3 Information Security Framew Español

Machine Translated by Google
3 Marco de seguridad de la información
El propósito de establecer un marco de seguridad de la información es garantizar que se implementen los
mecanismos de control apropiados para administrar de manera efectiva la garantía de la información en
toda la empresa.
Este capítulo cubre los principios básicos para establecer dicho marco dentro de una organización y
analizará el área general de la gestión de la seguridad de la información.
En particular, consideraremos el papel y el uso de políticas, estándares y procedimientos, gobierno de
aseguramiento de la información, gestión de incidentes de seguridad y su implementación adecuada.
Este capítulo constituye alrededor del 35 por ciento del plan de estudios del examen CISMP.
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
LOS RESULTADOS DEL APRENDIZAJE
El objetivo de esta sección es proporcionar al lector los conocimientos básicos necesarios
para comprender los principios para organizar la seguridad de la información en toda la
empresa. Una vez completado, el lector debe poder definir y explicar no solo los
conceptos principales, sino también redactar documentos para cumplir con los requisitos
generales en las siguientes áreas.
Organización y responsabilidades
El establecimiento de una estructura organizativa para gestionar el aseguramiento de la
información proporciona un marco para garantizar que se entiendan los requisitos de
aseguramiento de la empresa y que las responsabilidades se asignen adecuadamente
en toda la empresa para lograrlo. Las responsabilidades deben estar claramente
definidas, ya sea a nivel empresarial o local, y las actividades de aseguramiento deben
coordinarse adecuadamente en toda la organización para garantizar que se gestionen
de manera eficaz. Esta sección cubre los arreglos organizacionales necesarios que
deben llevarse a cabo para proporcionar un control efectivo de la Garantía de la
Información.
Funciones de seguridad de la información dentro de la empresa
Debe haber un recurso designado dentro de la organización que tenga la responsabilidad
de la gestión diaria de los problemas de aseguramiento de la información. Esto es para
garantizar que las buenas prácticas de aseguramiento de la información se apliquen de
manera adecuada y efectiva en toda la empresa y para coordinar todas las actividades
de aseguramiento. En organizaciones más grandes, esta función debe ser una función
de tiempo completo y el gerente de esta función a menudo se conoce como el Jefe de
Garantía de la Información, el gerente de Seguridad de la Información, el Director de
Seguridad de la Información (CISO) o, a veces, como el Jefe de Información. Oficial (CIO).
38
Marco de seguridad de la información
En organizaciones más pequeñas, el rol puede combinarse con otras responsabilidades.
En esta sección, el rol se denominará gerente de seguridad de la información. La
forma en que se estructura este rol dependerá en gran medida del tamaño y la cultura
de la organización y, por lo general, cuenta con el apoyo de otras personas como parte
de un equipo dedicado.
El gerente de seguridad de la información debe comprender los riesgos de
aseguramiento de la información que la empresa puede enfrentar, qué controles existen
y dónde puede ser vulnerable la empresa. Esta información debe comunicarse de
manera eficaz a la alta dirección (quienes tienen la responsabilidad final de la Garantía
de la información). Esto es para asegurar que entiendan el estado del aseguramiento
dentro de la empresa para que se implementen las salvaguardas apropiadas. Las
principales actividades del Gerente de Seguridad de la Información son:
• coordinar las actividades de aseguramiento de la información en toda la empresa
incluidos los delegados fuera del equipo; • coordinar
la producción de la política de seguridad; • comunicarse con
los usuarios para que entiendan sus responsabilidades de Garantía de la información
y sean conscientes de las amenazas potenciales para la empresa;
• comprender el apetito y el perfil de riesgo de la empresa y cómo
puede estar
evolucionando; • seguimiento de la eficacia del plan de aseguramiento de la empresa
mentos;
• informar sobre la eficacia de los acuerdos de aseguramiento a la alta dirección y
sugerir mejoras; • proporcionar asesoramiento
experto en materia de aseguramiento de la información al
empresa;
• crear una cultura de buen intercambio de información y prácticas de aseguramiento
tices
Hay una serie de estándares reconocidos que brindan orientación sobre cómo administrar
los arreglos de aseguramiento y las responsabilidades dentro de una empresa, como la
serie ISO/IEC 27000 y el estándar de buenas prácticas ISF (Foro de seguridad de la
información). Estos estándares se pueden adaptar para ajustarse a los requisitos
individuales de la empresa.
Colocación en la estructura empresarial.
La ubicación de los diversos roles de aseguramiento dentro de una organización
normalmente dependerá de la estructura, los requisitos particulares y la cultura de la
empresa. Por lo tanto, no existen reglas estrictas y definidas sobre dónde deben ubicarse
específicamente los roles, cómo deben organizarse o qué debe incluir su alcance.
En muchas empresas, la función de Garantía de la información se encuentra dentro
del área de cumplimiento corporativo. Esto es común en empresas o industrias que
tienen una sólida cultura de cumplimiento, como la banca o la manufactura.
39
Principios de gestión de la seguridad de la información
En otras empresas, la función se basa en el grupo de tecnología de la información porque muchos
(pero rara vez todos) de los controles para proteger la empresa dependen de la tecnología
informática. A veces, la función se puede colocar dentro de un grupo de instalaciones centrales, ya
que las responsabilidades de aseguramiento a menudo abarcan varias áreas de gestión dentro de
una empresa.
