y funciones de los sistemas de aplicaciones, en relacin a la poltica de control de accesos definida. (consultar 11.1)
11.6.2 Aislamiento de sistemas sensibles.
Control: Los sistemas sensibles deberan disponer de un entorno informtico dedicado (propio). (consultar 7.1.2) Posibles Soluciones a este control:
La biblioteca TechNet Library es un recurso esencial para los profesionales de TI que usan los productos, herramientas y tecnologa de Microsoft. technet library
11.7 Ordenadores porttiles y teletrabajo.
Garantizar la seguridad de la informacin en el uso de recursos de informtica mvil y teletrabajo. La proteccin exigible debera estar en relacin a los riesgos especficos que ocasionan estas formas especficas de trabajo. En el uso de la informtica mvil deberan considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la proteccin conveniente. En el caso del teletrabajo, la Organizacin debera aplicar las medidas de proteccin al lugar remoto y garantizar que las disposiciones adecuadas estn disponibles para esta modalidad de trabajo. Tenga polticas claramente definidas para la proteccin, no slo de los propios equipos informticos porttiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin almacenada en ellos. Por lo general, el valor de la informacin supera con mucho el del hardware. Asegrese de que el nivel de proteccin de los equipos informticos utilizados dentro de las instalaciones de la organizacin tiene su correspondencia en el nivel de proteccin de los equipos porttiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc. "Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe sobre el estado actual de la seguridad de equipos informticos porttiles (laptops, PDAs, telfonos mviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo mvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls personales, etc.
11.7.1 Ordenadores porttiles y comunicaciones mviles.
Control: Se debera establecer una poltica formal y se deberan adoptar las medidas de seguridad adecuadas para la proteccin contra los riesgos derivados del uso de los recursos de informtica mvil y las telecomunicaciones. (Consultar tambin 12.3, 10.4, 11.4, 9.2.5). Posibles Soluciones a este control: Consejo Nacional Consultivo de CyberSeguridad Informe sobre Malware en Smartphones que tiene por objeto exponer la problemtica del malware en este tipo de dispositivos y desde diversos puntos de vista (aspectos tcnicos, econmicos e histricos) Gua CNCCS Computerworld Gua en ingls sobre seguridad de equipos porttiles y mviles editada por Blackberry Gua seguridad mvil ENISA Directorio con diversas soluciones recopiladas para el acceso remoto. Enlace Google groups iso27001security Checklist de revisin de controles para equipos porttiles, trabajo en movilidad, teletrabajo y redes inalmbricas (ingls) iso27001security INTECO Gua de Inteco para proteger y usar de forma segura el telfono mvil as como en relacin a aspectos de geolocalizacin Gua Celular Gua Geolocalizacin PATRIOT NG Patriot es una herramienta 'Host IDS' para la monitorizacin en tiempo real de cambios en sistemas Windows o ataques de red. Permite monitorizar el uso y acesso de escritorio remoto entre otras utilidades. Website PREY Project Prey permite mantener trazabilidad de tu telfono o porttil en todo momento para poder encontrarlo en caso de prdida o robo. Es una aplicacin ligera, open source y de libre uso. Prey Project
11.7.2 Teletrabajo.
Control: Se debera desarrollar e implantar una poltica, planes operacionales y procedimientos para las actividades de teletrabajo. ENISA Directorio con diversas soluciones recopiladas para el acceso remoto. Enlace NIST Gua NIST de seguridad para teletrabajo y acceso remoto. NIST SP800-46 OSWA La herramienta gratuita OSWA-Assistant sirve para hacer auditoras de seguridad de WIFI, Bluetooth y RFID. OSWA PATRIOT NG Patriot es una herramienta 'Host IDS' para la monitorizacin en tiempo real de cambios en sistemas Windows o ataques de red. Permite monitorizar el uso y acesso de escritorio remoto entre otras utilidades. Website SME Toolkit Plantilla con checklist y acuerdo para puesto de trabajo en el hogar (general, no centrada slo en seguridad) Acuerdo Teletrabajo
12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN. 12.1 Requisitos de seguridad de los sistemas de informacin.
Garantizar que la seguridad es parte integral de los sistemas de informacin. Dentro de los sistemas de informacin se incluyen los sistemas operativos, infraestructuras, aplicaciones de negocio, aplicaciones estndar o de uso generalizado, servicios y aplicaciones desarrolladas por los usuarios. El diseo e implantacin de los sistemas de informacin que sustentan los procesos de negocio pueden ser cruciales para la seguridad. Los requisitos de seguridad deberan ser identificados y consensuados previamente al desarrollo y/o implantacin de los sistemas de informacin. Todos los requisitos de seguridad deberan identificarse en la fase de recogida de requisitos de un proyecto y ser justificados, aceptados y documentados como parte del proceso completo para un sistema de informacin. Involucre a los "propietarios de activos de informacin" en evaluaciones de riesgos a alto nivel y consiga su aprobacin de los requisitos de seguridad que surjan. Si son realmente responsables de proteger sus activos, es en inters suyo el hacerlo bien. Est al tanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientacin sobre la implementacin, como, p. ej., OWASP.
Similar a 11.1 12.1.1 Anlisis y especificacin de los requisitos de seguridad.
Control: Las demandas de nuevos sistemas de informacin para el negocio o mejoras de los sistemas ya existentes deberan especificar los requisitos de los controles de seguridad. Posibles Soluciones a este control: Applipedia Base de datos proporcionada en abierto por Palo Alto Network Research y su equipo de investigacin para que aprender ms sobre el nivel de riesgo de las aplicaciones que utilizan la red. El equipo de investigacin continuamente actualiza las aplicaciones (mediante una tecnologa pendiente de patente) el trfico de la clasificacin, con aplicaciones nuevas y emergentes a una tasa promedio de cuatro por semana. La base de datos identifica cada aplicacin adems de ofrecer una descripcin de la aplicacin, los puertos que utiliza, caractersticas de comportamiento, entre otros. Application Research Center Cabinet Office UK Comparativa realizada por el Gobierno Britnico sobre las alternaticas Open Source a soluciones propietario y en el que se incluyen soluciones de seguridad junto a comentarios pertinentes que permiten una valoracin inicial de referencia antes de introducir posibles cambios. Open Source Options CSIRT Comunitat Valenciana Informes sobre realizados por CSIRT-CV con guas para la configuracin segura de servicios como Dropbox o dispositivos mviles entre otros. Informes Csirt-CV CVE Details La web proporciona un fcil utilizar el interfaz web para los datos de vulnerabilidades CVE. Se puede buscar por proveedores, productos y versiones, y ver las entradas CVE y vulnerabilidades relacionadas con ellos. Puede ver las estadsticas sobre proveedores, productos y versiones de los productos. Base de datos CVE ENISA El presente documento en espaol permite realizar una evaluacin informada de los riesgos y ventajas para la seguridad que presenta el uso de la computacin en Evaluacin de riesgos Cloud nube, y ofrece orientaciones sobre proteccin para los usuarios actuales y futuros de la computacin en nube. FFIEC Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, sobre cmo implantar un proceso de desarrollo y adquisicin de TI eficaz en una organizacin. La acompaa una lista de verificacin -checklist-, til para auditar dicho proceso. FFIEC D&A IT Handbook ISO ISO/IEC 21827 es la norma, en ingls, que especifica el "Systems Security Engineering - Capability Maturity Model", que describe las caractersticas esenciales del proceso de ingeniera de seguridad en una organizacin. ISO/IEC 21827 no prescribe un proceso o secuencia particular, sino que recoge las prcticas generales del sector. ISO/IEC 21827 Mtrica 3 La metodologa MTRICA Versin 3 ofrece a las organizaciones un instrumento til para la sistematizacin de las actividades que dan soporte al ciclo de vida del software. Est promovida por el Gobierno espaol. Mtrica v3 NIST El documento publicado resume la justificacin de un Protocolo de Uso (EUP) de la Historia Clnica Electrnica (EHR) y describe los procedimientos para la evaluacin del diseo y pruebas de rendimiento de los usuarios de estos sistemas. Documento OWASP La gua de desarrollo de OWASP (Open Web Application Security Project) ayuda a crear aplicaciones web seguras. Disponible tambin en espaol.
12.2 Tratamiento correcto de las aplicaciones.
Evitar errores, prdidas, modificaciones no autorizadas o mal uso de la informacin en las aplicaciones. Se deberan disear controles apropiados en las propias aplicaciones, incluidas las desarrolladas por los propios usuarios, para asegurar el procesamiento correcto de la informacin. Estos controles deberan incluir la validacin de los datos de entrada, el tratamiento interno y los datos de salida. Podran ser requeridos controles adicionales para los sistemas que procesan o tienen algn efecto en activos de informacin de carcter sensible, valioso o crtico. Dichos controles deberan ser determinados en funcin de los requisitos de seguridad y la estimacin del riesgo. Siempre que sea posible, utilice libreras y funciones estndar para necesidades corrientes como validacin de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validacin y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyeccin SQL, etc. Porcentaje de sistemas para los cuales los controles de validacin de datos se han (a) definido y (b) implementado y demostrado eficaces mediante pruebas.
12.2.1 Validacin de los datos de entrada.
Control: Se deberan validar los datos de entrada utilizados por las aplicaciones para garantizar que estos datos son correctos y apropiados. (consultar 10.10.1)
12.2.2 Control del procesamiento interno.
Control: Se deberan incluir chequeos de validacin en las aplicaciones para la deteccin de una posible corrupcin en la informacin debida a errores de procesamiento o de acciones deliberadas. (consultar tambin 10.1.1) (consultar 12.2.1) (consultar 10.10.1) Posibles Soluciones a este control: Adops Tools Proporciona escaneo de ficheros flash y realiza un informe completo y exhaustivo sobre el contenido de la versin, dimensiones, tamao, listado de getURL y de actionscripts, detectando agujeros de seguridad y presencia de malware. Adops Tools FORTIFY SOFTWARE INC. Rough Auditing Tool for Security (RATS) is an automated code review tool, provided originally by Secure Software Inc, who were acquired by Fortify Software Inc. It scans C, C++, Perl, PHP and Python source code and flags common security related programming errors such as buffer overflows and TOCTOU (Time Of Check, Time Of Use) race conditions. The tool performs a rough analysis of the source code. RATS JUST ANOTHER HACKER (Eldar "Wireghoul" Marcussen blog) Graudit is a simple script and signature sets that allows you to find potential security flaws in source code using the GNU utility grep. It's comparable to other static analysis applications like RATS, SWAAT and flaw-finder while keeping the technical requirements to a minimum and being very flexible. Graudit supports scanning code written in several languages; asp, jsp, perl, php and python. GRAudit MICROSOFT Code Analysis Tool .NET is a binary code analysis tool that helps identify common variants of certain prevailing vulnerabilities that can give rise to common attack vectors such as Cross-Site Scripting (XSS), SQL Injection and XPath Injection. CAT .NET PE Analysis Toolkit PEV puede utilizarse por programadores, administradores o analistas de seguridad para el anlisis de ficheros EXE/DLL de Windows, generar firmas de malwares, control de versiones ejecutables, estudio de PE, ingeniera inversa de cdido, entre otros. Pev OllyDbg Debugger para anlisis de cdigo a nivel ensamblador, incluso cuando el cdigo fuente no est disponible. OllyDbg SuRGeoNix Conjunto de herramientas para pruebas de seguridad de aplicaciones web. Fue diseado por auditores de seguridad como ayuda en la planificacin de las aplicaciones web y su explotacin. En la actualidad, se utiliza un Web Crawler eficiente, rpido y estable, Archivo / Dir forcer Bruto, Fuzzer para la explotacin avanzada de vulnerabilidades conocidas y poco comunes, tales como inyecciones SQL, Cross Site Scripting (XSS), fuerza bruta en accesos, identificacin de las reglas de filtrado en cortafuegos, ataques DOS y Web Proxy para analizar, interceptar y manipular el trfico entre el navegador y la aplicacin web de destino. WebSurgery US HOMELAND SECURITY The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of the most widespread and critical programming errors that can lead to serious software vulnerabilities. CWE WEBSECURIFY Herramienta para entornos de prueba de seguridad de las aplicaciones web diseada para propociornar la mejores combinaciones de tecnologas de WebSurgery testeo de vulnerabilidades manuales y automticas.
12.2.3 Integridad de los mensajes.
Control: Se deberan identificar los requisitos para asegurar la autenticidad y proteccin de la integridad del contenido de los mensajes en las aplicaciones, e identificar e implantar los controles apropiados. 12.2.4 Validacin de los datos de salida.
Control: Se deberan validar los datos de salida de las aplicaciones para garantizar que el procesamiento de la informacin almacenada es correcto y apropiado a las circunstancias.
12.3 Controles criptogrficos.
Proteger la confidencialidad, autenticidad o integridad de la informacin con la ayuda de tcnicas criptogrficas. Se debera desarrollar una poltica de uso de controles criptogrficos. Se debera establecer una gestin de claves que de soporte al uso de tcnicas criptogrficas. Utilice estndares formales actuales tales como AES, en lugar de algoritmos de cosecha propia. La implementacin es crucial! Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente controles criptogrficos apropiados (periodo de reporte de 3 a 12 meses).
12.3.1 Poltica de uso de los controles criptogrficos.
Control: Se debera desarrollar e implantar una poltica de uso de controles criptogrficos para la proteccin de la informacin. Guas: (consultar tambin 5.1.1) (consultar tambin 12.3.2) (consultar tambin 15.1.6) Posibles Soluciones a este control:
Free Open-Source Disk Encryption Software truecrypt
Modelo de poltica de encriptacin (ingls) Sans
Low cost, easy to use and highly secure encryption and digital signature solutions for every one from big companies to individual users MXC
Herramienta gratuita y genera firmas codificadas segn el formato PKCS#7 o CMS (Cryptographic Message Syntax) Albalia
Implementation of the OpenPGP standard as defined by RFC4880 . GnuPG allows to encrypt and sign your data and communication, features a versatile key managment system as well as access modules for all kind of public key directories. Version 2 of GnuPG also provides support for S/MIME. GNU project
Tabla resumen descriptiva de productos y sus funcionalidades de cifrado. Northwestern
12.3.2 Gestin de claves. Cifrado.
Control: Se debera establecer una gestin de las claves que respalde el uso de las tcnicas criptogrficas en la Organizacin. Posibles Soluciones a este control: Albalia Herramienta gratuita y genera firmas codificadas segn el formato PKCS#7 o CMS (Cryptographic Message Syntax) AlbaliaFirma.zip Asistente DNI El Asistente de Instalacin del DNIe es un programa que te permitir: - Comprobar el estado de una instalacin anterior del DNI Electrnico en su ordenador; - Instalar todos los elementos necesarios para poder utilizar el DNI Electrnico; - Utilizar el DNIe en los navegadores ms habituales (Internet Explorer, Firefox y Chrome); - Validar los certificados del DNI Electrnico; - Desinstalar el DNI Electrnico en su equipo Windows o Linux (Ubuntu). Zona TIC Crytool JCrypTool (JCT) es una plataforma open-source y de e-learning que permite experimentar con aspectos de cifrado en Linux, MAC OS X y Windows Acceso pgina MANDOS Mandos es un sistema que permite que los servidores con sistemas de archivos raz cifrados puedan ser reiniciados de forma desatendida y/o remota. Descarga Mandos TrueCrypt Software gratuito de cifrado de discos y particiones
12.4 Seguridad de los archivos de sistema.
Garantizar la seguridad de los sistemas de ficheros. Se debera controlar el acceso a los sistemas de ficheros y cdigo fuente de los programas. Los proyectos TI y las actividades de soporte deberan ser dirigidos de un modo seguro. Se debera evitar la exposicin de datos sensibles en entornos de prueba. Aplique consistentemente estndares de seguridad bsica, asegurando que se siguen las recomendaciones de CIS, NIST, fabricantes de sistemas, etc. Porcentaje de sistemas evaluados de forma independiente como totalmente conformes con los estndares de seguridad bsica aprobados, respecto a aquellos que no han sido evaluados, no son conformes o para los que no se han aprobado dichos estndares.
