Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27000 Implementation Guidance v1 Spanish PDF
ISO 27000 Implementation Guidance v1 Spanish PDF
Introduccin
Esto es un documento colaborativo creado por implantadores de ISO/IEC 27001 y 27002 pertenecientes al ISO27k implementers' forum. Queramos documentar
y compartir algunas recomendaciones pragmticas para implantar los estndares de gestin de seguridad de la informacin, adems de potenciales mtricas
para medir y reportar el estado de la seguridad de la informacin, referenciadas en ambos casos a los estndares ISO/IEC.
Alcance
Esta gua cubre todos los 39 objetivos de control listados en las secciones 5 a 15 de ISO/IEC 27002, adems de la seccin 4 de evaluacin y tratamiento de
riesgos que les precede.
Objetivo
Este documento pretende ayudar a otros que estn implantando o planeando implantar los estndares ISO/IEC de gestin de seguridad de la informacin. Al
igual que los propios estndares ISO/IEC, se trata de un documento genrico y necesita ser adaptado a las necesidades especficas de cada uno.
Copyright
Este trabajo tiene copyright 2007, ISO27k implementers' forum, algunos derechos reservados. Est licenciado bajo licencia Creative Commons
Attribution-Noncommercial-Share Alike 3.0. Vd. puede reproducir, distribuir, usar y crear trabajos derivados de este, siempre y cuando (a) no
sean vendidos o incorporados en ningn producto comercial, (b) sean correctamente atribuidos al ISO27k implementers forum
(www.ISO27001security.com), y (c) sean compartidos bajo los mismos trminos que este.
5. Poltica de seguridad
Ref. Objetivo Consejos de implementacin Posibles mtricas
7. Gestin de activos
10.3 Planificacin y acep- Adopte procesos estructurados de planificacin de capacidad Porcentaje de cambios de riesgo bajo, medio, alto y de
tacin del sistema TI, desarrollo seguro, pruebas de seguridad, etc., usando es- emergencia.
Ref. Objetivo Consejos de implementacin Posibles mtricas
tndares aceptados como ISO 20000 (ITIL) donde sea posible. Nmero y tendencia de cambios revertidos y rechazados
frente a cambios exitosos.
Defina e imponga estndares de seguridad bsica (mnimos Porcentaje de sistemas (a) que deberan cumplir con es-
aceptables) para todas las plataformas de sistemas operativos,
tndares de seguridad bsica o similares y (b) cuya con-
usando las recomendaciones de seguridad de CIS, NIST, NSA
y fabricantes de sistemas operativos y, por supuesto, sus pro- formidad con dichos estndares ha sido comprobada me-
pias polticas de seguridad de la informacin. diante benchmarking o pruebas.
Combine controles tecnolgicos (p. ej., software antivirus) con Tendencia en el nmero de virus, gusanos, troyanos o
Proteccin contra medidas no tcnicas (educacin, concienciacin y formacin). spam detectados y bloqueados.
10.4 cdigo malicioso y No sirve de mucho tener el mejor software antivirus del merca-
Nmero y costes acumulados de incidentes por software
mvil do si los empleados siguen abriendo e-mails de remitentes des-
conocidos o descargando ficheros de sitios no confiables! malicioso.
10.7 Manejo de los so- Asegure los soportes y la informacin en trnsito no solo fsico Porcentaje de soportes de backup o archivo que estn to-
portes sino electrnico (a travs de las redes). talmente encriptados.
Cree la funcin diferenciada de "administrador de seguridad", Tiempo medio transcurrido entre la solicitud y la realiza-
con responsabilidades operativas para aplicar las reglas de cin de peticiones de cambio de accesos y nmero de so-
control de acceso definidas por los propietarios de las aplicacio-
licitudes de cambio de acceso cursadas en el mes anterior
Gestin de acceso
11.2 nes y la direccin de seguridad de la informacin. (con anlisis de tendencias y comentarios acerca de cual-
de usuario
quier pico / valle (p. ej., "Implantada nueva aplicacin fi-
Invierta en proporcionar al administrador de seguridad herra-
nanciera este mes").
mientas para realizar sus tareas lo ms eficientemente posible.