El alcance de la función de Garantía de la Información puede variar.
En algunos casos, la función de garantía puede incluir la responsabilidad
de establecer la política y la dirección, pero no la implementación real
de los mecanismos de control de seguridad, que luego puede llevar a
cabo un área separada, como el departamento de TI o los equipos
locales. Alternativamente, la función de aseguramiento también puede
tener la responsabilidad de la implementación de controles y soluciones
de seguridad técnica y de realizar investigaciones y monitorear el
cumplimiento.
Como función reguladora, la función de aseguramiento de la información debe posicionarse
como parte de una estructura formal para que pueda facilitar la gestión y coordinación completas
de los asuntos de aseguramiento en toda la empresa.
Responsabilidad de la Junta/Director
Una persona de alto nivel dentro de la organización debe tener la responsabilidad general de
proteger la garantía de los activos de información de la empresa y rendir cuentas formalmente. Este
rol debe ser desempeñado por un miembro de la junta o equivalente para demostrar el compromiso
de la gerencia de la empresa con la Garantía de la información. Su principal responsabilidad es
garantizar que se implementen los controles de seguridad adecuados en toda la empresa y: •
proporcionar un único punto de responsabilidad para la seguridad de la información; • garantizar que
se
identifiquen los objetivos de aseguramiento y que cumplan con los requisitos de la empresa
necesidades;
• asegurar que los recursos de aseguramiento adecuados estén disponibles para proteger la
empresa a un nivel de riesgo aceptable y acordado; • asignar roles y
responsabilidades de aseguramiento específicos a través de la entrada
premio;
• proporcionar una dirección clara, un compromiso y un apoyo visible para las iniciativas de
garantía, por ejemplo, mediante la aprobación y aprobación de políticas, estrategias y
arquitecturas necesarias de seguridad de alto nivel.
El director tiene el estatus necesario para garantizar que se presta la debida atención a la protección
de los activos de información de la empresa y para influir y sancionar las actividades de
aseguramiento. En algunos casos, la implementación de mecanismos de control de aseguramiento
adecuados puede encontrarse con la resistencia de otras partes del negocio que compiten por los
recursos disponibles y, por lo tanto, es importante tener un 'campeón de seguridad' para garantizar
que las prioridades se cumplan.
40
reunió. La experiencia ha demostrado que si no se cuenta con el apoyo de los altos cargos, es probable que
las iniciativas de aseguramiento fracasen.
Hay una cantidad cada vez mayor de leyes y reglamentos en el Reino Unido y en todo el
mundo que exigen este nivel de rendición de cuentas y responsabilidad, por ejemplo, Sarbanes
Oxley (EE. UU.) y la Ley de Sociedades (Reino Unido). El Informe Turnbull en el Reino Unido
establece que un miembro de la junta directiva de una sociedad anónima debe ser responsable de
garantizar que se implementen los requisitos adecuados de continuidad del servicio para evitar que
la empresa cierre sus operaciones después de experimentar un problema importante. Si estas
medidas no se implementan adecuadamente, tal vez esa persona podría enfrentar una pena
privativa de libertad. Este resultado potencial puede ser bueno para centrar la atención de la alta
dirección y para asegurar los recursos adecuados.
El director debe establecer y presidir un grupo de trabajo continuo de alto nivel para coordinar
las actividades de aseguramiento en toda la organización para garantizar que se implementen las
medidas de aseguramiento adecuadas para proteger el negocio a un nivel de riesgo aceptable y
acordado.
Este grupo de trabajo a menudo se denomina comité directivo o Foro de Seguridad. El grupo de
trabajo debe estar compuesto por una muestra representativa de personas de la empresa que
sean partes interesadas en exigir un buen aseguramiento o que tengan responsabilidades para
garantizar que se establezcan los arreglos de aseguramiento apropiados.
La membresía debe incluir uno o más gerentes de línea de negocios (LOB) o jefes de
departamento para garantizar que los arreglos de aseguramiento cumplan con sus demandas
comerciales u organizacionales. También debe incluir al Gerente de Seguridad de la Información y
representantes de partes interesadas tales como auditoría interna, personal (RH), seguridad física
y el jefe de Tecnología de la Información.
El grupo debe reunirse regularmente para garantizar que la protección de la información de la
organización se gestione de manera efectiva y que se implementen controles para reducir el riesgo
a un nivel aceptable. Esto incluiría:
• garantizar que la garantía se incluya en la planificación general de la empresa
actividades;
• aprobar y priorizar las actividades de mejora del aseguramiento; • revisar el
desempeño del aseguramiento y los cambios en las amenazas para evaluar si el perfil de riesgo
de la empresa se ha alterado; • aprobar políticas, normas y
procedimientos relacionados con Informa
Garantía de ción;
• actuando como evangelistas para la seguridad dentro de la organización por énfasis
destacando su importancia para los colegas.