12.4.1 Control del software en explotacin.
Control: Se deberan establecer procedimientos con objeto de controlar la instalacin de software en sistemas que estn operativos. (consultar 12.4.3) (consultar 10.1.4) (consultar tambin 12.6.1) Posibles Soluciones a este control: CENTRE FOR THE PROTECTION OF NATIONAL INFRASTRUCTURE This document is a guide to patch management, defined as the process of controlling the deployment and maintenance of interim software releases into operational environments. CPNI NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY This document provides guidance on creating a security patch and vulnerability management program and testing the effectiveness of that program. NIST MICROSOFT TECHNET Guas de seguridad para la gestin de actualizaciones Guia MICROSOFT
12.4.2 Proteccin de los datos de prueba del sistema.
Control: Se deberan seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas. Posibles Soluciones a este control:
Guidelines for the Use of Personal Data in System Testing (Second Edition) http://shop.bsigroup.com
12.4.3 Control de acceso al cdigo fuente de los programas.
Control: Se debera restringir el acceso al cdigo fuente de los programas. (consultar tambin 11) (consultar 10.7.4) (consultar 12.5.1)
12.5 Seguridad en los procesos de desarrollo y soporte. Mantener la seguridad del software del sistema de aplicaciones y la informacin. Se deberan controlar estrictamente los entornos de desarrollo de proyectos y de soporte. Los directivos responsables de los sistemas de aplicaciones deberan ser tambin responsables de la seguridad del proyecto o del entorno de soporte. Ellos deberan garantizar que todas las propuestas de cambio en los sistemas son revisadas para verificar que no comprometen la seguridad del sistema o del entorno operativo. Incorpore la seguridad de la informacin al ciclo de vida de desarrollo de sistemas en todas sus fases, desde la concepcin hasta la desaparicin de un sistema, por medio de la inclusin de "recordatorios" sobre seguridad en los procedimientos y mtodos de desarrollo, operaciones y gestin de cambios. Trate el desarrollo e implementacin de software como un proceso de cambio. Integre las mejoras de seguridad en las actividades de gestin de cambios (p. ej., documentacin y formacin procedimental para usuarios y administradores). "Estado de la seguridad en sistemas en desarrollo", es decir, un informe sobre el estado actual de la seguridad en los procesos de desarrollo de software, con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, etc.
12.5.1 Procedimientos de control de cambios. Control: Se debera controlar la implantacin de cambios mediante la aplicacin de procedimientos formales de control de cambios. (Consultar tambin 10.1.2 y 10.1.1) Posibles Soluciones a este control: OCS Inventory NG OCS Inventory es una herramienta gratuita de creacin automtica de inventarios de HW, escaneo de red y distribucin de paquetes de software. OCS Genos Open Source GMF es una implementacin de las recomendaciones ITIL (IT Infrastructure Library) para la gestin de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye mdulos de gestin de incidencias (Trouble Ticketing), gestin de inventario, gestin del cambio (Change Management), SLA y reporting. GMF - GenosOrg Distribucin de SW Diversas herramientas de pago de distribucin de paquetes de software en una red: Altiris, Enteo NetInstall, Microsoft System Center Configuration Manager. Altiris, Enteo, Microsoft SCCM
12.5.2 Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo.
Control: Se deberan revisar y probar las aplicaciones crticas de negocio cuando se realicen cambios en el sistema operativo, con objeto de garantizar que no existen impactos adversos para las actividades o seguridad de la Organizacin (consultar clusula 14) (consultar 12.6)
12.5.3 Restricciones a los cambios en los paquetes de software.
Control: Se debera desaconsejar la modificacin de los paquetes de software, restringindose a lo imprescindible y todos los cambios deberan ser estrictamente controlados. (consultar 12.6)
12.5.4 Fugas de informacin. Canales encubiertos y cdigo troyano.
Control: Se debera prevenir las posibilidades de fuga de informacin. Posibles Soluciones a este control: SEINHE Artculo de introduccin a las tecnologas de prevencin de fuga de informacin DLP (Data Loss Prevention o Data Leak Prevention). Artculo de SEINHE ISO ISO/IEC 15408: Criterios de evaluacin de seguridad TI. Software desarrollado bajo un proceso evaluado y certificado debera ser menos sensible a la fuga de informacin por vulnerabilidades. ISO 15408
12.5.5 Externalizacin del desarrollo de software.
Control: Se debera supervisar y monitorizar el desarrollo del software subcontratado por la Organizacin. (Consultar tambin 6.2.1, 6.2.3, 6.1.5, 10.2, 15.1.2) Posibles Soluciones a este control: FFIEC Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, para la adecuada supervisin de proveedores de servicios TI. La acompaa una lista de verificacin -checklist-, til para auditar dicho proceso. FFIEC IT providers superivision booklet OllyDbg Debugger para anlisis de cdigo a nivel ensamblador, incluso cuando el cdigo fuente no est disponible. OllyDbg
12.6 Gestin de la vulnerabilidad tcnica.
Reducir los riesgos originados por la explotacin de vulnerabilidades tcnicas publicadas. Se debera implantar una gestin de la vulnerabilidad tcnica siguiendo un mtodo efectivo, sistemtico y cclico, con la toma de medidas que confirmen su efectividad. Se deberan considerar sistemas operativos, as como todas las aplicaciones que se encuentren en uso. Haga un seguimiento constante de parches de seguridad mediante herramientas de gestin de vulnerabilidades y/o actualizacin automtica siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). Evale la relevancia y criticidad o urgencia de los parches en su entorno tecnolgico. Pruebe y aplique los parches crticos, o tome otras medidas de proteccin, tan rpida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estn siendo explotadas fuera activamente. Evite quedarse tan atrs en la rutina de actualizacin de versiones que sus sistemas queden fuera de soporte por el fabricante. Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como porttiles fuera de la empresa o almacenados-).
12.6.1 Control de las vulnerabilidades tcnicas.
Control: Se debera obtener informacin oportuna sobre la vulnerabilidad tcnica de los sistemas de informacin que se estn utilizando, evaluar la exposicin de la organizacin ante tal vulnerabilidad y tomar las medidas adecuadas para hacer frente a los riesgos asociados. (Consultar tambin, entre otros, 7.1, 12.5.1, 13.2, 11.4.5) Posibles Soluciones a este control: Belarc Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la informacin del perfil del PC se mantiene privada y no se enva a servidores de la web. Belarc Advisor Burp Suite Plataforma integrada para el desarrollo de test de seguridad de aplicaciones web. Burp Suite DELL KACE KBox Solucin para pequeas y grandes empresas con el objetivo de ahorrar tiempo y dedicacin en labores de administracin TI en la deteccin y actualizacin de los equipos conectados de la organizacin. Disponible diverso material informativo y una versin de prueba de 30 das. KACE Digital Encode Ejemplo, en ingls, de un informe resultante de un anlisis de vulnerabilidades y test de penetracin realizado para una empresa ficticia. Vulnerability Assessment & Penetration Test Report template Cloud Cracker Servicio de cracking de contraseas para test de penetracin y audtitores de red que necesitan chequear la securidad de protecciones WPA2-PSK en redes wireless, crack hashes o romper cifrados de documentos. Servicio Cloud ENISA Directorio con diversas soluciones recopiladas para la comprobacin de vulnerabilidades y auditora de sistemas. Enlace FileHippo Update Checker revisar el software instalado en tu ordenador, comprobar las versiones y despus enviar esta informacin a FileHippo.com para ver si hay nuevas versiones. stas se muestran ordenadamente en tu navegador para que las descargues. Versin gratuita. FileHippo FileFuzz FileFuzz ha sido diseado para automatizar la creacin de formatos de fichero anormales en la ejecucin de aplicaciones. FileFuzz dispone adicionalmente de capacidades de debugging para detectar excepciones como resultados de las pruebas. SecuriTeam Fuzzdb Base de datos con patrones para los casos ms habituales de ataque. Fuzzdb GFI GFI LANguard es una herramienta, en espaol, que permite hacer gestin de actualizaciones, gestin de vulnerabilidades, auditora de red y de software, inventario, gestin de cambios y anlisis de riesgos y cumplimiento. Versin gratuita para uso no comercial para hasta 5 IPs. GFI LANguard Gizmo's freeware Enorme repositorio de soluciones tcnicas en seguridad. Repositorio Google Code Escner de vulnerabilidades en aplicaciones web, de Google. Skipfish HackArmoury Repositorio con mltiples herramientas y recursos para pentesting. Repositorio INSECURITY RESEARCH Esta solucin de auditora de intrusin y solucin de testeo de software est diseada para permitir a las organizaciones de cualquier tamao mitigar, monitorizar y gestionar las ltimas vulnerabilidades en seguridad para implantar polticas de seguridad activa mediante la realizacin de tests de intrusin en si infraestrustura y aplicaciones. INSECT PRO InfosecWriters Documento de ejemplo, en ingls, de un proceso de anlisis de vulnerabilidades para una empresa ficticia. Testing Process INTECO Cert CONAN es una analizador de vulnerabilidades en PCs gratuito, en espaol, desarrollado por INTECO. CONAN LUMENSION Gestin integrada y proactiva de gestin de parches y evaluacin de vulnerabilidades de software. Administracin completa de vulnerabilidades usando un proceso de validacin de mercado que incluye el descubrimiento e inventario de activos a travs de exploraciones basadas en agentes locales y de red; una remediacin automatizada e inteligente y una auditora de conformidad continua. Solucin de pago pero dispone de una versin de prueba. Vulnerability Management tool NTA Herramienta que permite testar servidores IPsec VPN. ike-scan Matriux Matriux es una distribucin open source que incluye un conjunto de herramientas para tests de penetracin, hacking tico, administracin de sistemas y redes, informtica forense, anlisis de vulnerabilidades, etc. Matriux OpenVAS Open Vulnerability Assessment System (OpenVAS) es un conjunto de servicios y herramientas de software libre en ingls que proporcionan una solucin de escaneado y gestin de vulnerabilidades. OpenVAS QUALYS QUALYS Browser check permite realizar un test a su navegador y localizar posibles desactualizaciones y vulnerabilidades en la versin utilizada as como en plugins instalados (java, flash, pdf, ...) . Test de vulnerabilidades de Navegador QUALYS Este servicio gratuito online realiza un anlisis en profundidad de la configuracin de cualquier servidor web SSL disponible pblicamente en Internet. Genera un informe en detalle de las comprobaciones realizadas adems del catalogar el site segn un ranking documentado (rating guide). SSL Labs on-line tool
Rating guide RAPID7 NeXpose Community Edition es una herramienta, en ingls, de gestin de vulnerabilidades para pequeas organizaciones. Es gratuita hasta un lmite de 32 IPs. NeXpose RETINA Retina Network Community, es un potente escaner de vulnerabilidades free hasta 128 IPs para desarrollar valoraciones en todo tu entorno. eEye SECUNIA Secunia proporciona una serie de herramientas de escaneo de vulnerabilidades software y gestin de parches. Dispone de versiones gratuitas para uso personal no comercial. Secunia SECURE DATABASE Panel de informacin con las vulnerabilidades en productos y que se actualiza constantemente. La seccin de herramientas permite consultar posibles soluciones de manera extensa y en materia de seguridad. Dashboard y tools Sleuth Kit sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigacin forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris). Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volmenes. TSK consiste en una librera C y una coleccin de herramientas desde ventana de comandos. Autopsy es un interace grfico para TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el anlisis de grandes volmenes de datos. TSK SQLMap SQLmap es una herramienta open source, en ingls, que automatiza el proceso de deteccin y explotacin de vulnerabilidades de inyeccin SQL. SQL Map
13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN.
13.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin.
Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de informacin se comuniquen de modo que se puedan realizar acciones correctivas oportunas. Debera establecerse el informe formal de los eventos y de los procedimientos de escalado. Todos los empleados, contratistas y terceros deberan estar al tanto de los procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos organizacionales. Se les debera exigir que informen de cualquier evento o debilidad en la seguridad de informacin lo ms rpido posible y al punto de contacto designado. Establezca y d a conocer una hotline (generalmente, el helpdesk habitual de TI) para que la gente pueda informar de incidentes, eventos y problemas de seguridad. Estadsticas del helpdesk de TI, con anlisis sobre el nmero y tipos de llamadas relativas a seguridad de la informacin (p. ej., cambios de contrasea; porcentaje de preguntas acerca de riesgos y controles de seguridad de la informacin respecto al total de preguntas). A partir de las estadsticas, cree y publique una tabla de clasificacin por departamentos (ajustada segn el nmero de empleados por departamento), mostrando aquellos que estn claramente concienciados con la seguridad, frente a los que no lo estn.
13.1.1 Notificacin de los eventos de seguridad de la informacin.
Control: Se deberan comunicar los eventos en la seguridad de informacin lo ms rpido posible mediante canales de gestin apropiados. (Consultar tambin 8.2.2, 10.10.5, 13.2.3) Para mayor informacin sobre el reporte de eventos y la gestin de incidentes en la seguridad de informacin se puede consultar la norma ISO/IEC TR 18044. Posibles Soluciones a este control: ENISA Esta gua complementa el actual conjunto de guas de ENISA para el apoyo de CERTs. En l se describen las buenas prcticas y proporciona informacin y orientaciones prcticas para la gestin de incidentes de seguridad desde la red y la informacin con nfasis en la gestin de incidentes. ENISA ENISA ENISA CERT Ejercicios y material de de formacin en gestin de incidentes con guas en espaol. ENISA GENOS GMF es una implementacin de las recomendaciones ITIL (IT Infrastructure Library) para la gestin de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye mdulos de gestin de incidencias (Trouble Ticketing), gestin de inventario, gestin del cambio (Change Management), SLA y reporting. GMF - GenosOrg SANS Guas y Modelos para la comunicacin y gestin de incidentes (ingls). Formatos de registro
Gua para PYMES
Articulos y documentacin SPICEWORKS Spiceworks es una herramienta gratuita de gestin, monitorizacin y resolucin de problemas de red, creacin automtica de mapas de red, helpdesk (gestin de tickets), inventario de HW y SW (descubrimiento automtico, gestin de licencias...) y gestin de compras TI, entre otras funcionalidades, prevista para pequeas y medianas empresas. Spiceworks Web Help Desk Web Help Desk es una herramienta de gestin de soporte a usuarios -incluyendo el registro de incidencias automtico va correo electrnico-, que dispone de una versin gratuita. Web Help Desk
13.1.2 Notificacin de puntos dbiles de seguridad.
Control: Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de informacin deberan anotar y comunicar cualquier debilidad observada o sospechada en la seguridad de los mismos.