Tenga polticas claramente definidas para la proteccin, no slo "Estado de la seguridad en entorno porttil / teletrabajo",
de los propios equipos informticos porttiles (es decir, laptops,
es decir, un informe sobre el estado actual de la seguridad
PDAs, etc.), sino, en mayor medida, de la informacin almace-
nada en ellos. Por lo general, el valor de la informacin supera de equipos informticos porttiles (laptops, PDAs, telfo-
con mucho el del hardware. nos mviles, etc.), y de teletrabajo (en casa de los em-
Ordenadores portti-
11.7 pleados, fuerza de trabajo mvil), con comentarios sobre
les y teletrabajo
Asegrese de que el nivel de proteccin de los equipos infor- incidentes recientes/actuales, vulnerabilidades actuales de
mticos utilizados dentro de las instalaciones de la organiza- seguridad conocidas y pronsticos sobre cualquier riesgo
cin tiene su correspondencia en el nivel de proteccin de los
creciente, despliegue de configuraciones seguras, antivi-
equipos porttiles, en aspectos tales como antivirus, parches,
actualizaciones, software cortafuegos, etc. rus, firewalls personales, etc.
Procesamiento co- Para mayor confianza con datos vitales, construya e incorpore Porcentaje de sistemas para los cuales los controles de
12.2 rrecto en las aplica- funciones adicionales de validacin y chequeo cruzado (p. ej., validacin de datos se han (a) definido y (b) implementado
ciones sumas totalizadas de control). y demostrado eficaces mediante pruebas.
Asegure la coherencia y concienciacin mediante personas y Porcentaje de planes de continuidad de negocio en cada
unidades organizativas relevantes en los planes de continuidad una de las fases del ciclo de vida (requerido / especificado
Aspectos de seguri- / documentado / probado).
de negocio.
dad de la informa-
14.1 cin en la gestin de Porcentaje de unidades organizativas con planes de conti-
Deberan llevarse a cabo las pruebas pertinentes (tales como
la continuidad del
pruebas sobre el papel, simulacros, pruebas de failover, etc.) nuidad de negocio que han sido adecuadamente (a) docu-
negocio
para (a) mantener los planes actualizados, (b) aumentar la con- mentados y (b) probados mediante tests apropiados en los
fianza de la direccin en los planes y (c) familiarizar a los em- ltimos 12 meses.
pleados relevantes con sus funciones y responsabilidades bajo
condiciones de desastre.
15. Cumplimiento
Berinato, S., Campbell, G., Mena, C., y Lefler, D. (2005). "Influencing Senior Management - Security Metrics". Presentacin al CSO Executive Council. Conse-
jos en la seleccin de mtricas de seguridad S.M.A.R.T. [especficas -Specific-, medibles -Measurable-, alcanzables -Achievable-, relevantes -Relevant- y delimi-
tadas en el tiempo -Time bound-] que sean reducidas en nmero, actuales y precisas, validadas y aprobadas por las partes interesadas y (sobre todo) tiles.
Hinson, G. (2006). "7 Myths About Security Metrics". ISSA Journal, Julio. Plantea consideraciones de diseo de un sistema de mtricas de seguridad, con al-
gunos ejemplos.
Hauser, J.R. and Katz, G.M. (1998). "Metrics: You Are What You Measure". MIT. Un artculo para la reflexin que avisa sobre los peligros de conducir un pro-
ceso en una direccin no pretendida, por el uso de mtricas inapropiadas.
ISO/IEC 27001:2005. "International standard - Information technology - Security techniques - Information security management systems - Requirements".
ISO/IEC 27002:2005. "International standard - Information technology - Security techniques - Code of practice for information security management" [anterior-
mente conocida como ISO/IEC 17799:2005].
NIST (National Institute of Standards and Technology) (2003). Security Metrics Guide for Information Technology Systems. Special Publication 800-55. Inclu-
ye una lista extraordinariamente exhaustiva de posibles mtricas (pero, desafortunadamente, no ayuda mucho en cmo seleccionar mtricas tiles). El primer
borrador pblico de la Special Publication 800-80 "Guide for Developing Performance Metrics for Information Security" est disponible para comentarios.
Registro de cambios
Versin 1, 28 de Junio de 2007
Publicado por el ISO27k implementers' forum. Aportaciones de Gary Hinson, H Deura, K, Ramiah Marappan, Rainier Vergara y Richard O. Regalado.
Traducido del original ingls al espaol por Javier Ruiz Spohr (www.iso27000.es). 16 de Noviembre de 2007.
Feedback
Comentarios, preguntas y sugerencias de mejora (especialmente, sugerencias de mejora!) son bienvenidas a travs del ISO27k implementers' forum o, directa-
mente, al administrador del foro Gary@isect.com