El director normalmente delegará la autoridad para el desarrollo de iniciativas y responsabilidades
de aseguramiento de la información en personas dentro del grupo de trabajo o en otros miembros
de la organización. Sin embargo, el director será el último responsable de los logros o fracasos. El
41
El grupo de trabajo es la piedra angular de la estructura de gobierno de la información que
se tratará más adelante en este capítulo.
Responsabilidades en toda la organización
Lograr un buen aseguramiento de la información requiere trabajo en equipo y una amplia
variedad de habilidades que van desde gerenciales hasta técnicas y administrativas. Es
poco probable que una sola persona tenga todas las habilidades requeridas o incluso el
tiempo para realizar todo lo que se requiere; por lo tanto, los roles deben delegarse en los
equipos apropiados o en personas específicas con las habilidades necesarias. Por ejemplo,
los conjuntos de habilidades necesarios para mantener los sistemas antivirus de una
empresa son diferentes de los necesarios para administrar las identificaciones de usuario.
Todos los involucrados deben tener una comprensión adecuada de las responsabilidades
y recibir instrucciones claras y apoyo de la alta gerencia para lograr lo que se requiere de
ellos. En muchos casos, las personas pueden estar trabajando juntas como un "equipo
virtual" que abarca áreas de responsabilidad de gestión separadas. Para muchas personas,
sus responsabilidades de aseguramiento de la información formarán solo una parte de su
función general. Por lo tanto, sus actividades requieren la coordinación y el seguimiento
de una función central de aseguramiento de la información para garantizar que tengan éxito.
Por lo tanto, es esencial que todas las personas tengan responsabilidades claramente
definidas y que entiendan su papel en la ejecución de la función general de aseguramiento
de la información dentro de la empresa.
Sus descripciones de trabajo o términos de referencia deben incluir:
• el alcance de sus responsabilidades y su nivel de autoridad; • los procesos
que deben seguir para llevar a cabo estas responsabilidades
idades;
• el procedimiento que deben llevar a cabo para informar y tratar cualquier brecha de
seguridad que descubran;
• comprensión de las restricciones de confidencialidad/no divulgación; •
requisitos para la presentación de informes
periódicos; • qué debe ocurrir si abandonan la organización; • qué
sucederá si incumplen los términos y condiciones acordados.
Estas responsabilidades deben reflejar la política de Aseguramiento de la Información de la
empresa y la legislación vigente. Deben revisarse regularmente para garantizar que se
mantengan actualizados y sean relevantes y se complementen con orientación adicional
según sea necesario. Cuando la función de aseguramiento de la información no constituya
una función de tiempo completo, es importante que los encargados de realizar actividades
de aseguramiento reciban un mandato claro de la alta dirección para hacerlo y que el
trabajo se incluya como parte formal de sus objetivos. Estas personas deben tener las
habilidades y herramientas suficientes para poder llevar a cabo estas tareas y pueden
necesitar capacitación y apoyo para adquirir los conocimientos necesarios y apreciar
completamente la naturaleza crítica de proteger la información.
activos.
Muchas empresas tienen coordinadores de seguridad locales que son los "ojos y oídos"
a nivel local para garantizar que se sigan las políticas de seguridad y para
42
identificar cualquier vulnerabilidad o brecha de seguridad. Pueden ofrecer retroalimentación
al gerente de seguridad de la información sobre si los procesos y controles de aseguramiento
existentes son efectivos, identificar posibles riesgos y ayudar a proponer nuevos controles
de aseguramiento. El alcance de los coordinadores locales variará según los requisitos de
la empresa. En una gran operación global, puede ser apropiado tener coordinadores
regionales o de país, o puede ser más relevante tener una persona responsable de una
unidad de negocios o ubicación de la oficina.
En las empresas más pequeñas, puede ser mejor nominar a personas que tengan la
responsabilidad de un departamento específico o una función empresarial.
Cualquiera que tenga acceso a los activos de información de la organización tendrá un
nivel de responsabilidad personal por su aseguramiento y es importante que estos sean
conocidos y entendidos. Las responsabilidades de los usuarios deben establecerse
claramente en una política aceptable de uso de la información y deben reforzarse con
educación para que puedan ayudar a proteger contra el riesgo. La guía sobre políticas de
uso aceptable se describe en la siguiente sección y la concientización y capacitación del
usuario se describe con más detalle en el Capítulo 4. Las personas pueden tener
responsabilidades específicas para una aplicación o sistema en particular y, en este caso,
sus responsabilidades se expresan mejor en los procedimientos operativos del sistema. .
Las responsabilidades de garantía de terceros deben incluirse en los términos y condiciones contractua
Cualquier activo de información dentro de una organización debe asociarse con un
propietario de esa información (es decir, jefe de departamento, gerente comercial o
propietario del proceso) que comprenda su importancia para la empresa y el impacto
negativo resultante si se compromete su confidencialidad, integridad o disponibilidad. Esto
ayudará a garantizar que se establezcan controles y procedimientos adecuados.
Requisitos legales, reglamentarios y de asesoramiento Los
factores externos pueden influir en la forma en que se debe gestionar el aseguramiento de
la información de una empresa y estos requisitos deben entenderse para que se puedan
adoptar los controles de aseguramiento apropiados para permitir que la empresa cumpla
con sus responsabilidades. Estos requisitos pueden surgir de una variedad de
organizaciones, como la policía, las empresas de servicios públicos, el gobierno, los
organismos reguladores del comercio o los proveedores de telecomunicaciones. Pueden ser
estatutarias, reglamentarias o consultivas.