13.2 Gestin de incidentes y mejoras de seguridad de la informacin.
Garantizar que se aplica un enfoque consistente y eficaz para la gestin de los incidentes en la seguridad de informacin. Deberan establecerse las responsabilidades y procedimientos para manejar los eventos y debilidades en la seguridad de informacin de una manera efectiva y una vez que hayan sido comunicados. Se debera aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y gestionar en su totalidad los incidentes en la seguridad de informacin. Cuando se requieran evidencias, stas deben ser recogidas para asegurar el cumplimiento de los requisitos legales. Las revisiones post-incidente y los casos de estudio para incidentes serios, tales como fraudes, ilustran los puntos dbiles de control, identifican oportunidades de mejora y conforman por s mismos un mecanismo eficaz de concienciacin en seguridad. Nmero y gravedad de incidentes; evaluaciones de los costes de analizar, detener y reparar los incidentes y cualquier prdida tangible o intangible producida. Porcentaje de incidentes de seguridad que han causado costes por encima de umbrales aceptables definidos por la direccin. 13.2.1 Responsabilidades y procedimientos. Control: Se deberan establecer las responsabilidades y procedimientos de gestin para asegurar una respuesta rpida, efectiva y ordenada a los incidentes en la seguridad de informacin. (Consultar tambin 13.1 , 10.10.2 , 10.4.1 , 14.1.3 , 13.2.2 , 13.2.3 y 6.2) Posibles Soluciones a este control: Agencia Europea de Seguridad de las Redes y de la Informacin (ENISA) La respuesta temprana para los incidentes de la seguridad se presenta en dos partes: documento maestro para el tutor (Manual) y los documentos para los estudiantes con ejercicios. Este material tiene la intencin de ayudar a una respuesta temprana "CERT" mediante equipos capacitados para reaccionar a los eventos cotidianos y especiales. El material contiene 12 ejercicios en diversos escenarios, que van desde actividades CERT internos a las actividades de coordinacin durante los ataques cibernticos a gran escala contra pases enteros. ENISA Manual ENISA Toolset INTECO A travs de esta gua bsica esperamos ofrecer informacin de utilidad a las organizaciones y las empresas, de manera que puedan tomar las mejores decisiones, con el objetivo de minimizar las consecuencias y el impacto de un incidente de fuga de informacin. Gua INTECO NIST Este documento proporciona ayuda a las organizaciones para establecer una respuesta y gestin efectiva de los incidentes de seguridad en sistemas TI. SP800-61 SEINHE Consideraciones sobre la gestin de incidentes de seguridad de la informacin. Gestin de incidentes de seguridad
13.2.2 Aprendizaje de los incidentes de seguridad de la informacin.
Control: Debera existir un mecanismo que permitan cuantificar y monitorear los tipos, volmenes y costes de los incidentes en la seguridad de informacin. (consultar 5.1.2) Posibles Soluciones a este control: CERT UK Gua de respuesta a incidentes del GovCertUK, organismo responsable del soporte a los departamentos gubernamentales del Reino Unido en los incidentes de seguridad. Incident Response Guidelines NTA Herramienta que permite valorar el coste potencial de una parada en los servicios. Downtime Calculator 13.2.3 Recopilacin de evidencias. Control: Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente en la seguridad de informacin, implique accin legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdiccin relevante. (Consultar tambin 8.2.3) Posibles Soluciones a este control: AVG AVG Rescue CD es un poderoso juego de herramientas indispensable para rescatar y reparar equipos infectados. AVG CD rescate BSI SHOP Closed circuit television (CCTV). Management and operation. Code of practice Gua BSI CAINE CAINE (Computer Aided INvestigative Environment) is an Italian GNU/Linux live distribution created as a project of Digital Forensics. CAINE offers a complete forensic environment that is organized to integrate existing software tools as software modules and to provide a friendly graphical interface. Caine ConexinInversa Blog con post de recopilacin de 101 utilidades forenses. 101 Utilidades forenses CYBEX Coleccin de jurisprudencia espaola sobre evidencia electrnica. Cybex DRADIS Marco Open source para poder compartir en un repositorio centralizado la informacin y trazabilidad de las auditoras de seguridad en sistemas y en aplicaciones web, as como en tests de intrusin. dradis ENISA Directorio con diversas soluciones recopiladas por ENISA para la recogida ed informacin y anlisis de evidencias. Enlace FROST Forensic Recovery of Scrambled Telephone es una herramienta que permite ataques de arranque en fro y ecuperar informacin sensible, tales como listas de contactos, visitas a sitios Web y fotos, directamente desde la RAM, a pesar de que el gestor de arranque est bloqueado. Enlace ISO/IEC 27037 Estndar que propociona directrices para las actividades relacionadas con la identificacin, recopilacin, consolidacin y preservacin de evidencias digitales potenciales localizadas en telfonos mviles, tarjetas de memoria, dispositivos electrnicos personales, sistemas de navegacin mvil, cmaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones. ISO MANDIANT MANDIANT Memoryze es un software forense para memorias de libre uso que ayuda en la respuesta de un incidente mediante la bsqueda en actividad maliciosa en la memoria del computador. Memoryze puede obtener y/o analizar imgenes y sistemas en activo y puede incluir ficheros paginados en sus anlisis. Memoryze MATRIUX Fully featured security distribution consisting of a bunch of powerful, open source and free tools that can be used for various purposes including, but not limited to, penetration testing, ethical hacking, system and network administration, cyber forensics investigations, security testing, vulnerability analysis, and much more. Matriux MICROSOFT TECHNET Gua de planeamiento de supervisin de la seguridad y deteccin de ataques. Aporta dos ventajas principales para las organizaciones, independientemente de su tamao: la capacidad de identificar ataques de forma instantnea y la capacidad de realizar anlisis forenses de los sucesos ocurridos antes, durante y despus de un ataque. Guia MICROSOFT NIST Este documento proporciona ayuda para la integracin del anlisis forense con los mecanismos de una respuesta y gestin efectiva de los SP800-86 incidentes de seguridad. OS FORENSICS OSForensics puede obtener informacin sobre accesos recientes a aplicaciones, documentos, dispositivos de almacenamiento y redes mediente el escaneo del registro. La informacin se recoge y muestra en paneles de un modo til y sencillo. PassMark Software RadioGraPhy Radiography es una herramienta forense que recoge la mayor informacin posible de sistemas Windows dentro de las claves de registro del proceso de arranque y del navegador IE, cuentas del sistema y propiedades, ficheros de inicio, servicios del sistemas, drivers, procesos ocultos, informacin de red, entre otros. Proyecto de desarrollo SANS The SANS SIFT Workstation is a VMware Appliance that is pre-configured with all the necessary tools to perform a detailed digital forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats. The brand new version has been completely rebuilt on an Ubuntu base with many additional tools and capabilities that can match any modern forensic tool suite. SANS Sleuth Kit sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigacin forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris). Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volmenes. TSK consiste en una librera C y una coleccin de herramientas desde ventana de comandos. Autopsy es un interace grfico para TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el anlisis de grandes volmenes de datos.
14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio.
Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a desastres o grandes fallos de los sistemas de informacin. Se debera implantar un proceso de gestin de continuidad del negocio para reducir, a niveles aceptables, la interrupcin causada por los desastres y fallos de seguridad (que, por ejemplo, puedan resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una combinacin de controles preventivos y de recuperacin. Este proceso debera identificar los procesos crticos de negocio e integrar los requisitos de gestin de la seguridad de informacin para la continuidad del negocio con otros requisitos de continuidad relacionados con dichos aspectos como operaciones, proveedores de personal, materiales, transporte e instalaciones. Se deberan analizar las consecuencias de los desastres, fallas de seguridad, prdidas de servicio y la disponibilidad del servicio y desarrollar e implantar planes de contingencia para asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales. La seguridad de informacin debera ser una parte integral del plan general de continuidad del negocio y de los dems procesos de gestin dentro de la organizacin. La gestin de la continuidad del negocio debera incluir adicionalmente al proceso de evaluacin, controles para la identificacin y reduccin de riesgos, limitar las consecuencias de incidencias dainas y asegurar la reanudacin a tiempo de las operaciones esenciales. Considere la gestin de continuidad de negocio como un proceso con entradas procedentes de diversas funciones (alta direccin, TI, operaciones, RRHH, etc.) y actividades (evaluacin de riesgos, etc.). Asegure la coherencia y concienciacin mediante personas y unidades organizativas relevantes en los planes de continuidad de negocio. Deberan llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el papel, simulacros, pruebas de failover, etc.) para (a) mantener los planes actualizados, (b) aumentar la confianza de la direccin en los planes y (c) familiarizar a los empleados relevantes con sus funciones y responsabilidades bajo condiciones de desastre. Obtenga consejos de implantacin en BS 25999 - Gestin de la Continuidad de Negocio. Porcentaje de planes de continuidad de negocio en cada una de las fases del ciclo de vida (requerido / especificado / documentado / probado). Porcentaje de unidades organizativas con planes de continuidad de negocio que han sido adecuadamente (a) documentados y (b) probados mediante tests apropiados en los ltimos 12 meses. 14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de la continuidad del negocio.
Control: Se debera desarrollar y mantener un proceso de gestin de la continuidad del negocio en la organizacin que trate los requerimientos de seguridad de la informacin necesarios para la continuidad del negocio. (Consultar tambin 14.1.2, 7.1.1, 14.1.3, 14.1.5, 6.1.1) Posibles Soluciones a este control: AENOR UNE 71599-1: Norma espaola de buenas prcticas en gestin de UNE 71599-1:2010 contiuidad de negocio, basada en BS 25999-1:2006. AENOR UNE 71599-2: Norma espaola que establece los requisitos para un sistema de gestin de continuidad de negocio, basada en BS 25999- 2:2007. UNE 71599-2:2010 ASIS International Gua de continuidad de negocio de ASIS International (en ingls). ASIS Business Continuity Guideline BCI Gua en ingls de buenas prcticas de continuidad de negocio del Business Continuity Institute. BCI Good Practices BSI (Federal Office for Information Security de Alemania) El estndar BSI 100-4 describe un mtodo sistemtico para desarrollar, establecer y mantener un sistema de gestin para la continuidad del negocio e integrado con estndares como BS 25999, ISO 27001, ISO 20000, PAS 99, GPG del BCI entre otros marcos de refencia. BSI Standard 100-4 DRII Buenas prcticas de gestin de continuidad de negocio del Disaster Recovery Institute International - DRII (en ingls). DRII Professional Practices FFIEC Gua de planificacin de continuidad de negocio, en ingls, del Federal Financial Institutions Examination Council. La acompaa una lista de verificacin -checklist-, til para auditar el proceso. FFIEC BCP FIST Conference Presentacin en espaol de Manuel Ballester, de introduccin a la continuidad de negocio, realizada en las Conferencias FIST. FISTconference.org Government of Saskatchewan Gua de gestin de continuidad de negocio publicada por el gobierno de la provincia canadiense de Saskatchewan (en ingls). BCM Planning Guidelines INTECO Gua prctica para pymes en espaol de cmo implantar un plan de continuidad de negocio, editada por Inteco y Deloitte. Gua pymes continuidad de negocio ISO Norma ISO en ingls que sustituye al estndar britnico BS 25999, con directrices y requisitos para la implantacin de un sistema de gestin de la continuidad de negocio (SGCN). ISO 22301 es la parte certificable. ISO 22301 (requisitos de un SGCN) ISO 22300 (Terminologa) ISO 22313 (Buenas prcticas) ISO ISO/IEC 27031: Norma ISO en ingls, de la serie 27000, con directrices para la continuidad de TICs ISO/IEC 27031 ISO ISO/IEC 24762: Directrices para servicios de recuperacin de desastres TIC (en ingls). ISO/IEC 24762 NIST Estndar NIST SP 800-34 sobre planificacin de contingencias para sistemas de informacin (en ingls). NIST SP 800-34 The IIA GTAG 10, Gua de gestin de continuidad de negocio del Institute of Internal Auditors (en ingls). GTAG 10 - Business Continuity Management
14.1.2 Continuidad del negocio y evaluacin de riesgos. Control: Se deberan identificar los eventos que puedan causar interrupciones a los procesos de negocio junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de informacin. Posibles Soluciones a este control: direct.gov.uk Informacin sobre continuidad de negocio del gobierno del Reino Unido. direct.gov.uk Government of Saskatchewan "Business Continuity Planning Workbook" del gobierno de la provincia canadiense de Saskatchewan, con especial incidencia en el anlisis de impactos. En ingls. BC Planning Workbook Talking Business Continuity Plantilla en ingls para la realizacin de un BIA (anlisis de impacto en el negocio). BIA Tool SANS Reading Room Consejos para la realizacin de un Business Impact Analysis (BIA), en ingls.
14.1.3 Desarrollo e implantacin de planes de continuidad que incluyan la seguridad de la informacin.
Control: Se deberan desarrollar e implantar planes de mantenimiento o recuperacin de las operaciones del negocio para asegurar la disponibilidad de la informacin en el grado y en las escalas de tiempo requeridos, tras la interrupcin o fallo de los procesos crticos de negocio. Posibles Soluciones a este control: BCI Documento del Business Continuity Institute, en ingls, describiendo las competencias y tareas de los responsables de continuidad de negocio. BCI-Professional Competence BSI PD 25111: documento en ingls de BSI que da directrices sobre aspectos de continuidad de negocio relativos a las personas. PD 25111:2010 Canadian Centre for Emergency Preparedness Documento en ingls que propone una estructura y tareas para un equipo de gestin de emergencias. Emergency Management Team Set Up Canadian Centre for Emergency Preparedness Plantilla en ingls de estrategia de continuidad para un determinado escenario de impacto. Strategy Worksheet Canadian Centre for Emergency Preparedness Documento en ingls con directrices y ejemplos para la preparacin de un plan de comunicacin de crisis. Crisis communication plan Canadian Centre for Emergency Preparedness Plantilla en ingls de plan de continuidad de negocio y ejemplo correspondiente. BCP Template Sample Continuity Central Checklist de continuidad de negocio para pequeas empresas, en ingls. Business continuity and disaster recovery checklist for small business owners Continuity Central Repositorio de artculos sobre gestin de crisis, en ingls, de Continuity Central. Crisis Management: Advanced resources Continuity Central Repositorio de artculos sobre continuidad TI, en ingls, de Continuity Central. IT Continuity: Advanced resources INEI Gua Prctica para el Desarrollo de Planes de Contingencia de Sistemas de Informacin del Gobierno de Per. Gua contingencia INEI Redbooks IBM System Storage Business Continuity: Part 1 Planning Guide. IBM System Storage Business Continuity: Part 1 Planning Guide Redbooks IBM System Storage Business Continuity: Part 2 Solutions Guide. IBM System Storage Business Continuity: Part 2 Solutions Guide TalkingBusinessContinuity Checklist para pymes, en ingls, sobre aspectos a considerar en los planes de continuidad de negocio. BCM Checklist Tool
14.1.4 Marco de referencia para la planificacin de la continuidad del negocio.
Control: Se debera mantener un esquema nico de planes de continuidad del negocio para garantizar que dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento. Posibles Soluciones a este control: GARTNER Documento con las 10 mejores prcticas para aplicar la continuidad de negocio y evitar los errores ms frecuentes (ingls) Descarga PDF
14.1.5 Pruebas, mantenimiento y reevaluacin de planes de continuidad.
Control: Se deberan probar regularmente los planes de continuidad del negocio para garantizar su actualizacin y eficacia. Posibles Soluciones a este control: BSI Shop PD 25666:2010 es una gua en ingls publicada por BSI, que establece buenas prcticas para la realizacin de pruebas de planes de continuidad de negocio. PD 25666:2010 Canadian Centre for Emergency Preparedness Documento en ingls con checklists y consejos para el diseo, gestin y evaluacin de pruebas de planes de continuidad de negocio. EPCB Exercise/Test Methodology Canadian Centre for Emergency Preparedness Ejemplo en ingls de plantilla de evaluacin del desarrollo de pruebas de planes de continuidad de negocio. Exercise Evaluation Form Continuity Central Diversos artculos en ingls de Continuity Central acerca de la prueba de planes de continuidad de negocio. Continuity Central Disaster Recovery Journal Documento en ingls que establece pautas para la realizacin de "pruebas de escritorio" (o sobre el papel, sin simulacro real) para verificacin de planes de continuidad de negocio. Disaster Recovery Journal SISTESEG Presentacin de la empresa colombiana SISTESEG sobre auditora de planes de continuidad de negocio y recuperacin de desastres (en entorno TI). Presentacin de SISTESEG
15. CUMPLIMIENTO. 15.1 Cumplimiento de los requisitos legales. Conformidad
Evitar incumplimientos de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requisito de seguridad. El diseo, operacin, uso y gestin de los sistemas de informacin pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales. Los requisitos legales especficos deberan ser advertidos por los asesores legales de la organizacin o por profesionales adecuadamente cualificados. Los requisitos que marca la legislacin cambian de un pas a otro y pueden variar para la informacin que se genera en un pas y se transmite a otro pas distinto (por ej., flujos de datos entre fronteras). Obtenga asesoramiento legal competente, especialmente si la organizacin opera o tiene clientes en mltiples jurisdicciones. Nmero de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma admisible, han sido considerados conformes.