Los requisitos legales son requisitos legales que deben cumplirse. Por ejemplo, se debe
contactar a las agencias de aplicación de la ley en caso de que se infrinjan ciertas leyes o
se sospeche que se han infringido. La descarga de pornografía infantil sería un caso así.
El cumplimiento de estos requisitos puede influir en cómo se organizan los procedimientos
de notificación de incidentes de una empresa.
Por ejemplo, cómo, cuándo y quién debe contactar a las autoridades. La legislación de
privacidad, como la Ley de protección de datos, influirá en cómo se almacena y gestiona la
información dentro de la empresa y cómo se implementan los recursos para garantizar que
la empresa cumpla con esta legislación.
Los requisitos regulatorios a menudo son impuestos por organismos comerciales y estos
especifican cómo debe operar una empresa para cumplir con ciertos estándares.
43
Aunque no son obligaciones legales, los organismos reguladores tienen amplios poderes
y el incumplimiento podría dar lugar a posibles multas o, en casos extremos, a la exclusión
del comercio en un entorno particular. El sector financiero es un buen ejemplo de ello ya
que mantiene estrictos controles para prevenir malas prácticas financieras como el fraude
o el blanqueo de capitales. Organismos oficiales como la Agencia de Servicios Financieros
(FSA) dentro del Reino Unido tienen poderes de gran alcance.
Otro ejemplo de una autoridad reguladora es la agencia gubernamental de salud y
seguridad en el lugar de trabajo. Algunos de estos requisitos reglamentarios respaldan o
complementan los requisitos legales en ciertas operaciones comerciales.
Los requisitos de asesoramiento pueden surgir de agencias gubernamentales o
empresas de servicios públicos y brindar asesoramiento sobre qué arreglos deben
implementarse para ayudar a hacer frente a casos como incendios, desastres naturales y
actos de terrorismo. Estos requisitos no son legalmente vinculantes y generalmente se
emiten para ayudar a fomentar las mejores prácticas.
Mantener relaciones con organismos externos relevantes es beneficioso para una
organización, ya que ayuda a la empresa a apreciar mejor los requisitos que se les
imponen y obtener una advertencia previa de cualquier cambio. Al comprender los
requisitos de los servicios de emergencia, las empresas de servicios públicos y las
agencias gubernamentales, las empresas pueden diseñar de manera más efectiva sus
planes de contingencia y los procesos y procedimientos de gestión de incidentes.
Prestación de asesoramiento y experiencia especializados en seguridad de la información
Aquellos involucrados en la función de seguridad deben brindar asesoramiento
especializado en información de seguridad y experiencia a la empresa. Se debe mantener
un alto grado de conocimiento actual sobre asuntos de aseguramiento de la información
en temas como el conocimiento de las tendencias de la industria, los cambios en las
amenazas organizacionales, las nuevas medidas de control, el análisis de riesgos, la
legislación y los requisitos de cumplimiento y los últimos desarrollos tecnológicos. No es
necesario tener todas las respuestas, pero es esencial saber dónde encontrar esta
información o tener acceso a alguien con este conocimiento especializado cuando sea
necesario.
Una forma de lograr este objetivo es mantenerse en contacto regular con grupos de
interés especiales o mediante la creación de redes con colegas de aseguramiento de la
información en otras empresas a través de asociaciones profesionales o foros de
seguridad. La información sobre nuevas tecnologías, productos, amenazas y
vulnerabilidades o cómo abordar problemas de aseguramiento particulares se puede
compartir entre sí y, a menudo, un enfoque colaborativo es útil para comprender y abordar
estos problemas antes de aplicarlos a situaciones relevantes. Los tableros de anuncios,
los sitios web y los grupos de noticias también pueden brindar advertencias tempranas
sobre posibles alertas, ataques y vulnerabilidades, y es importante identificar cuáles
pueden estar relacionados con la empresa.
Se necesita una cierta cantidad de autoeducación continua para mantener este nivel de
competencia y adquirir conocimientos y comprensión. Los cursos de formación están
disponibles para desarrollar este conocimiento con cursos que van desde específicos
44
desde temas de aseguramiento de la información hasta capacitación que cubre un enfoque
más amplio, como la gestión de la seguridad. También hay una serie de acreditaciones
profesionales que se pueden obtener para desarrollar su conocimiento. También se
recomienda leer las publicaciones especializadas en aseguramiento de la información y
las más amplias de la industria de TI para comprender los problemas comerciales que
preocupan a nuestros colegas.
Crear una cultura de buenas prácticas de seguridad de la información
El aseguramiento de la información necesita la cooperación y colaboración de todos los
que tienen acceso a la información de la empresa. Involucrar a todos en el proceso de
aseguramiento ayudará a desarrollar una cultura de buenas prácticas de seguridad de la
información.
Como se mencionó anteriormente, es importante que la alta dirección de la empresa
tome en serio el aseguramiento de la información y que brinde patrocinio y apoyo a las
iniciativas de aseguramiento. Si es así, entonces su apoyo y compromiso caerán en
cascada a través de la organización. Los gerentes de línea asumirán proactivamente la
responsabilidad de adoptar medidas de aseguramiento de la información dentro de sus
equipos y, de la misma manera, los usuarios finales sabrán que deben tomar sus
responsabilidades con seriedad. El refuerzo positivo del buen comportamiento de
aseguramiento por parte de la función y la administración de Aseguramiento de la
información ayuda a cimentar el buen comportamiento y algunas organizaciones incluso
incluyen comentarios sobre el comportamiento de aseguramiento en sus revisiones de desempeño.
Un factor clave para el éxito es asegurar que todos los que accedan a la información
de la empresa sepan lo que se espera de ellos. Tener roles y responsabilidades de
aseguramiento claramente definidos, políticas y estándares y procedimientos de seguridad
actualizados eliminará cualquier ambigüedad. Deben estar claramente comunicados y ser
fácilmente accesibles. Por ejemplo, las responsabilidades de aseguramiento deben
incluirse en las descripciones de trabajo de los empleados y, para terceros, deben formar
parte de las condiciones de su contrato. Todos los usuarios deben comprender claramente
lo que sucederá si no siguen las políticas de Garantía de la información y que la alta
gerencia estará involucrada en caso de incumplimiento de las reglas. El desarrollo de
políticas se trata en la siguiente sección.
La educación también es un componente vital en la creación de una cultura de buenas
prácticas de aseguramiento de la información. Si todos entienden el valor de los activos
de información de la empresa y cómo se pueden poner en riesgo, es mucho más probable
que se den cuenta de por qué existen estos procesos y procedimientos. Las campañas
regulares de concientización iniciadas a través del gerente de Seguridad de la Información
pueden ayudar a reforzar este mensaje.
Actividad 3.1 La
señorita Peacock acaba de regresar de una conferencia y se dio cuenta de que la
empresa no tiene una función formal de aseguramiento de la información.
Ella le ha pedido que elabore una propuesta de alto nivel sobre lo que debería
implementarse.
45
POLÍTICA, NORMAS Y PROCEDIMIENTOS
Las organizaciones requieren que tanto su personal como terceros usen, manipulen e
interpreten la información y necesitan su cooperación para garantizar que se acceda a sus
activos de información de manera segura y responsable. Todos los usuarios necesitan
saber qué espera la empresa de ellos con respecto a esto. Las políticas, normas,
procedimientos y directrices brindan esta orientación.
La intención de esta sección es proporcionar al lector los conocimientos básicos necesarios
para desarrollar, redactar y obtener el compromiso del usuario con respecto a las políticas,
normas, procedimientos operativos y directrices de aseguramiento. Después del estudio en
esta área, el lector debe ser capaz de explicar y justificar no solo los conceptos principales,
sino también redactar documentos para cumplir con los requisitos generales a continuación.
áreas
Desarrollar políticas, estándares, procedimientos y lineamientos internamente y con terceros
A menudo hay confusión en cuanto a la definición de políticas, normas, procedimientos y
directrices, por lo que esto debe aclararse en primer lugar. Una política es una declaración
de alto nivel de los valores, metas y objetivos de una organización en un área específica, y
el enfoque general para alcanzarlos. Si bien deben revisarse con regularidad, las políticas
deben mantenerse vigentes durante algún tiempo, ya que no pretenden brindar una guía
detallada o específica sobre cómo lograr estos objetivos. Por ejemplo, una política podría
decir que cada usuario es responsable de crear y mantener sus contraseñas del sistema,
aunque no dice exactamente cómo hacerlo. Las pólizas son obligatorias.
Un estándar es más prescriptivo que una política. Cuantifica lo
que hay que hacer y proporciona coherencia en los controles que se
pueden medir. Por ejemplo, las contraseñas deben contener un
mínimo de 8 caracteres, ser una combinación de números y letras y
cambiarse cada 30 días. Las normas y políticas son obligatorias.
Deben apoyar la política y establecer lo que 'debe' hacerse y cómo
debe lograrse.
Los estándares pueden ser generales (p. ej., manejo de información
confidencial) o técnicos (p. ej., encriptación de datos), pero siempre
deben relacionarse con un tema específico.
Un procedimiento es un conjunto de instrucciones de trabajo detalladas y describirá qué,
cuándo, cómo y quién debe hacer algo. Una vez más, son obligatorios y deben respaldar
las políticas y normas de la empresa.
Las pautas no son obligatorias, pero pueden brindar asesoramiento, dirección y mejores
prácticas en casos en los que a menudo es difícil regular cómo se debe hacer algo (p. ej.,
prácticas de trabajo cuando se está fuera de la oficina).
46
Ya sea que se trate de políticas, normas, procedimientos o directrices, estos documentos
siempre deben ser precisos y estar claramente escritos. El lenguaje debe ser conciso, sin
ambigüedades y lo más libre posible de jerga compleja y acrónimos. Las declaraciones
deben contener reglas de "no hacer" positivas en lugar de negativas, ya que tienden a
hacer que los usuarios respondan menos. Un documento debe abordar un área temática
clara y bien definida dentro de su alcance para que el público objetivo sepa que es
relevante para ellos (por ejemplo, esta política se aplica a todos los empleados de GANT
en el Reino Unido).