15.1.1 Identificacin de la legislacin aplicable.
Control: Todos los requisitos estatutarios, de regulacin u obligaciones contractuales relevantes, as como las acciones de la Organizacin para cumplir con estos requisitos, deberan ser explcitamente definidos, documentados y actualizados para cada uno de los sistemas de informacin y la Organizacin. Posibles Soluciones a este control: Agencia Espaola Proteccin de Datos Publicaciones en espaol sobre cuestiones y legislacin relevante en la prestacin de servicios e intercambio de informacin con especial atencin a los datos de carcter personal y a la proteccin de la privacidad de los individuos. Guas BSA Gua en espaol de la Business Software Alliance de argumentos jurdicos relacionados con los riesgos de utilizar software no legal en las organizaciones. Argumentos jurdicos SW legal Centro Nacional para la Proteccin de las Infraestructuras Crticas CNPIC es el rgano director y coordinador de cuantas actividades relacionadas con la proteccin de las infraestructuras crticas tiene encomendadas la Secretara de Estado de Seguridad del Ministerio del Interior, a la que est adscrito. El principal objetivo es prestar una eficaz colaboracin para mantener seguras las infraestructuras crticas espaolas que proporcionan los servicios esenciales a nuestra sociedad. Legislacin aplicable, enlaces nacionales e internacionales desde la web del centro. CNPIC COMISION DEL MERCADO DE LAS TELECOMUNICACIONES Normativa espaola y europea relevante a los datos personales, telecomunicaciones y comercio electrnico entre otros. CMT COMISION DEL MERCADO DE LAS TELECOMUNICACIONES La situacin legal de los programas criptolgicos vara segn los pases, y las leyes que rigen el uso y comercio de estos programas evolucionan con rapidez. Wikitel es un proyecto promovido por la Comisin del Mercado de las Telecomunicaciones (CMT). Wikitel COMISION DEL MERCADO DE LAS TELECOMUNICACIONES El comercio electrnico, basado en el tratamiento electrnico y la transmisin de datos, abarca actividades muy diversas que van desde el intercambio de bienes y servicios a la entrega en lnea de informacin digital, pasando por la transferencia electrnica de fondos, la actividad burstil, la contratacin pblica. Wikitel es un proyecto promovido por la Comisin del Mercado de las Telecomunicaciones (CMT). Normativa de comercio electrnico COMISION DEL MERCADO DE LAS TELECOMUNICACIONES Fundamentos de Seguridad en las telecomunicaciones y marco jurdico y legislacin para su uso. Wikitel es un proyecto promovido por la Comisin del Mercado de las Telecomunicaciones (CMT). Marco jurdico de la firma electrnica CRIMINALIDAD Sobre el Fiscal de sala de criminalidad informtica y las secciones de Instruccin 2/2011 INFORMTICA DE LAS FISCALAS criminalidad informtica de las fiscalas. CSIRT Comunitat Valenciana Listado de legislacin vigente realizada por el Centro de Seguridad TIC de Comunidad Valenciana. Informes Csirt-CV DGONZALEZ.NET En este captulo desarrollado por Diego Gonzlez se hace un breve repaso por el estado de los sistemas legales del mundo, en el marco legal de Europa y en el de Espaa. Se comentan los aspectos legales relacionados con delitos informticos, y ms concretamente, los relacionados con los Sistemas de Deteccin de Intrusiones. dgonzalez.net ENISA Sumario de legislacin relevante a incidentes y medidas relacionadas con la Ciberseguridad. Cyber Incident Reporting in the EU Esquema Nacional de Seguridad (Espaa) El mbito de aplicacin del Esquema Nacional de Seguridad es el de las Administraciones Pblicas, los ciudadanos en sus relaciones con las mismas y el de las relaciones entre ellas, segn se establece en el artculo 2 de la Ley 11/2007. Estarn excluidos de su mbito de aplicacin los sistemas que tratan informacin clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo de la Agencia Espaola de Proteccin de Datos y del Consejo de Estado. CCN-CERT EUROPA - Official site La Comisin Europea propone una serie de medidas tendentes a reforzar la prevencin, la preparacin y la respuesta de la Unin ante ataques terroristas contra infraestructuras crticas. Proteccin de infraestructuras crticas INFORMATION SHIELD Enlace a una lista de leyes internacionales de privacidad por pas y regin. (ingls) informationshield INTECO Gua publicada por INTECO para empresarios acerca de los requisitos legales bsicos que se deben cumplir a la hora de iniciar un negocio en Internet. Gua INTECO Ministerio de Industria, Turismo y Comercio Informacin general sobre la Ley de Servicios de la Sociedad de la Informacin y de Comercio Electrnico (LSSI), que ha sido elaborada por la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin del Ministerio de Industria, Turismo y Comercio. Portal LSSI Portal de la Administracin Pblica El Portal de la Administracin Electrnica tiene como objetivo ser el punto nico de atencin para los ciudadanos, empresas y Administraciones Pblicas, coordinando los esfuerzos de contenidos, tecnologa y personas hacia la consecucin del punto nico de informacin de Administracin electrnica. Incluye documentos correspondientes a proyectos de normas tcnicas relacionadas con el mbito de la gestin documental, el intercambio de asientos registrales, la firma electrnica y la conexin a la Red de comunicaciones de las Administraciones Pblicas espaolas. PAe RED IBEROAMERICA DE PROTECCION DE DATOS La Red Iberoamericana de Proteccin de Datos (RIPD), surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Proteccin de Datos (EIPD) con la asistencia de representantes de 14 pases iberoamericanos. Desde su portal se puede localizar informacin de la legislacin relevantes y agencias de los 14 pases. Red Iberoamericana de proteccin de datos
15.1.2 Derechos de propiedad intelectual (DPI). Control: Se deberan implantar procedimientos adecuados que garanticen el cumplimento de la legislacin, regulaciones y requisitos contractuales para el uso de material con posibles derechos de propiedad intelectual asociados y para el uso de productos software propietario. Posibles Soluciones a este control: 100% legal Portal del Ministerio de Industria espaol con informacin sobre software legal, enlaces a software libre, etc. Todosconsoftwarelegal.es Belarc Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el Belarc Advisor explorador Web. Toda la informacin del perfil del PC se mantiene privada y no se enva a servidores de la web. BSA Gua en espaol de la Business Software Alliance de argumentos jurdicos relacionados con los riesgos de utilizar software no legal en las organizaciones. Argumentos jurdicos SW legal BSA Gua de buenas prcticas en espaol, de la Business Software Alliance, para el control corporativo de activos de software y sus correspondientes licencias. BSA Best practices Copyscape Copyscape es una herramienta online que permite detectar plagios de una pgina web (tiene una versin gratuita). Copyscape Creative Commons Las licencias Creative Commons propocionan alternativas estandarizadas al sistema habitual de propiedad intelectual de "todos los derechos reservados". Creative Commons EducaRed La aplicacin Antiplagio, de EducaRed, permite localizar e identificar documentos plagiados a partir del anlisis de diferentes fuentes. Antiplagio Free Software Foundation La Licencia Pblica General GNU (GNU GPL) es la licencia de software libre ms utilizada. GNU GPL Frontrange Herramienta de realizacin de inventarios de HW y SW en una red. La versin de prueba de 30 das permite hacer un inventario gratuito de hasta 25 PCs. Frontrange Discovery ISO Especificaciones para el etiquetado de software con el objeto de optimizar su identificacin y gestin. (ingls). Estndar ISO/IEC 19770- 2:2009 Ministerio de Cultura Ley de propiedad intelectual espaola. Ley de propiedad intelectual Ministerio de Cultura Gua del Ministerio de Cultura espaol sobre cmo implantar medidas en una red informtica para garantizar el cumplimiento del derecho de propiedad intelectual. Gua propiedad intelectual Ministerio de la Presidencia Modificacin de la Ley Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal. Ley Orgnica 5/2010, de 22 de junio ManageEngine Herramienta de gestin de activos en red, que ayuda, entre otras cosas, a la gestin de licencias. La versin gratuita tiene un lmite de 25 nodos. La versin de prueba de 30 das, un lmite de 250. ManageEngine AssetExplorer Microsoft Microsoft Software Inventory Analyzer es una herramienta que permite hacer un inventario automatizado de todo el software de Microsoft instalado en un equipo o en una red. Microsoft Software Inventory Analyzer Microsoft Gua en espaol, publicada por Microsoft, sobre aspectos relacionados con el software legal: conceptos, legislacin, herramientas, etc. Gua Microsoft SW legal SANS Modelos para la comunicacin y gestin de incidentes contra la propiedad intelectual (ingls). Sans.org Software Legal Portal argentino con informacin, legislacin, enlaces, consejos, etc., sobre software legal. Software Legal Wikipedia Grfico que establece un mapa conceptual del software libre. Mapa conceptual del software libre
15.1.3 Proteccin de los documentos de la organizacin.
Control: Los registros importantes se deberan proteger de la prdida, destruccin y falsificacin, de acuerdo a los requisitos estatutarios, regulaciones, contractuales y de negocio. Posibles Soluciones a este control: INTECO Gua de INTECO sobre la respuesta jurdica frente a ataques de seguridad de la informacin. Gua Inteco
15.1.4 Proteccin de datos y privacidad de la informacin de carcter personal.
Control: Se debera garantizar la proteccin y privacidad de los datos y segn requiera la legislacin, regulaciones y, si fueran aplicables, las clusulas relevantes contractuales. Posibles Soluciones a este control: AGENCIA ESPAOLA DE PROTECCION DE DATOS Herramienta de diagnstico basado en un autotest basado en preguntas con respuesta mltiple. Al final, la Agencia Espaola de Proteccin de Datos, le facilita un informe con indicaciones y recursos que le orienten, en su caso, para cumplir con lo dispuesto en la LOPD. EVALUA LOPD AGENCIA ESPAOLA DE PROTECCION DE DATOS Canal de documentacin de la Agencia de Proteccin de Datos espaola, con legislacin, recomendaciones, informes jurdicos, resoluciones, sentencias, cdigos tipo, etc., relacionados con la Ley Orgnica de Proteccin de Datos de Carcter Personal. Canal documentacin AGPD Asociacin Profesional Espaola de Privacidad (APEP) La Asociacin Profesional Espaola de Privacidad publica una gua para empresas sobre lo que debera cubrir un servicio de consultora externa de adecuacin a la LOPD espaola, con el objetivo de ayudar a detectar servicios de consultora fraudulentos o inadecuados. Definicin de servicio de consulta LOPD BOE Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD). Legislacin espaola. Texto LOPD BOE Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. Legislacin espaola. Texto RDLOPD ELECTRONIC PRIVACY INFORMATION CENTER EPIC es un centro de investigacn de inters pblico establecido en 1994 que dedica especial atencin a la proteccin de la privacidad y libertades civiles. EPIC ha recibido premios por la publicacin de sus noticias, adems de reportajes, libros entre otros asuntos de inters. EPIC Gua de Privacidad en Espaol IDENTITY FINDER Sistema de proteccin de identidad en el ordenador con versin gratuita. Identity Finder localiza nmeros de tarjetas de crdito y contraseas que son vulnerables al robo de identidad y fraude. Permite buscar los archivos que pueden contener informacin personal privada como Word, Excel, PowerPoint, Adobe PDF, texto y HTML. Una vez encontrado, el uso de las herramientas permite eliminar definitivamente los archivos, eliminar las contraseas de Firefox e Internet Explorer para Windows y asegurar la informacin sensible. El uso adicional de herramientas integradas de seguridad, como la bveda de identidad File Finder y Shredder para asegurarse de que su identidad est a salvo en su ordenador. identityfinder INTECO Gua Legal sobre Privacidad en Internet. Gua Inteco privacidad INTECO Gua sobre la Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD) y su correspondiente Reglamento (RDLOPD). Gua Inteco LOPD INTECO Gua para Pymes sobre cmo adaptarse a la normativa sobre proteccin de datos personales. Gua Inteco LOPD pymes INTECO Gua para entidades locales sobre cmo adaptarse a la normativa sobre proteccin de datos personales. Gua Inteco LOPD admon. local INTECO Gua destinada a informar a los ciudadanos y a los responsables de ficheros sobre los requisitos legales que deben cumplir a la hora de instalar cmaras de videovigilancia. Se desarrolla la Instruccin 1/2006 de la AEPD. Gua Inteco videovigilancia INTECO Gua legal sobre la proteccin del derecho al honor, a la intimidad y a la propia imagen en Internet. Gua Inteco imagen en Internet Red Iberoamericana de Proteccin de Datos (RIPD) Surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Proteccin de Datos (EIPD) celebrado en La Antigua, Guatemala, del 1 al 6 de junio de 2003, con la asistencia de representantes de 14 pases iberoamericanos. La RIPD se constituye como una respuesta a la necesidad de fomentar, mantener y fortalecer un estrecho y constante intercambio de informacin, experiencias y conocimientos entre los Pases Iberoamericanos, a travs del dilogo y colaboracin en materia de proteccin de datos de carcter personal. La RIPD se encuentra abierta a todos los pases iberoamericanos que deseen promover y Directorio y Legislacin por pas ejecutar iniciativas y proyectos relacionados con esta materia. Documentacin, acuerdos y legislacin relevante a cada pas disponible desde el portal. SAFE HARBOR La directiva de la comisin de la Unin Europea (con efecto desde Octubre de 1998) que prohbe la transferencia de datos de carcter personal a aquellos pases externos a la propia UE que no renan los estndares "adecuados" para la proteccin de la privacidad y considerando que los Estados Unidos consideran un enfoque de proteccin distinto al de la UE se determin cumplir con un marco denominado "Safe Harbor" que favorezca de manera fluida que las empresas establecidas en EEUU puedan cumplir con las directivas europeas. Este website provee la informacin que una organizacin necesitara contemplar (y posteriormente cumplir) en relacin al programa U.S.-EU Safe Harbor adems de consejeras comerciales disponibles para consulta en todo el mundo S Department of Commerce - SAFE HARBOR Consejera comercial de los EEUU en Espaa
15.1.5 Prevencin del uso indebido de recursos de tratamiento de la informacin.
Control: Se debera disuadir a los usuarios del uso de los recursos dedicados al tratamiento de la informacin para propsitos no autorizados. (Consultar tambin 6.1.3 , 8.2.3 , 13.2.3 , 8.1.3 y 7.1.3). Posibles Soluciones a este control: INTECO Gua de INTECO en espaol sobre la utilizacin de las tecnologas de la informacin en el mbito laboral y sus consideraciones legales. Gua Inteco
15.1.6 Regulacin de los controles criptogrficos.
Control: Se deberan utilizar controles cifrados en conformidad con todos acuerdos, leyes y regulaciones pertinentes. Posibles Soluciones a este control: COMISION DEL MERCADO DE LAS TELECOMUNICACIONES La situacin legal de los programas criptolgicos vara segn los pases, y las leyes que rigen el uso y comercio de estos programas evolucionan con rapidez. Wikitel es un proyecto promovido por la Comisin del Mercado de las Telecomunicaciones (CMT). Wikitel
15.2 Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico.
Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la Organizacin. Se deberan realizar revisiones regulares de la seguridad de los sistemas de informacin. Las revisiones se deberan realizar segn las polticas de seguridad apropiadas y las plataformas tcnicas y sistemas de informacin deberan ser auditados para el cumplimiento de los estndares adecuados de implantacin de la seguridad y controles de seguridad documentados. Alinee los procesos de auto-evaluacin de controles de seguridad con las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la direccin y verificaciones externas de buen funcionamiento. Nmero de cuestiones o recomendaciones de poltica interna y otros aspectos de cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de revisiones de cumplimiento de seguridad de la informacin sin incumplimientos sustanciales. 15.2.1 Cumplimiento de las polticas y normas de seguridad. Conformidad con la poltica de Seguridad.