Las políticas y los estándares, procedimientos y directrices correspondientes deben
estar respaldados por la alta dirección y tener una propiedad clara (es decir, Jefe de
Recursos Humanos, Gerente departamental, etc.). Además de la alta dirección, también
deben contar con el apoyo de las principales partes interesadas y, en especial, de las
personas encargadas de hacerlas cumplir. Por ejemplo, si una persona debe ser
sancionada por el incumplimiento de una política, Recursos Humanos deberá respaldar la
política para llevar a cabo cualquier acción disciplinaria en relación con ella. Para tener
credibilidad, las políticas deben ser respaldadas por todas las partes interesadas, como las
partes interesadas y las comunidades de usuarios.
Las políticas, normas y procedimientos deben ser realistas y aplicables. Puede ser una
gran aspiración esperar que las personas lleven consigo sus computadoras portátiles en
todo momento, pero es mucho más realista afirmar que no deben dejarse desatendidas en
un lugar público. Del mismo modo, si se estipula un control técnico (por ejemplo, el cifrado
de todos los datos en las computadoras portátiles), se debe anticipar si esto es realmente
factible. Puede haber casos en los que no sea posible cumplir con la política y también se
debe considerar la posibilidad de permitir excepciones a la política en forma de dispensas
especiales.
Para ser ejecutables, las políticas deben ser consistentes con otras políticas corporativas
y cumplir con la ley. Todos los usuarios necesitan saber qué sucederá si no cumplen.
Deben revisarse periódicamente para garantizar que se mantengan actualizados, relevantes
y efectivos. Esto se tratará con más detalle más adelante en Gobernanza de aseguramiento
de la información.
La forma en que se estructuran las políticas, normas, procedimientos y directrices
dependerá en gran medida de la organización. Independientemente, cada organización
debe tener una política de aseguramiento (de alto nivel) que establezca el compromiso de
la organización con el aseguramiento de la información y lo que espera que se haga para
proteger sus activos de información. Una política de seguridad es una declaración
estratégica del enfoque de aseguramiento de la organización y establece la postura
organizacional formal sobre asuntos de aseguramiento para que todos la vean. Esta
política de seguridad debe contener declaraciones sobre:
• cómo la empresa gestionará la seguridad de la información; • la
protección de los activos de información de acuerdo con sus condiciones críticas
idad;
• el cumplimiento de las obligaciones legales y reglamentarias;
47
• los medios por los cuales los usuarios serán conscientes de los problemas de
aseguramiento de la información y el proceso para tratar las infracciones a la política
y las debilidades de aseguramiento sospechosas;
• el hecho de que esta política cuenta con el apoyo de la Junta y el Director Ejecutivo
utivo
Se puede encontrar una guía más detallada sobre qué incluir en una política de seguridad en
estándares reconocidos como la serie ISO/IEC 27000 y el estándar de buenas prácticas del
Foro Internacional de Seguridad (ISF). La política de seguridad de alto nivel debe ser firmada
por el director responsable de Aseguramiento de la Información. Luego, la política debe
emitirse o ponerse a disposición de todas las personas con acceso a la información y los
sistemas de la organización, tanto internos como externos, en un formato que sea fácilmente
comprensible y accesible para el
usuario.
Los terceros a menudo requieren acceso a los activos de información de una empresa en
términos de procesamiento de información, ofreciendo soporte, brindando servicios o
instalaciones de procesamiento. Es importante asegurarse de que no haya malentendidos
entre la empresa y el tercero sobre qué controles se implementarán para proteger los activos
de información de la empresa. Las políticas, estándares y procedimientos deben extenderse
a terceros cuando sea relevante, y es posible que sea necesario redactar políticas específicas
para cubrir los acuerdos con terceros.
Estos deben incluirse dentro de los términos de un contrato. El acceso no debe
se entregará a una entidad externa hasta que la empresa pueda estar segura de que se han
implementado los controles apropiados y que el tercero ha confirmado formalmente que
comprende sus obligaciones y acepta su responsabilidad de cumplir.
Dado que las relaciones con terceros pueden ser bastante diversas, los términos asociados
con las políticas, normas y procedimientos pueden variar según el tipo y la naturaleza de la
relación. Los acuerdos con terceros deben incluir la política de aseguramiento de la empresa.
Una vez más, la serie ISO/IEC 27000 y el Estándar de Buenas Prácticas de la ISF contienen
orientación sobre el tipo de controles que deben considerarse para su inclusión en acuerdos
con terceros, pero por lo general deben incluir los siguientes arreglos:
• gestión de cambios en la aplicación/instalación/servicio/recurso; • el derecho a auditar y
monitorear los arreglos de aseguramiento dentro del
tercero;
• notificación e investigación de incidentes de aseguramiento y seguridad
infracciones;
• contratación de personal.