Control: Los directivos se deberan asegurar que todos los procedimientos de seguridad dentro de su rea de responsabilidad se realizan correctamente y cumplen con los estndares y polticas de seguridad. (consultar 6.1.8)
15.2.2 Comprobacin del cumplimiento tcnico.
Control: Se debera comprobar regularmente la conformidad de los sistemas de informacin con los estndares de implantacin de la seguridad. Posibles Soluciones a este control: ENISA Directorio con diversas soluciones recopiladas para la auditora de sistemas. Enlace THE CENTER FOR INTERNET SECURITY CIS offers a variety of audit tools for assessing compliance with CIS Benchmarks. CIS Benchmarks MICROSOFT TECHNET Gua de planeamiento de supervisin de la seguridad y deteccin de ataques. Aporta dos ventajas principales para las organizaciones, independientemente de su tamao: la capacidad de identificar ataques de forma instantnea y la Guia MICROSOFT capacidad de realizar anlisis forenses de los sucesos ocurridos antes, durante y despus de un ataque. CSIRT-cv Gua en espaol, publicada por INTECO-CERT y el CSIRT-cv titulado Pentest: Information Gathering, sobre tcnicas de recopilacin de informacin para tests de penetracin. PenTest
15.3 Consideraciones sobre las auditoras de los sistemas de informacin.
Maximizar la efectividad del proceso de auditora de los sistemas de informacin y minimizar las intromisiones a/desde ste proceso. Deberan existir controles para proteger los sistemas en activo y las herramientas de auditora durante el desarrollo de las auditoras de los sistemas de informacin. Tambin se requiere la proteccin para salvaguardar la integridad y prevenir el mal uso de las herramientas de auditora. Invierta en auditora TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estndares y mtodos de buenas prcticas similares como referencias de comparacin. Examine ISO 19011 "Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiental" como fuente valiosa para la realizacin de auditoras internas del SGSI. ISO 19011 proporciona un marco excelente para crear un programa de auditoras internas y contiene asimismo las cualificaciones del equipo de auditora interna. Nmero de cuestiones o recomendaciones de auditora, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de hallazgos de auditora relativos a seguridad de la informacin que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolucin/cierre de recomendaciones, respecto a los plazos acordados por la direccin al final de las auditoras. 15.3.1 Controles de auditora de los sistemas de informacin. Control: Se deberan planificar y acordar cuidadosamente los requisitos y actividades de auditora que impliquen comprobaciones en los sistemas en activo con objeto de minimizar el riesgo de interrupciones de los procesos de negocio. Posibles Soluciones a este control: THE CENTER FOR INTERNET SECURITY CIS offers a variety of audit tools for assessing compliance with CIS Benchmarks. CIS Benchmarks MICROSOFT TECHNET Guas de seguridad para la auditora y la monitorizacin Guia MICROSOFT
15.3.2 Proteccin de las herramientas de auditora de los sistemas de informacin. Control: Se deberan proteger los accesos a las herramientas de auditora de los sistemas de informacin con objeto de prevenir cualquier posible mal uso o compromiso. Posibles Soluciones a este control: OSSA This is a VA / PT report for a fictitious bank called eClipse Bank PLC carried out by another fictitious company Cynergi Solutions Inc. All names, URLs, IPs, etc are fictitious Vulnerability Assessment & Penetration Test Report template OSSIM Open Source Security Information Management: Coleccin de herramientas bajo la licencia BSD, diseadas para ayudar a los administradores de red en la seguridad de las computadoras, deteccin de intrusos y prevencin. OSSIM DSNIFF Collection of tools for network auditing and penetration testing. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, and webspy passively monitor a network for interesting data (passwords, e-mail, files, etc.). arpspoof, dnsspoof, and macof facilitate the interception of network traffic normally unavailable to an attacker (e.g, due to layer-2 switching). sshmitm and webmitm implement active monkey- in-the-middle attacks against redirected SSH and HTTPS sessions by exploiting weak bindings in ad-hoc PKI. Dsniff L0pht HOLDINGS Password auditing and recovery. 15 days trial. l0phtcrack BACKTRACK BackTrack is intended for all audiences from the most savvy security professionals to early newcomers to the information security field. BackTrack promotes a quick and easy way to find and update the largest database of security tool collection to-date. BackTrack MATRIUX Fully featured security distribution consisting of a bunch of powerful, open source and free tools that can be used for various purposes including, but not limited to, penetration testing, ethical hacking, system and network administration, cyber forensics investigations, security testing, vulnerability analysis, and much more. Matriux SANS The SANS SIFT Workstation is a VMware Appliance that is pre-configured with all the necessary tools to perform a detailed digital forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats. The brand new version has been completely rebuilt on an Ubuntu base with many additional tools and capabilities that can match any modern forensic tool suite. SANS IDA PRO IDA Pro is a Windows or Linux hosted multi-processor disassembler and debugger that offers so many features it is hard to describe them all. IDA Pro
Cloud Computing Controlar la gestin y proteccin de la informacin y del mantenimiento de los requisitos de seguridad de los servicios en la nube. El diseo, operacin, uso y gestin de los servicios en la nube pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales. Los requisitos especficos de los clientes deberan ser advertidos por los proveedores de servicios en la nube y compensados con medidas de seguridad adicionales por parte de los clientes cuando sea necesario. Los requisitos deben corresponder con la clasificacin e importancia de la informacin, aplicaciones e infraestructuras prestadas desde la nube. Obtenga asesoramiento tcnico competente y adicionalmente jurdico cuando la organizacin y el prestador de los servicios opera o tiene clientes en mltiples jurisdicciones. Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma admisible, han sido considerados conformes. 3.1 Auditora Proceso sistemtico, independiente y documentado para obtener evidencias de la auditora (3.3) y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditora
3.2 Criterios de auditoria Conjunto de polticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia de la auditora (3.3)
3.3 Evidencia de la auditora Registros, declaraciones de hechos o cualquier otra informacin que es pertinente para los criterios de auditora (3.2) y que es verificable
3.4 Hallazgos de la auditora Resultados de la evaluacin de la evidencia de la auditora (3.3) recopilada frente a los criterios de auditora (3.2)
3.5 Conclusiones de la auditora Resultado de una auditora (3.1), tras considerar los objetivos de la auditora y todos los hallazgos de la auditora (3.4)
3.6 Cliente de la auditora Organizacin o persona que solicita una auditora (3.1)
3.7 Auditado Organizacin que es auditada
3.8 Auditor persona que lleva a cabo una auditora (3.1)
3.9 Equipo auditor uno o ms auditores (3.8) que llevan a cabo una auditora (3.1), con el apoyo, si es necesario, de expertos tcnicos (3.10).
3.10 Experto tcnico
Persona que aporta conocimientos o experiencia especficos al equipo auditor (3.9)
3.11 Observador
Persona que acompaa al equipo auditor (3.9) pero que no audita.
3.12 Gua
Persona designada por el auditado (3.7) para asistir al equipo auditor (3.9)
3.13 Programa de auditora
Detalles acordados para un conjunto de una o ms auditoras (3.1) planificadas para un periodo de tiempo determinado y dirigidas hacia un propsito especfico.
3.14 Alcance de la auditora Extensin y lmites de una auditora (3.1)
3.15 Plan de auditora Descripcin de las actividades y de los detalles acordados de una auditora (3.1)
3.16 Riesgo Efecto de la incertidumbre sobre los objetivos
3.17 Competencia
Capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos
3.18 Conformidad Cumplimiento de un requisito
3.19 No conformidad Incumplimiento de un requisito
3.20 Sistema de gestin Sistema para establecer la poltica y los objetivos y para lograr dichos objetivos.
Principios:
a) Integridad b) Presentacin imparcial: c) Debido cuidado profesional: d) Confidencialidad: e) Independencia: f) Enfoque basado en la evidencia:
PROGRAMA DE AUDITORIA
6 Realizacin de una auditora
A.7 Ejemplo ilustrativo de conocimientos y habilidades especficos de la disciplina de los auditores de gestin de la seguridad de la informacin
Los conocimientos y habilidades relacionados con la disciplina y la aplicacin de mtodos, tcnicas, procesos y prcticas especficos de la disciplina deberan ser los suficientes para permitir al auditor examinar el sistema de gestin y generar los hallazgos y conclusiones de la auditora apropiados.
Son ejemplos: las directrices de normas tales como ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005;
la identificacin y evaluacin de los requisitos del cliente y de las partes interesadas; las leyes y reglamentos que tratan la seguridad de la informacin (por ejemplo, propiedad intelectual, contenido, proteccin y retencin de los registros de la organizacin; proteccin y privacidad de datos; reglamentos de controles criptogrficos; antiterrorismo; comercio electrnico; firma electrnica y digital; Vigilancia en el puesto de trabajo; ergonoma del lugar de trabajo; intercepcin de las telecomunicaciones y seguimiento de los datos (por ejemplo, correo electrnico), mal uso del equipo informtico, recopilacin de evidencias electrnicas, ensayos de vulnerabilidad, etc.; los procesos, la ciencia y la tecnologa subyacentes a la gestin de la seguridad de la informacin; la evaluacin del riesgo (identificacin, anlisis y evaluacin) y tendencias en tecnologa, amenazas y vulnerabilidades; la gestin del riesgo en la seguridad de la informacin; los mtodos y las prcticas para los controles (electrnicos y fsicos) de la seguridad de la informacin; los mtodos y las prcticas para la integridad y confidencialidad de la informacin; los mtodos y las prcticas para la medicin y evaluacin de la eficacia del sistema de gestin de la seguridad de la informacin y los controles asociados; los mtodos y las prcticas para la medicin, seguimiento y registro del desempeo (incluyendo pruebas, auditoras y revisiones). NOTA Para ms informacin, vanse las normas relacionadas desarrolladas por el Subcomit Tcnico ISO/IEC JTC 1/SC 27 sobre gestin de la seguridad de la informacin.
SO/IEC 27003 Gua para la implementacin de un Sistema de Gestin de Seguridad de la Informacin. 17 enero, 2014 Escrito por admin iso 27001:2013, Normas relacionadas ISO 27003 ISO 27003 es un estndar internacional que constituye una gua para la implantacin de un SGSI. Se trata de una norma adaptada tanto para los que quieren lanzarse a implantar un SGSI como para los consultores en su trabajo diario, debido a que resuelve ciertas cuestiones que venan careciendo de un criterio normalizado. ISO-27003 focaliza su atencin en los aspectos requeridos para un diseo exitoso y una buena implementacin del Sistema de Gestin de Seguridad de la Informacin SGSI segn el estndar ISO 27001. - See more at: http://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-la-implementacion-de- un-sistema-de-gestion-de-seguridad-de-la-informacion/#sthash.WcsgfVoe.dpuf Contiene una descripcin del proceso de delimitacin del SGSI, y adems el diseo y ejecucin de distintos planes de implementacin. Especifica el proceso de conseguir una aprobacin para la implementacin de un SGSI, define el proyecto para dicho acometido, el cual es llamado en la norma ISO 27003 proyecto de SGSI, y da instrucciones sobre cmo abordar la planificacin de la gestin para implementar el SGSI. La norma tiene el siguiente contenido: 1. Alcance. 2. Referencias Normativas. 3. Trminos y Definiciones. 4. Estructura de esta Norma. 5. Obtencin de la aprobacin de la alta direccin para iniciar un SGSI. 6. Definicin del alcance del SGSI, lmites y polticas. 7. Evaluacin de requerimientos de seguridad de la informacin. 8. Evaluacin de Riesgos y Plan de tratamiento de riesgos. 9. Diseo del SGSI. Anexo A: lista de chequeo para la implementacin de un SGSI. Anexo B: Roles y responsabilidades en seguridad de la informacin Anexo C: Informacin sobre auditoras internas. Anexo D: Estructura de las polticas de seguridad. Anexo E: Monitoreo y seguimiento del SGSI. - See more at: http://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-la- implementacion-de-un-sistema-de-gestion-de-seguridad-de-la- informacion/#sthash.WcsgfVoe.dpuf
2. La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares.
Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
ISO 27000:
En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea gratuita, a diferencia de las dems de la serie, que tendrn un coste.
ISO 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR. Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia , Venezuela y Argentina. El original en ingls y la traduccin al francs pueden adquirirse en ISO.org.
ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En Espaa, an no est traducida (previsiblemente, a lo largo de 2008). Desde 2006, s est traducida en Colombia (como ISO 17799) y, desde 2007, en Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs pueden adquirirse en ISO.org.
ISO 27003: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2009. Consistir en una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin.
ISO 27004: En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008. Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en ISO.org.
ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en ISO.org.
ISO 27007: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de auditora de un SGSI.
ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es finales de 2008. Consistir en una gua de gestin de seguridad de la informacin especfica para telecomunicaciones, elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones).
ISO 27031: En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en una gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones.
ISO 27032: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua relativa a la ciberseguridad.
ISO 27033: En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y 2011. Es una norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la revisin, ampliacin y renumeracin de ISO 18028.
ISO 27034: En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir en una gua de seguridad en aplicaciones.
ISO 27799: Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de esa norma.
ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prcticas para la gestin de la salud y la seguridad de la informacin por organizaciones sanitarias y otros custodios de la informacin sanitaria en base a garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de informacin personal de salud.
ISO 27799:2008 se aplica a la informacin en salud en todos sus aspectos y en cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones sonoras, dibujos, vdeos y imgenes mdicas), sea cual fuere el medio utilizado para almacenar (de impresin o de escritura en papel o electrnicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informticas o por correo), ya que la informacin siempre debe estar adecuadamente protegida. El original en ingls o francs puede adquirirse en ISO.org.
Beneficios Si desea acceder a las normas completas, debe saber que stas no son de libre difusin sino que han de ser adquiridas. Para los originales en ingls, puede hacerlo online en la tienda virtual de la propia organizacin: iso.org Adicionalmente existe la opcin de una previsualizacin del ndice con los contenidos de los originales publicados online en la tienda virtual oficial: webstore.iec.ch Las normas en espaol pueden adquirirse en Espaa en AENOR, as como en otras entidades de normalizacin nacionales y responsables de la publicacin traducida de los estndares internacionales de mayor inters a nivel local. Esto explica la salida de publicaciones traducidas tan dispar en el tiempo y segn el pas. Las entidades de normalizacin responsables de la publicacin y venta de normas en cada pas hispanoamericano (es decir, las homlogas del AENOR espaol) las puede encontrar listadas en nuestra seccin de "Enlaces", bajo "Acreditacin y Normalizacin". ISO/IEC 27000: Publicada el 1 de Mayo de 2009, revisada con una segunda edicin de 01 de Diciembre de 2012 y una tercera edicin de 14 de Enero de 2014. Esta norma proporciona una visin general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuacin y el propsito de su publicacin. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qu es importante la implantacin de un SGSI, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin de los pasos para el establecimiento, monitorizacin, mantenimiento y mejora de un SGSI (la ltima edicin no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el nico marco de referencia para la mejora continua). Exiten versiones traducidas al espaol aunque hay que prestar atencin a la versin descargada. El original en ingls y su traduccin al francs en su versin de 2014 puede descargarse gratuitamente de standards.iso.org/ittf/PubliclyAvailableStandards. ISO/IEC 27001: Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (tambin en lengua gallega). En 2009, se public un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), Mxico (NMX-I-041/02-NYCE) o Uruguay (UNIT-ISO/IEC 27001). El original en ingls y la traduccin al francs pueden adquirirse en iso.org.
Actualmente, la ltima edicin de 2013 este estndar se encuentra en ingls y en francs tras su acuerdo de publicacin el 25 de Septiembre de 2013. ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita). El original en ingls y su traduccin al francs pueden adquirirse en iso.org.
Actualmente, la ltima edicin de 2013 este estndar ha sido actualizada a un total de 14 Dominios, 35 Objetivos de Control y 114 Controles publicndose inicialmente en ingls y en francs tras su acuerdo de publicacin el 25 de Septiembre de 2013.
ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. En Espaa, esta norma an no est traducida, pero s en Uruguay (UNIT-ISO/IEC 27003). El original en ingls puede adquirirse en iso.org. ISO/IEC 27004: Publicada el 15 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. En Espaa, esta norma an no est traducida, sin embargo s lo est en Argentina (IRAM-ISO-IEC 27004) o Uruguay (UNIT-ISO/IEC 27004). El original en ingls puede adquirirse en iso.org ISO/IEC 27005: Publicada en segunda edicin el 1 de Junio de 2011 (primera edicin del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. Su primera publicacin revis y retir las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma no est traducida, sin embargo, s lo est, para la versin de 2008, en pases como Mxico (NMX-I-041/05-NYCE), Chile (NCh-ISO27005), Uruguay (UNIT- ISO/IEC 27005) o Colombia (NTC-ISO-IEC 27005). ISO/IEC 27006: Publicada en segunda edicin el 1 de Diciembre de 2011 (primera edicin del 1 de Marzo de 2007). Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001:2005 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma no est traducida, sin embargo, s lo est, para la versin de 2007, en Mxico (NMX-I-041/06-NYCE) o Chile (NCh-ISO27001). Actualmente ha iniciado un nuevo periodo de revisin para una nueva versin 3. ISO/IEC 27007: Publicada el 14 de Noviembre de 2011. No certificable. Es una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC TR 27008: Publicada el 15 de Octubre de 2011. No certificable. Es una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC 27009: En estado de desarrollo. No certificable. Es una gua sobre el uso y aplicacin de los principios de ISO/IEC 27001 para el sector servicios especifcos en emisin de certificaciones acreditadas de tercera parte. ISO/IEC 27010: Publicada el 20 de Octubre de 2012. Consiste en una gua para la gestin de la seguridad de la informacin cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusin de informacin sensible, tanto pblicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de informacin y participacin en relacin con el suministro, mantenimiento y proteccin de una organizacin o de la infraestructura crtica de los estados y naciones. ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002:2005. Est publicada tambin como norma ITU-T X.1051. En Espaa, no est traducida. El original en ingls puede adquirirse en iso.org. ISO/IEC 27013: Publicada el 15 de Octubre de 2012. Es una gua de implementacin integrada de ISO/IEC 27001:2005 (gestin de seguridad de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI). ISO/IEC 27014: Publicada el 23 de Abril de 2013. Consistir en una gua de gobierno corporativo de la seguridad de la informacin. ISO/IEC TR 27015: Publicada el 23 de Noviembre de 2012. Es una gua de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005. ISO/IEC TR 27016: En fase de desarrollo, con publicacin prevista en 2014. Consistir en una gua de valoracin de los aspectos financieros de la seguridad de la informacin. ISO/IEC TS 27017: En fase de desarrollo, con publicacin prevista en 2014. Consistir en una gua de seguridad para Cloud Computing. ISO/IEC 27018: En fase de desarrollo, con publicacin prevista en 2014. Consistir en un cdigo de buenas prcticas en controles de proteccin de datos para servicios de computacin en cloud computing. ISO/IEC TR 27019: Publicada el 17 de Julio de 2013. Gua con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control especficos relacionados con el sector de la industria de la energa. ISO/IEC 27031: Publicada el 01 de Marzo de 2011. No certificable. Es una gua de apoyo para la adecuacin de las tecnologas de informacin y comunicacin (TIC) de una organizacin para la continuidad del negocio. El documento toma como referencia el estndar BS 25777. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC 27032: Publicada el 16 de Julio de 2012. Proporciona orientacin para la mejora del estado de seguridad ciberntica, extrayendo los aspectos nicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Informacin de seguridad, seguridad de las redes, seguridad en Internet e informacin de proteccin de infraestructuras crticas (CIIP). Cubre las prcticas de seguridad a nivel bsico para los interesados en el ciberespacio. Esta norma establece una descripcin general de Seguridad Ciberntica, una explicacin de la relacin entre la ciberseguridad y otros tipos de garantas, una definicin de las partes interesadas y una descripcin de su papel en la seguridad ciberntica, una orientacin para abordar problemas comunes de Seguridad Ciberntica y un marco que permite a las partes interesadas a que colaboren en la solucin de problemas en la ciberseguridad. ISO/IEC 27033: Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseo e implementacin de seguridad en redes (publicada el 27 de Julio de 2012 y disponible en iso.org); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (publicada 29 de Julio de 2013 y disponible en iso.org); 27033-6, convergencia IP (prevista para 2014); 27033-7, redes inalmbricas (prevista para 2014). ISO/IEC 27034: Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informticas, consistente en 6 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2, marco normativo de la organizacin (sin previsin de publicacin); 27034-3, proceso de gestin de seguridad en aplicaciones (sin previsin de publicacin); 27034-4, validacin de la seguridad en aplicaciones (sin previsin de publicacin); 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones (sin previsin de publicacin); 27034-6, gua de seguridad para aplicaciones de uso especfico. ISO/IEC 27035: Publicada el 17 de Agosto de 2011. Proporciona una gua sobre la gestin de incidentes de seguridad en la informacin. En Espaa, no est traducida. El original en ingls puede adquirirse en iso.org. ISO/IEC 27036: En fase de desarrollo, con publicacin prevista a partir de 2013. Consistir en una gua en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visin general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC (publicada el 08 de Noviembre de 2013 y disponible en iso.org); 27036-4, seguridad en entornos de servicios Cloud. ISO/IEC 27037: Publicada el 15 de Octubre de 2012. Es una gua que propociona directrices para las actividades relacionadas con la identificacin, recopilacin, consolidacin y preservacin de evidencias digitales potenciales localizadas en telfonos mviles, tarjetas de memoria, dispositivos electrnicos personales, sistemas de navegacin mvil, cmaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones. ISO/IEC 27038: En fase de desarrollo, con publicacin prevista en 2014. Consistir en una gua de especificacin para seguridad en la redaccin digital. ISO/IEC 27039: En fase de desarrollo, con publicacin prevista en 2014. Consistir en una gua para la seleccin, despliege y operativa de sistemas de deteccin y prevencin de intrusin (IDS/IPS). ISO/IEC 27040: En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la seguridad en medios de almacenamiento. ISO/IEC 27041: En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la garantizar la la idoneidad y adecuacin de los mtodos de investigacin. ISO/IEC 27042: En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua con directrices para el anlisis e interpretacin de las evidencias digitales. ISO/IEC 27043: En fase de desarrollo, con publicacin prevista no antes de 2014. Desarrollar principios y procesos de investigacin. ISO/IEC 27044: En fase de desarrollo, con publicacin prevista no antes de 2014. Gestin de eventos y de la seguridad de la informacin - Security Information and Event Management (SIEM). ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002:2005, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. El original en ingls o francs puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma est publicada en Espaa como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR A partir del 15 de julio las farmacias de la red de la Confederacin Farmacutica Argentina que quieran trazar desde nuestra web debern hacerlo exclusivamente a travs del Nuevo Sistema de Trazabilidad. Para ello deben acceder a INGRESO A SERVICIOS (NCR) con su nmero de PAMI y clave habitual y chequear que los datos de la trazabilidad sean correctos en la opcin Cambiar Claves: esencialmente los tems GLN/Usuario y clave ANMAT. Recordamos que esta nueva versin es ms simple para las farmacias ya que con solo elegir un perodo el sistema devuelve todos los medicamentos que la droguera asigno a la farmacia entre esas fechas. Luego con un simple click se traza la recepcin de dicho medicamento; y para la dispensa se puede buscar el medicamento por nombre o Gtin y con el requerimiento de un par de datos adicionales se traza. Las farmacias que por no ser prestadoras del convenio PAMI a travs de la COFA no tienen asignado un usuario y clave de INGRESO A SERVICIOS, pueden llamar a la Mesa de Ayuda COFA (011-4331-3514) para que se le de el alta en el sistema. Con la vigencia plena de este nuevo sistema, la anterior versin ha quedado desactivada. Ingreso a Servicios COFA 1. Cules son los agentes alcanzados por el Sistema Nacional de Trazabilidad? El Sistema Nacional de Trazabilidad de Medicamentos deber ser implementado por la totalidad de las personas fsicas o jurdicas que intervengan en la cadena de comercializacin, distribucin y dispensacin de especialidades medicinales (laboratorios, distribuidoras, operadores logsticos, drogueras, farmacias, establecimientos asistenciales y laboratorios elaboradores de soluciones nutricionales de uso inmediato).-
2. Qu especialidades medicinales se deben trazar? Todas aquellas incluidas en el Anexo I de la Disposicin ANMAT N 3683/11 y de la Disposicin ANMAT N 1831/12, como as tambin toda nueva especialidad medicinal que en el futuro se registre y que no tenga similar en el pas, cualquiera sea su ingrediente farmacutico activo (IFA).
3. Desde dnde debe comenzar la trazabilidad? La trazabilidad debe comenzar desde el primer eslabn en que se encuentre el producto terminado, sea ste importado o nacional. Por lo general, ser el laboratorio titular. No obstante, en los casos en que el producto ingrese directamente desde la aduana hasta la distribuidora, sta deber habilitar una estructura como laboratorio de acondicionamiento secundario, donde se efectuar la colocacin del soporte con el cdigo unvoco requerido por la normativa. Cada laboratorio que enve productos a dicho espacio deber asignarle un GLN, siendo responsable por la colocacin y utilizacin de los cdigos, sin perjuicio de la tercerizacin de la actividad efectuada. En caso contrario, debe partir siempre del laboratorio titular.-
4. Cul es el primer evento a informar? No es necesario que se informen los movimientos internos del laboratorio titular, sino desde que se produce un movimiento fsico de los productos, sea entre plantas propias del laboratorio o a un tercero (p. ej. distribuidora). En caso de que los productos sean enviados a un tercero en cuarentena, debe especificarse esta situacin mediante un evento especfico previsto en el sistema. Si el producto importado o elaborado localmente se encuentra dentro de la planta del laboratorio titular del registro en carcter de cuarentena, y no registra movimientos fsicos hasta tanto se levante este estado, el primer evento a informar ser la distribucin del producto a un eslabn posterior.- Si bien no es obligatorio, el laboratorio puede informar la puesta en cuarentena y el levantamiento de la misma dentro de su depsito.
5. Cmo debern codificar los laboratorios titulares de certificados de registro de las especialidades medicinales alcanzados por el Sistema Nacional de Trazabilidad Los laboratorios titulares debern colocar, en el empaque de cada una de las unidades de venta al pblico, un soporte o dispositivo con capacidad para almacenar un cdigo unvoco, segn las recomendaciones del estndar GS1, que contenga la siguiente informacin: GTIN o cdigo comercial del producto Nmero de serie hasta veinte (20) caracteres alfanumricos Los correspondientes identificadores de aplicacin: (01) para GTIN y (21) para serie.
6. Si el que inicia la trazabilidad es el laboratorio titular de certificados de Registro de Especialidades Medicinales incluidas en el Anexo I de las Disposiciones N 3683/2011 y 1831/2012 la droguera deber adicionar una nueva etiqueta de trazabilidad? Las drogueras slo podrn identificar especialidades medicinales no alcanzadas por las normas mencionadas cuando aqullas fueran adquiridas a laboratorios, distribuidoras u operadores logsticos, debiendo en tal caso proceder de acuerdo a lo establecido en el artculo 3 de la Disposicin ANMAT N 3683/2011, a saber: GLN o cdigo de ubicacin fsica del establecimiento. Nmero de serie hasta siete (7) caracteres alfanumricos. Los correspondientes identificadores de aplicacin: (414) para GLN y (21) para serie. Las drogueras no pueden implementar mecanismos y/o sistemas de trazabilidad que no se ajusten a los requisitos establecidos en las normas antedichas, como as tambin la colocacin del logo, nombre o cualquier otra identificacin del establecimiento de que se trate en el soporte de trazabilidad utilizado, con excepcin de la indicacin del laboratorio titular.
7. Cules son los plazos previstos para la implementacin de la Disposicin N 3683/2011? Desde laboratorio hasta droguera y desde droguera hasta farmacia, el plazo mximo para la implementacin vence el 15 de Diciembre de 2011. Con fecha posterior a sta, no debern recibirse los medicamentos alcanzados en el Anexo I de la Disposicin N 3683/2011 que no posean identificacin unvoca de GTIN (Global Trade Item Number) + seriado.- Para la validacin del sistema, desde el laboratorio titular hasta la dispensa al paciente, el plazo mximo para la implementacin vence el 15 de junio de 2012.-
8. Los laboratorios titulares pueden utilizar cualquier portador de datos o se recomienda alguno en particular? Los agentes alcanzados debern colocar, en el empaque de cada una de las unidades de venta al pblico, un soporte o dispositivo con capacidad para almacenar un cdigo univoco segn las recomendaciones del estndar GS1. En todos los casos, en adicin al portador, se deber incorporar el cdigo visible, en caracteres alfanumricos para legibilidad humana, de forma tal que permita la verificacin por parte de los pacientes. No obstante, los establecimientos que incorporen los soportes o dispositivos fsicos con capacidad para identificar unvocamente especialidades medicinales, debern garantizar que el mismo no pueda ser removido sin dejar una marca evidente en el empaque, que permita advertir que este ltimo ha sido violado.
9. Qu cdigos deben ser utilizados por las farmacias, los establecimientos asistenciales, los laboratorios de mezclas intravenosas y los depsitos estatales, en lugar del GLN? Dichos agentes podrn utilizar tambin un GLN otorgado por GS1 o un subGLN derivado del mismo, o bien debern utilizar un Cdigo de Ubicacin Fsica de Establecimiento (CUFE) para poder interactuar con el Sistema. En caso de no poseer an este cdigo, debern solicitarlo a travs de trazabilidad@anmat.gov.ar o a la mesa de ayuda (0800-333-89633). El otorgamiento del CUFE se efecta sin costo alguno, debiendo acreditar tan slo la habilitacin sanitaria respectiva que califica al establecimiento para incorporarse al Sistema.
10. Qu datos sern ingresados al sistema de ANMAT cuando se realiza dispensa al paciente? En el caso de provisin a pacientes, la farmacia o establecimiento asistencial proveedor deber consignar que la entrega fue efectuada a un paciente, con los datos correspondientes a la obra social o prepaga y el nmero de afiliado. Se omitirn sus datos personales por cuestiones de reserva y confidencialidad, sin perjuicio de conservar por separado dicha informacin para el caso de ser necesario contactar al paciente a los efectos de prevenir cualquier riesgo a su salud y/o vida, o de realizar el recupero del mercado de unidades que le fueran entregadas.
11. Cules son los movimientos logsticos que debern informar los agentes alcanzados? Cdigo deteriorado/destruido.- Envo y recepcin de productos en carcter de devolucin.- Distribucin del producto a un eslabn posterior y recepcin del producto desde un eslabn anterior.- Envo y recepcin de productos entre depsitos propios.- Envo y recepcin de productos en cuarentena.- Producto destinado a muestra mdica.- Producto destinado a ensayo clnico.- Producto destinado a exportacin.- Producto robado/extraviado.- Reingreso del producto a stock.- Dispensacin del producto al paciente.- Levantamiento de cuarentena.- Los eventos de producto prohibido y retirado del mercado sern informados por la ANMAT y los productos vencidos sern informados automticamente por el sistema, a fin de que el agente proceda acorde a normativas sanitarias jurisdiccionales.-
12. Existe un software en particular a ser implementado por los agentes? El software puede ser desarrollado por cada establecimiento, teniendo en cuenta los requerimientos tcnicos que figuran en el link de trazabilidad, paso 1 (prueba de servicios y especificacin tcnica). Si el agente trabaja con pocas unidades, tambin podr manejarse sin software propio mediante la carga manual de datos a travs del portal (slo se requiere conexin a internet y usuario y clave). En caso de contratar a terceros a los efectos de implementar el sistema, la empresa resulta no obstante responsable por cualquier irregularidad o incumplimiento que se genere.
13. Quin genera el cdigo seriado? El cdigo seriado lo genera el software de cada agente.-
14. Qu datos deber informar cada agente a la Base de Datos? Los laboratorios y las personas fsicas o jurdicas que intervengan en la cadena de distribucin y dispensacin de las especialidades medicinales alcanzadas por el Sistema Nacional de Trazabilidad debern, para poder comercializar, distribuir y dispensar las mismas, sin excepcin, asociar al cdigo unvoco los siguientes datos de la distribucin: Nmero de lote.- Fecha de vencimiento.- Cdigo del destinatario (GLN u otro, segn corresponda). En el caso de provisin a pacientes, la farmacia o establecimiento asistencial proveedor deber consignar que la entrega fue efectuada a un paciente, cdigo RNOS y nmero de afiliado si fuera con cobertura de salud. Los datos del mismo sern debidamente disociados y almacenados, garantizando la confidencialidad necesaria.- Domicilio del destinatario (domicilio efectivo de entrega).- Fecha de entrega.- Factura y remito asociado a la operacin de distribucin o dispensa.-
15. Las obras sociales y empresas de medicina prepaga forman parte del Sistema? NO, estas instituciones no son establecimientos sanitarios. Solamente debern verificar que las empresas que contraten cumplan con las exigencias de trazabilidad, conforme surge de la Resolucin N 594/11 de la Superintendencia de Servicios de Salud.-
16. En el caso de medicamentos incluidos en el Sistema Nacional de Trazabilidad, los establecimientos asistenciales que fraccionan especialidades medicinales y aquellos laboratorios elaboradores de soluciones nutricionales de uso inmediato, podrn ingresar a la base de datos de la ANMAT ms de un paciente destino? Para estos dos agentes est previsto que puedan ingresar la totalidad de pacientes destinatarios en la base de datos de la ANMAT.-
17. Cmo debern informarse al sistema las muestras mdicas? El laboratorio, operador logstico o distribuidora podr informar que determinadas series son destinadas a muestras mdicas, informando los datos del agente de propaganda mdica que las recibe. Cabe recordar que nicamente se deben trazar aquellas muestras mdicas que tienen la misma presentacin que la unidad de venta.-
18. En los estudios clinicos se deben trazar los comparadores? Es obligatorio trazar los comparadores incluidos en los protocolos de investigacin que tengan IFAS involucradas en las disposiciones antes mencionadas.
19. Se deben trazar los productos destinados a exportacin? Queda a criterio del laboratorio titular. En caso de trazarlo, est creado el evento para poder informarlo.
20. El sistema de trazabilidad reemplaza al troquel? La informacin contenida en el soporte de trazabilidad, incorporado en funcin de las disposiciones ANMAT N 3683/2011 o N 1831/12, reemplazar la informacin actualmente contenida en el troquel de las especialidades medicinales alcanzadas, sustituyndolo en su utilizacin.