Se debe tener cuidado para garantizar que la información confidencial no se divulgue a
o por terceros, y las políticas deben reflejar las demandas de confidencialidad y no divulgación
de la información por parte del tercero. El tercero puede, en el proceso de prestación del
servicio, utilizar otros subcontratistas o proveedores de servicios (esto puede controlarse en el
contrato). Por lo tanto, es importante
48
asegurarse de que se les apliquen también todas las políticas, normas, procedimientos y
directrices.
Equilibrio entre controles físicos, procedimentales y técnicos
Los controles físicos, de procedimiento y técnicos pueden proporcionar mecanismos de
seguridad muy efectivos y hacer mucho para reducir la probabilidad de que ocurran incidentes.
Sin embargo, cada uno tiene sus limitaciones y hay ocasiones en las que su uso no es el
adecuado. Posiblemente, su implementación sería demasiado compleja o costosa dado el
valor percibido de la información y el riesgo asociado. Por ejemplo, una aplicación de
seguridad de 1 millón de libras esterlinas para proteger un activo de información de 10 000
libras esterlinas no tiene mucho sentido financiero. En otros casos, un control físico o técnico
puede ser tan intrusivo que impida a los usuarios realizar su trabajo de manera eficiente. En
muchos casos, es posible que no haya controles físicos o técnicos razonables que se puedan
implementar para evitar que ocurra una violación de seguridad en particular o que los controles
de seguridad existentes puedan ser eludidos por el usuario de alguna manera.
Los usuarios necesitan acceder a los Sistemas de Información para poder realizar sus
tareas y esto inevitablemente introduce un nivel de riesgo a la información. Es posible que
deban compartir estos datos con colegas o proveedores externos y hacer juicios de valor
sobre si se les debe entregar. Reducir este tipo de riesgo es difícil de lograr solo mediante
controles técnicos. Los controles técnicos introducidos por un sistema de seguridad
documental, por ejemplo, pueden proporcionar un buen nivel de seguridad. Sin embargo,
siempre habrá excepciones y estas deben manejarse de manera coherente mediante la
implementación de una política y un proceso. Esto podría implicar simplemente informar a un
colega senior sobre el problema y el curso de acción propuesto para abordar el problema a
corto plazo.
Se pueden utilizar políticas y procedimientos formales para que los usuarios sean
conscientes de sus responsabilidades y los riesgos relacionados con los datos a los que tienen acceso.
Las políticas pueden empoderar a las personas para que tomen decisiones sobre si otros
deben acceder a estos datos. Esto puede ser una medida de control eficaz, pero es obvio
depende en forma voluntaria de que los usuarios cumplan con estas políticas y los estándares
y procedimientos asociados.
Ocasionalmente, debido a presiones de tiempo, o tal vez por conveniencia, las reglas de la
política pueden ser eludidas o ignoradas. La ignorancia o la falta de comprensión adecuada
de la política impedirá el cumplimiento y, en estos casos, los usuarios no comprenderán los
riesgos para sus activos de información y es muy poco probable que sean plenamente
conscientes de las amenazas para ellos. Las políticas y los procedimientos se basan en que
las personas sepan que la política existe y entiendan lo que la política espera de ellos, además
de obtener su acuerdo para cumplirla.
Así que los controles de política tienen limitaciones.
Debe haber un equilibrio sensato entre el uso de controles físicos, de procedimiento y
técnicos para gestionar los riesgos asociados con los activos de información. Los tres
elementos deben usarse para complementarse entre sí en un enfoque por niveles para
gestionar el riesgo a un nivel aceptable.
49
Código de práctica del usuario final
El desarrollo de una política de seguridad de alto nivel debe estar respaldado por un código de
práctica para el usuario final o una política de uso aceptable que proporcione una forma
fácilmente accesible de comunicar los requisitos a los usuarios finales. Una política de uso
aceptable demuestra el compromiso de la organización con la Garantía de la Información y
debe ser aprobada por el director responsable de la Garantía de la Información. Debe
publicarse para todos los usuarios que necesitan acceder a los sistemas de gestión de la
información de la organización e incluir a todos los empleados (permanentes y temporales, a
tiempo completo y parcial), contratistas y terceros.
La política de uso aceptable debe detallar lo que se espera de los usuarios para proteger los
activos de información de la organización. Los elementos que se pueden incluir en esta política
son: • garantizar
que las contraseñas y los PIN de los usuarios estén protegidos adecuadamente y no se
vean comprometidos ni se cambien en intervalos definidos; • garantizar
que los usuarios solo accedan a información, instalaciones o equipos
para lo cual cuenten con la preceptiva autorización; •
desconectarse de los sistemas al dejar una estación de trabajo desatendida; • guardar
bajo llave la documentación y los medios confidenciales cuando no estén en uso (como
parte de una política de escritorio despejado);
• garantizar que se notifiquen todos los incidentes de seguridad.
Una política de uso aceptable también puede incluir declaraciones generales sobre el
comportamiento en el lugar de trabajo, por ejemplo, hacer que sea inaceptable hacer
declaraciones sexuales, racistas, obscenas, discriminatorias, acosadoras u otras declaraciones
ofensivas, independientemente del método utilizado para transmitir dichas declaraciones
(correo electrónico, teléfono, texto, papel o palabra hablada). Todas las condiciones de empleo
para empleados permanentes o contratados deben contener una declaración de que el
cumplimiento de las políticas de Garantía de la información de la empresa es obligatorio. Para
evitar la responsabilidad subsidiaria, la política también debe incluir declaraciones que
especifiquen que los usuarios deben cumplir con todos los requisitos legales y reglamentarios
correspondientes impuestos a la organización.