21. Se debe colocar algn tipo de precinto o etiqueta de seguridad a las especialidades medicinales? TODAS las especialidades medicinales de VENTA BAJO RECETA debern contar con un sistema de seguridad del envase, el cual deber ser inviolable e impedir la apertura de los mismos hasta el momento de su uso y contar con medidas de seguridad que impidan su replicacin, de manera de asegurar que el envase secundario contenga efectivamente el producto elaborado por el titular.
22. Dnde pueden evacuarse dudas respecto del Sistema Nacional de Trazabilidad? Toda la informacin disponible se encuentra en el link del Sistema Nacional de Trazabilidad (http://www.anmat.gov.ar/trazabilidad/principal.asp). Para consultas por el marco regulatorio o la aplicacin logstica o farmacutica de la normativa, es posible contactarse a trazabilidad@anmat.gov.ar. Para consultas por cuestiones de aplicacin informtica, tambin con la mesa de ayuda al 0800-333-89633.-
Volver Gestin Administrativa Registro de Audiencias Accesibilidad Descargar Acrobat Reader Avenida de Mayo 869 (C1084AAD) - Ciudad Autnoma de Buenos Aires - Argentina - Tel: 54-11- 4340-0800 Front-end y back-end traducibles al espaol como interfaz y motor, respectivamente son trminos que se relacionan con el principio y el final de un proceso. Estos trminos adquieren una relevancia mayor en ciertas reas particulares. Informtica En diseo de software el front-end es la parte del software que interacta con el o los usuarios y el back-end es la parte que procesa la entrada desde el front-end. La separacin del sistema en front-ends y back-ends es un tipo de abstraccin que ayuda a mantener las diferentes partes del sistema separadas. La idea general es que el front-end sea el responsable de recolectar los datos de entrada del usuario, que pueden ser de muchas y variadas formas, y los transforma ajustandolos a las especificaciones que demanda el back- end para poder procesarlos, devolviendo generalmente una respuesta que el front-end recibe y expone al usuario de una forma entendible para este. La conexin del front-end y el back- end es un tipo de interfaz.
Capas y niveles 1. Capa de presentacin: es la que ve el usuario (tambin se la denomina "capa de usuario"), presenta el sistema al usuario, le comunica la informacin y captura la informacin del usuario en un mnimo de proceso (realiza un filtrado previo para comprobar que no hay errores de formato). Tambin es conocida como interfaz grfica y debe tener la caracterstica de ser "amigable" (entendible y fcil de usar) para el usuario. Esta capa se comunica nicamente con la capa de negocio. 2. Capa de negocio: es donde residen los programas que se ejecutan, se reciben las peticiones del usuario y se envan las respuestas tras el proceso. Se denomina capa de negocio (e incluso de lgica del negocio) porque es aqu donde se establecen todas las reglas que deben cumplirse. Esta capa se comunica con la capa de presentacin, para recibir las solicitudes y presentar los resultados, y con la capa de datos, para solicitar al gestor de base de datos almacenar o recuperar datos de l. Tambin se consideran aqu los programas de aplicacin. 3. Capa de datos: es donde residen los datos y es la encargada de acceder a los mismos. Est formada por uno o ms gestores de bases de datos que realizan todo el almacenamiento de datos, reciben solicitudes de almacenamiento o recuperacin de informacin desde la capa de negocio. ava EE Java Platform, Enterprise Edition o Java EE (anteriormente conocido como Java 2 Platform, Enterprise Edition o J2EE hasta la versin 1.4; traducido informalmente como Java Empresarial), es una plataforma de programacinparte de la Plataforma Java para desarrollar y ejecutar software de aplicaciones en el lenguaje de programacin Java. Permite utilizar arquitecturas de N capas distribuidas y se apoya ampliamente en componentes de software modulares ejecutndose sobre un servidor de aplicaciones. La plataforma Java EE est definida por una especificacin. Similar a otras especificaciones del Java Community Process, Java EE es tambin considerada informalmente como un estndar debido a que los proveedores deben cumplir ciertos requisitos de conformidad para declarar que sus productos son conformes a Java EE; estandarizado por The Java Community Process / JCP. Java EE tiene varias especificaciones de API, tales como JDBC, RMI, e-mail, JMS, Servicios Web, XML, etc y define cmo coordinarlos. Java EE tambin configura algunas especificaciones nicas para Java EE para componentes. Estas incluyen Enterprise JavaBeans, servlets, portlets (siguiendo la especificacin de Portlets Java), JavaServer Pages y varias tecnologas de servicios web. Ello permite al desarrollador crear una Aplicacin de Empresa portable entre plataformas y escalable, a la vez que integrable con tecnologas anteriores. Otros beneficios aadidos son, por ejemplo, que el servidor de aplicaciones puede manejar transacciones, la seguridad, escalabilidad, concurrencia y gestin de los componentes desplegados, significando que los desarrolladores pueden concentrarse ms en la lgica de negocio de los componentes en lugar de en tareas de mantenimiento de bajo nivel. En telecomunicaciones y en ingeniera informtica, la escalabilidad es la propiedad deseable de un sistema, una red o un proceso, que indica su habilidad para reaccionar y adaptarse sin perder calidad, o bien manejar el crecimiento continuo de trabajo de manera fluida, o bien para estar preparado para hacerse ms grande sin perder calidad en los servicios ofrecidos. En general, tambin se podra definir como la capacidad del sistema informtico de cambiar su tamao o configuracin para adaptarse a las circunstancias cambiantes. 1 Por ejemplo, una Universidad que establece una red de usuarios por Internet para un edificio de docentes y no solamente quiere que su sistema informtico tenga capacidad para acoger a los actuales clientes que son todos profesores, sino tambin a los clientes que pueda tener en el futuro dado que hay profesores visitantes que requieren de la red por algunas aplicaciones acadmicas, para esto es necesario implementar soluciones que permitan el crecimiento de la red sin que la posibilidad de su uso y reutilizacin disminuya o que pueda cambiar su configuracin si es necesario. La escalabilidad como propiedad de los sistemas es generalmente difcil de definir, 2 en particular es necesario definir los requerimientos especficos para la escalabilidad en esas dimensiones donde se crea que son importantes. Es una edicin altamente significativa en sistemas electrnicos, bases de datos, ruteadores y redes. A un sistema cuyo rendimiento es mejorado despus de haberle aadido ms capacidad hardware, proporcionalmente a la capacidad aadida, se dice que pasa a ser un sistema escalable. Dimensiones La escalabilidad se puede medir en diferentes dimensiones. Escalabilidad en carga Un sistema distribuido nos hace fcil el ampliar y reducir sus recursos para acomodar (a conveniencia), cargas ms pesadas o ms ligeras segn se requiera. Escalabilidad geogrfica Un sistema geogrficamente escalable, es aquel que mantiene su utilidad y usabilidad, sin importar que tan lejos estn sus usuarios o recursos. Escalabilidad administrativa No importa qu tantas diferentes organizaciones necesiten compartir un solo sistema distribuido, debe ser fcil de usar y manejar. Por ejemplo, un sistema de procesamiento y transaccin en lnea o un sistema administrador de base de datos escalable pueden ser actualizados para poder procesar ms transacciones aadiendo por medio de nuevos procesadores, dispositivos y almacenamiento que se pueden implementar fcil y transparentemente sin apagarlos. Un protocolo enrutador es considerado escalable con respecto al tamao de la red, si el tamao de la necesaria tabla enrutadora en cada nodo crece como una cota superior asinttica (log N), donde N es el nmero de nodos en la red. Por otro lado, una aplicacin de software es escalable si al incrementar los procesadores donde se ejecuta, el rendimiento crece proporcionalmente. Por el contrario, una aplicacin no es escalable si su rendimiento no "escala" o crece con el incremento de los procesadores. Otro ejemplo es: en el CoE = 4 Tipos de escalabilidad Escalabilidad vertical Un sistema escala verticalmente o hacia arriba, cuando al aadir ms recursos a un nodo particular del sistema, este mejora en conjunto. Por ejemplo, aadir memoria o un disco duro ms rpido a una computadora puede mejorar el rendimiento del sistema global. Escalabilidad horizontal Un sistema escala horizontalmente si al agregar ms nodos al mismo, el rendimiento de ste mejora. Por ejemplo, al aadir una computadora nueva a un sistema que balancee la carga entre la antigua y la nueva puede mejorar el rendimiento de todo el sistema. Qu soporte debo poseer para iniciar la implementacin del Sistema de Trazabilidad?
Se deber contar con un sistema y una base de datos para almacenar la informacin en el caso de operar via WebService o con una PC con conexin a internet en el caso de utilizar el sistema de envio manual. Para utilizar el Sistema de Trazabilidad deber configurar una resolucin mnima de pantalla de 1024x768.
Cmo debo empezar? Realizar los pasos del 1 al 3 para estar habilitado para transaccionar.
Cmo debo identificar mi establecimiento?
Se deber utilizar el GLN. (Global Location Number)
Cmo debo identificar cada uno de mis productos?
Se deber utilizar el GTIN (Global Trade Item Number) y el nmero de serie..
Qu movimientos logsticos debo informar? DISTRIBUCIN DEL PRODUCTO A UN ESLABN POSTERIOR RECEPCIN DE PRODUCTO DESDE UN ESLABN ANTERIOR ENVO TRASLADO ENTRE DEPOSITOS PROPIOS RECEPCIN TRASLADO ENTRE DEPOSITOS PROPIOS ENVIO DE PRODUCTO EN CARCTER DEVOLUCION RECEPCIN DE PRODUCTO EN CARCTER DE DEVOLUCIN PRODUCTO ROBADO/EXTRAVIADO MUESTRA MEDICA PRODUCTO DESTINADO A ENSAYO CLINICO PRODUCTO DESTINADO A EXPORTACION ENVIO DE PRODUCTO EN CARCTER DEVOLUCION POR VENCIMIENTO RECEPCIN DE PRODUCTO EN CARCTER DE DEVOLUCIN POR VENCIMIENTO ENVIO DE PRODUCTO EN CARCTER DEVOLUCION POR PROHIBICION RECEPCIN DE PRODUCTO EN CARCTER DE DEVOLUCIN POR PROHIBICION DESTRUCCION DE MEDICAMENTO POR PROHIBICION DESTRUCCION DE MEDICAMENTO POR VENCIMIENTO LEVANTAMIENTO DE CUARENTENA ENVIO DE MERCADERIA EN CARACTER DE CUARENTENA
Qu datos debo transmitir?
CODIGO DE EVENTO: Cdigo de Evento CODIGO COMERCIAL DE PRODUCTO GTIN: Cdigo Global Trade Item Number. NUMERO DE SERIE: Nmero de serie de produccin. NUMERO DE LOTE: Nmero de lote de producto. VENCIMIENTO: Fecha de vencimiento de producto. CODIGO ORIGEN: Cdigo de identificacin de origen. En general: Cdigo GLN CUIT ORIGEN: Cdigo nico de Identificacin Tributaria de Facturacin/Remito. CODIGO DESTINO: Cdigo de identificacin de origen. En general: Cdigo GLN CUIT DESTINO: Cdigo nico de Identificacin Tributaria de Facturacin/Remito. FECHA y HORA DE TRANSACCION: Fecha y hora del evento. NUMERO DE FACTURA: Numero de Factura. NUMERO DE REMITO: Numero de Remito
Cmo puedo conocer las especificaciones tcnicas?
Para obtener ms informacin podr consultar la Gua Tcnica desde nuestra home page, ingresando en "Estndares". Resolucin SENASA Sistema de Trazabilidad de Productos Fitosanitarios y Veterinarios
El Servicio Nacional de Sanidad y Calidad Agroalimentaria ha creado el Sistema de Trazabilidad de Productos Fitosanitarios y Veterinarios. La Resolucin 369/2013,en concondarcia con la tendencia mundial de utilizar a la trazabilidad como herramienta para impulsar el seguimiento de los productos y dar respuesta a las exigencias de los consumidores resolvi dar carcter de obligatorio al Sistema de Trazabilidad para los Productos Fitosanitarios y Veterinarios. Se encuentran alcanzadas las personas fsicas o jurdicas que importen, elaboren, fraccionen, comercialicen o exporten dichos productos. Para dar cumplimiento a la Resolucin es necesario que cada unidad de producto trazable sea identificada con un cdigo unvoco segn las recomendaciones de los Estndares del Sistema GS1, pudiendo ser utilizados en forma optativa los Cdigos GS1-128 o GS1- Datamatrix.
Preguntas Generales 1. Cul es el detalle de eventos que se utilizan en el sistema de Trazabilidad?
2. Con qu frecuencia deben los operadores cargar en el sistema la informacin sobre sus movimientos? A qu se refiere con en tiempo real?
La frecuencia la decide el operador, dentro del trimestre y hasta 10 das hbiles posteriores al vencimiento puede cargar los movimientos/eventos diariamente, semanalmente o mensualmente. Especificando en cada movimiento/evento cargado la fecha en la cual se concret. Ejemplo: Si el operador realiz movimientos/eventos todos los das del trimestre podr hasta el ltimo da de plazo cargar cada uno de dichos movimientos/eventos. En tiempo real se refiere a que se cargan los eventos que sucedieron da tras da en el sistema.
3. Debe obtenerse un solo CUFE por domicilio real (por ej. Planta y Laboratorio en un mismo domicilio)?
S, ya que CUFE significa Cdigo de Ubicacin Fsica del Establecimiento. Si est todo en un solo domicilio es un solo CUFE.
4. Cul es el momento en el cual se debe verificar si el cliente con el cual se opera se encuentra o no inscripto en el RENPRE? En la emisin de la factura, del remito, cuando la mercadera sale de la planta en el camin o cuando llega a la planta del cliente, dependiendo de quin contrat al transportista?
En todos los momentos nombrados el sujeto debe estar inscripto ya que en caso contrario existira una infraccin a la normativa vigente.
5. Productos de la Lista 3: Entendemos que sigue siendo no obligatorio presentar los informes trimestrales para los movimientos de los mismos.
Sigue siendo no obligatorio lista 3 a excepcin de Nitroetano, Metilamina y Benzaldehdo que s deben informarse.
6. Caso de una empresa que tiene una planta de produccin y un laboratorio de desarrollo ubicados en lugares distintos. Las compras de insumos se reciben en la planta pero se envan muestras o insumos en pequeas cantidades al laboratorio. Actualmente estn inscriptos solo como operadores. Deben inscribirse tambin como transportistas cuando se trata de estas cantidades mnimas? Deben tener dos CUFEs?
Se debe tener dos CUFES, uno de la planta y uno de laboratorio. Respecto del transporte, hay dos formas: 1) Con vehculos de la empresa declarados en RENPRE por lo que no se especifica un transportista y 2) Mediante un transportista habilitado inscripto en RENPRE donde s se especifica en el evento el CUFE de dicha empresa transportista.
7. Cul es la prueba vlida y suficiente de que el cliente con el cual se opera se encuentra inscripto en el RENPRE? La consulta por pgina web o el certificado?
Se consulta por pgina web www.renpre.gov.ar en la seccin Bsqueda de operadores
8. Cmo debo presentar el primer informe trimestral del 2014?
El primer informe trimestral de 2014 se presenta mediante el Sistema Nacional de Trazabilidad. El mismo se emite desde la opcin informe trimestral de la aplicacin web. Para ello deber cargar el stock inicial al principio de dicho perodo y luego registrar todos los movimientos correspondientes al trimestre. El mismo se presentar impreso en el registro, con todas sus hojas firmadas, junto con el formulario correspondiente que deber ser adquirido previamente.
9. Dnde verifico a que categora de operador pertenezco?
El tipo de agente u operador se encuentra especificado en el certificado. Si en la especificacin hay asteriscos es un operador general, en el resto de los casos est expresamente identificado, como por ejemplo Pequeo operador, Transportista, etc.
10. Cundo cargo el stock inicial?
El stock inicial se carga una sola vez al inicio del uso del Sistema de Trazabilidad. Los Eventos suman y restan el stock inicial cargado.
Fasoneo
11. Caso Producciones a Fason. Una empresa entrega a un tercero (fason) un producto para su procesamiento o transformacin en otro producto que es devuelto al primero. El primer operador tiene que tener un CUFE propio en la planta donde se realiza el fason o utilizar el CUFE del segundo? Qu eventos debe informar cada una de las partes?
Todos los intervinientes tienen que tener CUFE puesto que el CUFE especifica una ubicacin geogrfica donde hay sustancias o productos controlados. En el fasoneo se utilizan los siguientes eventos: Entrega para fasoneo: Lo informa la empresa que enva sustancia o producto para fasonear. Recepcin para fasoneo: lo recibe el tercero quien elaborar la sustancia o producto. Entrega de producto fasoneado: Lo carga el tercero cuando entrega la sustancia o producto fasoneado. Recepcin de producto fasoneado: lo carga la empresa cuando recibe la sustancia o producto elaborado por el tercero.
Depsitos
12. Caso de una mercadera que se transporta desde la planta del fabricante/proveedor al depsito de un tercero, donde permanece temporariamente. Luego la misma es transportada desde el depsito a la planta del cliente. El proveedor debe obtener un CUFE en el depsito del tercero?
S, el depsito de terceros debe estar registrado en trazabilidad como un Establecimiento/sucursal (SubCUFE) del Fabricante/proveedor.
13. Si alquilo mi deposito a varias empresas debo estar registrado en Trazabilidad? En caso afirmativo Qu eventos utilizo?
Si, debe estar registrado en el sistema de Trazabilidad, por lo que el dueo del depsito que alquila a una o varias empresas debe poseer CUFE y debe utilizar los eventos : Alta de stock inicial: para dar el alta inicial de todas las sustancias productos que posee en el depsito sin importar quien es el dueo. Recepcin para almacenamiento: Cuando recibe mercadera de cualquiera de los locatarios. Entrega para almacenamiento: cuando retira mercadera cualquiera de los locatarios.
Transportistas
14. Obligaciones de los transportistas. Los depsitos del transportista deben tener CUFE?
Si, uno principal y si tiene sucursales subCUFEs.
15. Si por algn motivo excepcional un operador debe trasladar su mercadera a un depsito propio en el cual esta queda durante unas pocas horas. Este depsito debe tener CUFE?
Si, es un SubCUFE (Establecimiento/Sucursal ) del CUFE principal.
16. Como dador de carga, Debo informar el peso/cantidad neta que se debe transportar al Transportista?
Si, al transportista se le debe informar el peso/cantidad neto y cul es el producto /sustancia que transporta.
Comercio Exterior
17. Caso de importacin para reventa: cuando el contenedor se descarga del buque se lo traslada a un depsito fiscal (no se desconsolida all, es decir que hay dentro del mismo mercadera propia y de terceros). La empresa debe obtener un CUFE por la estada de su mercadera en ese depsito fiscal de la aduana?
No, se declara como CUFE origen el del pas origen y destino el depsito a donde es llevada la mercadera.
18. En el caso de las exportaciones el sistema solicita completar el campo Paso de Frontera. Es obligatorio completarlo?
Si, es obligatorio, el listado se encuentra actualmente en el sistema:
Sustancias/Productos
19. Cul es la diferencia entre Producto y Sustancia?
Sustancia son los precursores de la lista I y II en estado puro. Los productos son las mezclas que contienen una de las sustancias incluidas en las listas I y II en una concentracin mayor al 30% p/v (peso en volumen) o una mezcla de sustancias de la lista I y II cuando su sumatoria supere el 30% p/v.
20. Existen sustancias o mezclas que no se encuentran bien definidas, como por ejemplo el cido clorhdrico o amonaco. Deberan tener el mismo concepto de sustancia o mezcla.
Las mezclas que posean cido clorhdrico o amonaco se controlan conforme lo dispuesto en la respuesta anterior. Las soluciones de cido clorhdrico y amonaco se controlarn cuando posean una concentracin superior al 20% P/V.
21. Qu suceder con los productos que solo permite informar en kilos y los asociados los trabajan en litros o viceversa?
Los productos heredan la unidad de medida de la sustancia que su utiliza para su elaboracin y es necesario utilizar en todos los informes de movimientos dicha unidad. Salvedades: - En caso de haber 2 sustancias con unidades de medida diferentes, la unidad de medida ser la de la sustancia con mayor porcentaje. - En caso de haber productos con 2 sustancias con diferente U.M y mismos porcentajes prevalece el Kg. - En caso que se comercialicen en una unidad de medida diferente debern hacer la conversin para su carga en el sistema. De todas maneras la unidad de medida de cada producto puede consultarse en el catlogo electrnico de datos.
22. Cuando se crea un producto propio, qu cdigo se debe utilizar? Lo da el RENPRE?
El cdigo de producto lo da el Sistema Nacional de Trazabilidad siempre y cuando est declarado formalmente ante el RENPRE, mediante el trmite Alta de Producto. En las operaciones de comercializacin de un producto fabricado por otro se utiliza el cdigo de producto que se le asign al fabricante puesto que es l es quien realiza la Fabricacin/Produccin del mismo.
23. Debo dar de alta los productos que yo fabrico?
Si, en RENPRE mediante el trmite Alta de Producto. Ese producto se ver reflejado en el Sistema de Trazabilidad.
24. Debo dar de alta los productos que yo comercializo?
No, los productos que comercializa los debe dar de alta el Fabricante.
25. Cuando se da de alta un producto en RENPRE se debe revelar la frmula industrial del mismo?
No, solo se debe denunciar la cantidad de sustancias controlada que el producto posee.
26. Cundo se considera que es una sustancia pura y no un producto?
Se considera que un producto es en realidad una sustancia pura cuando la concentracin iguala o supera el 95%. Si no encuentra el producto en el sistema de trazabilidad y el mismo tiene una concentracin mayor o igual al 95% de sustancia, debe cargar en el evento la sustancia pura, cuyo cdigo comienza con 888 y est especificado en el nombre como sustancia pura, por ejemplo: ACETONA (SUSTANCIA PURA).
27. Cmo registro los movimientos de Productos/Mezclas que no fabrico?
Para registrar movimientos de productos que Ud. No fabrica debe solicitarle el Cdigo de dicho producto a su proveedor o puede buscarlo a travs de la opcin Catlogo electrnico de datos-Consulta de Catalogo Electrnico por GTIN/Cdigo de producto. En el caso que no encuentre el producto porqu ste an no fue dado de alta en RENPRE por su proveedor deber adjuntar una nota en la que explique que la mezcla no fue dada de alta en el RENPRE junto con un anexo 14 especificando los movimientos del producto en cuestin. Ambos informes, el PDF que imprima desde Trazabilidad y el anexo 14 se presentarn con un slo Formulario F04. Les recordamos que si un producto tiene una concentracin de sustancia mayor o igual al 95%, se considerar SUSTANCIA PURA, las mismas tienen su propio cdigo genrico y estn identificadas. Por ejemplo: ACETONA (SUSTANCIA PURA).
28. Cmo cargo la Puesta en stock inicial cuando no tengo stock el producto/sustancia que opero?
Si no tiene almacenado el producto o la sustancia al momento de cargar el evento ALTA DE STOCK INICAL simplemente no se carga, el sistema de trazabilidad no permite cargas en cero. El stock de ese producto/sustancia se incrementar automticamente cuando se realice algn otro evento que sume stock como por ejemplo el evento de COMERCIALIZACION COMPRA.
29. Cmo cargo un producto no dado de alta por mi proveedor?
Si su proveedor an no dio de alta el producto controlado no puede cargarlo en el sistema de trazabilidad hasta que as sea, por lo que deber completar el Anexo 14 solo con los movimientos del producto en cuestin e informar mediante nota que determinado proveedor no dio de alta determinado producto. El resto de productos y sustancia puede informarlos a travs del Sistema de Trazabilidad. Esta opcin est vigente solo para la presentacin del primer trimestre de 2014.
30. Cmo informo cuando falta habilitar un establecimiento/sucursal (subCUFE)?
En los eventos que suman a su stock y el subCUFE origen no est dado de alta, seleccione el CUFE principal de su proveedor. En este caso debe seleccionar como CUFE Destino su establecimiento y si usted no lo tiene dado de alta, seleccione su CUFE principal y cuando lo tenga dado de alta realice un evento de ENVIO PARA ALMACENAMIENTO y RECEPCION PARA ALMACENAMIENTO segn corresponda para acomodar el stock en el establecimiento donde se encuentra efectivamente la sustancia/producto. En los eventos que restan a su stock y el subCUFE destino no est dado de alta, seleccione el CUFE principal de su cliente/destinatario. En este caso debe seleccionar como CUFE Origen su establecimiento de donde resta la sustancias/producto y si usted no lo tiene dado de alta, seleccione su CUFE principal o subCUFE donde haya dado de alta el stock inicial y cuando tenga dado de alta el establecimiento que le falta realice un evento de ENVIO PARA ALMACENAMIENTO y RECEPCION PARA ALMACENAMIENTO segn corresponda para acomodar el stock donde se encuentra efectivamente la sustancia/producto.
31. Cmo registro la fabricacin de un producto NO controlado?
Si usted fabrica con sustancias/productos controlados un producto no controlado utiliza el evento CONSUMO PARA FABRICACION PRODUCCIN que resta de su stock para la fabricacin de producto no controlado y no carga otro evento puesto que no se controla el stock de productos no controlados.
32. Cmo registro la fabricacin de un producto controlado?
Si usted fabrica con sustancias/productos controlados un producto no controlado utiliza el evento CONSUMO PARA FABRICACION PRODUCCIN que resta de su stock para la fabricacin de producto controlado y utiliza el evento FABRICACION/PRODUCCIN para sumar stock del producto fabricado controlado. Si usted fabrica sustancias/productos controlados con elementos no controlados utiliza el evento FABRICACIN/PRODUCCIN para aumentar su stock.
33. Los componentes de mi producto son qumicamente inseparables y podra no cargarlo en Trazabilidad. Qu trmite debo realizar para dicha excepcin?
Est especificado en el manual del RENPRE http://www.renpre.gov.ar/pdfs/tutoriales/manual-proc-renpre.pdf, pgina 7 punto 10 Mezclas - Resolucin SEDRONAR 764/11, incisos c-d y e.
34. Cmo doy de alta un producto en Trazabilidad?
Los productos en trazabilidad migran automticamente desde sistema del RENPRE por lo que si no estn en Trazabilidad deben darlo de alta en RENPRE adjuntando el Anexo 4 ( http://www.renpre.gov.ar/pdfs/tutoriales/anexo_4_productos_a-b-m.pdf ) en cualquier rmite de Inscripcin, Reinscripcin o Trimestral (F01, F02 o F04) en el trmino de 48hs estar vigente.
35. Cmo registro la venta cuando el producto o sustancia va directo desde mi proveedor al cliente?
En este caso el vendedor no puede quedar fuera de la transaccin en trazabilidad por lo que debe informar primero la compra a su proveedor, a su vez su proveedor informara la venta hacia usted, luego debe usted informar la venta a su cliente y su cliente informar la compra que le realiz a usted. El resultado final es que le resta el producto/sustancia al proveedor y le suma sustancia/producto a su cliente y queda registrada la venta. Copyright 2014. RENPRE | Todos los derechos res
1. Dnde debo realizar el entrenamiento del sistema?
Para realizar el entrenamiento debe ingresar aqu y registrarse en el sistema. Puede realizar el entrenamiento con el usuario y contrasea obtenidos al momento de la registracin e incorporando el set de datos de prueba disponible en la documentacin que se encuentra en la pgina. Si no posee CUFE (Cdigo de Ubicacin Fsica de Establecimiento) deber obtenerlo comunicndose con la mesa de ayuda al 0800-333-89633.
2. Debo seguir presentando los informes trimestrales en papel o es obligatorio realizarlo a travs del nuevo sistema de trazabilidad de precursores?
En el ao 2013 la presentacin a travs del sistema es opcional, pero vlida en caso de que se realice por este medio. De no utilizarlo, deber seguir presentando la documentacin en papel como lo haca hasta este momento. A partir del ao 2014, la utilizacin del sistema y la presentacin digital de los informes ser obligatoria.
3. Usuarios de Entrenamiento y Final Dnde conseguirlos?
Para obtener su usuario de entrenamiento deber registrarse en el sitio web (click aqu) o ingrese en el paso 2.1. En cuanto al usuario final (entorno Definitivo), ser comunicado por un Operador luego de finalizar el entrenamiento, realizar la registracin en el paso 3.2 y enviar la documentacin solicitada en el paso 3.3. Una vez recibido el usuario final, deber efectuar la carga de Subglns y productos si correspondiera y posteriormente el cierre de alineacin e impresin de PDF. Cumplimentado lo anterior deber aguardar la habilitacin del usuario por parte de SEDRONAR.
4. Qu debo hacer si el sistema bloquea mi contrasea o no puedo acceder con mis datos?
Tanto s su usuario fue deshabilitado por intentos fallidos de acceso, o cuando Ud. no recuerde los datos proporcionados al momento de la registracin, podr solicitar una nueva contrasea directamente desde la pgina web, desde la opcin 'Desbloquear cuenta o generar nueva contrasea.'. Previamente, corrobore estar accediendo a la pgina web correcta, ya sea se trate de Entrenamiento o Final. Recuerde que el usuario y contrasea puede ser diferente segn la etapa en la que se encuentra.
5. Qu debo hacer si mi organizacin o un tercero no tiene CUFE para transaccionar? a) Si mi organizacin no posee CUFE: Podr solicitarlo comunicndose a la mesa de ayuda (le ser requerido su CUIT, Razn Social, Direccin, Localidad y tipo de agente) b) Si un tercero no posee CUFE: deber efectuar la solicitud de CUFE provisorio desde la opcin 'solicitud agente' desde el SNT ingresando con su usuario o comunicndose a la mesa de ayuda.
6. Existe un error en el catlogo electrnico de datos (agente o precursor)
Deber informar dicho error y datos correctos a la mesa de ayuda o al e-mail contactotrazabilidadsedronar@pami.org.ar. El mismo ser corregido luego de la validacin de los datos correspondientes y previa autorizacin de SEDRONAR.
7. Cmo debo hacer para registrar mi stock en el sistema para poder transaccionar con dichos precursores? Deber informar un evento para registracin de todos estos productos con los datos correspondientes. En el caso del stock preexistente, se deber utilizar el evento denominado PUESTA EN STOCK INICIAL. Una vez registrado, por primera vez, todo su stock en el sistema, podr comenzar a transaccionar con l. Recuerde que puede verificar su stock en tiempo real de todos los movimientos registrados desde la opcin Movimientos / Stock del sistema nacional de trazabilidad.
8. Usuario y contrasea para la capa de transporte del WS
Si desea realizar la trazabilidad utilizando los WebServices, tenga en cuenta que los datos para la capa de transporte son los siguiente: Usuario: testwservice / Contrasea: testwservicepsw. Estos datos son independientes de su usuario y contrasea del sistema, y son los mismos tanto para Entrenamiento como para el entorno Definitivo. Cristina Kirchner avanzar pronto con cambios en la Administracin de Programas Especiales (APE), un organismo que recibe fondos de todas las obras sociales y los distribuye para tratamientos de alta complejidad. Noticias relacionadas 08.04.2011Cristina le sac a Moyano el manejo de los fondos de las obras sociales 13.04.2011El kirchnerismo impidi que una auditora sobre APE vaya a la justicia 11.03.2011Cristina analiza disolver la APE, asediada por la causa de los medicamentos
Este sistema qued en el centro de las sospechas ante las denuncias sobre falsificacin de troqueles para disponer de fondos como tambin de la provisin de medicamentos en mal estado, que derivaron en las causas de la denominada mafia de los medicamentos.
El conflicto complic a sobremanera el funcionamiento de APE debido a que los directivos se vienen negando a firmar los expedientes por temor a tener que rendir cuentas en la justicia. Tal como adelant LPO, por esa complicacin en el Gobierno evaluaron disolver el organismo, tal como hicieron con la ONCCA.
Segn publica La Nacin, la presidenta tiene a la firma un decreto que modificara el funcionamiento de APE, cuyo presupuesto asciende a los 1.100 millones de pesos. Los sindicatos denuncian una deuda atrasada de casi 9.000.
La idea sera que ahora incorpore un sistema de trazabilidad para controlar la produccin de los medicamentos y tambin la prestacin de los servicios y no meramente el manejo de fondos.
De esta manera las obras sociales sindicales perdan la atribucin de comprar productos y luego reclamar el reintegro por esa erogacin, mecanismo que, segn las causas judiciales vigentes, habra sido distorsionado para apoderarse de millones de pesos.
Los cambios intentaran hacerse sin confrontar con las obras sociales. Para eso el ministro de Salud Juan Manzur se comprometi con Hugo Moyano a discutir un nuevo esquema de salud.
La primera medida es apurar la sancin del marco regulatorio a la medicina prepaga que espera la sancin en Diputados. La CGT quiere luego frenar el traspaso de afiliados de mejores ingresos a esas empresas.