Consecuencias de la violación de la política
Cualquiera que acceda a los activos de información de la empresa necesita saber cuáles son
las consecuencias de una violación de la política y esto debe establecerse claramente en la
política, el estándar o el procedimiento. Deben establecerse procesos apropiados para
denunciar y tratar las infracciones de modo que se traten de manera coherente. Estos procesos
deben documentarse y acordarse con las partes interesadas relevantes cuando se producen
los documentos.
La violación de una política puede, en casos graves, dar lugar a la instigación de un proceso
disciplinario del empleado, la rescisión del contrato del proveedor o la necesidad de denunciar
el comportamiento a la agencia de aplicación de la ley correspondiente. Por lo tanto, las reglas
y los procesos deben entenderse, acordarse y aplicarse dentro de la organización antes de que
sea necesario abordar las infracciones. Naturalmente, es fundamental involucrar a los
departamentos de RRHH y jurídico en el desarrollo de
50
dichas políticas para garantizar que el curso de acción propuesto cumpla plenamente con
toda la legislación laboral, así como con otras leyes nacionales pertinentes.
Sin embargo, es una pérdida de tiempo tener una política implementada a menos que la
organización esté preparada para hacerla cumplir. La alta gerencia y aquellos que tienen que
hacer cumplir las reglas deben respaldar los procesos para hacer frente a cualquier infracción.
Si las infracciones no se han tratado de manera adecuada, o si la gerencia de línea las ha
ignorado, esto también debe considerarse una infracción de la política y debe tratarse con
seriedad.
Actividad 3.2 Miss
Peacock le ha pedido que prepare un código de prácticas para usuarios finales de
GANT. Identifique las áreas principales que incluiría en la política.
GOBERNANZA DE LA SEGURIDAD DE LA INFORMACIÓN
Existe una cantidad cada vez mayor de leyes y reglamentos que exigen que la alta gerencia
garantice que se implementen los controles adecuados para proteger los activos de
información de la empresa. Para cumplir con estas obligaciones, la alta gerencia necesita
comprender el estado actual de los controles de aseguramiento existentes, dónde dichos
controles son inadecuados y cómo está cambiando el perfil de riesgo de la organización.
Entonces se puede hacer el esfuerzo necesario para mejorar los mecanismos de seguridad y
gestionar el riesgo de manera efectiva. Esta sección cubre los principios de los procesos de
gobierno que deben implementarse para permitir que esto suceda y para proporcionar a la
alta dirección información sólida y actualizada sobre el estado de aseguramiento dentro de la
empresa.
La intención de esta sección es proporcionar al lector los conocimientos básicos necesarios
para comprender los principios del gobierno de aseguramiento de la información.
Una vez completado, el lector debe poder explicar y justificar no solo los conceptos principales,
sino también establecer procedimientos y redactar documentos para cumplir con los requisitos
generales en las siguientes áreas.
Revisión, evaluación y revisión de la política de seguridad
La producción de políticas, estándares, procedimientos y lineamientos ya se trató en la
sección anterior, pero para garantizar que permanezcan actualizados, relevantes y efectivos,
deben revisarse periódicamente. Las revisiones deben realizarse después de cualquier
cambio significativo en los sistemas o recursos o como parte de un programa de revisión
regular (p. ej., anualmente).
Debe establecerse un proceso de revisión de la gestión para garantizar que las revisiones
de políticas se lleven a cabo de manera organizada y oportuna. El calendario de revisión
51
debe identificar a todas las personas que participarán y mantener un registro formal de
cualquier revisión realizada, con una explicación de por qué se incorporó o eliminó
contenido. Luego, la alta gerencia debe aprobar la versión final de cualquier
documentación modificada.
La revisión debe involucrar a todas las principales partes interesadas, incluidas las
partes externas y, cuando corresponda, las autoridades reguladoras. La revisión debe
centrarse en los factores que podrían influir o desencadenar posibles modificaciones, como
como:
• cambios en tecnología, procesos, organización, disponibilidad de recursos
o prácticas de trabajo; •
cambios en los requisitos contractuales, reglamentarios o legales; •
cambios en amenazas y vulnerabilidades; •
resultados, acciones y recomendaciones de cualquier revisión de aseguramiento o
auditorías;
• hallazgos y recomendaciones de incidentes o infracciones de aseguramiento
anteriores, o cuando haya evidencia de incumplimiento de la política.
Una vez que se haya completado la revisión, la política revisada debe comunicarse de
manera efectiva a los usuarios relevantes, tanto internos como externos a la
organización. Este proceso también debe utilizarse para el mantenimiento de todos los
demás documentos de garantía, como normas, procedimientos y directrices de
seguridad.
Auditorías y revisiones de
seguridad Las auditorías y revisiones brindan una buena oportunidad para comprender
qué tan bien funcionan las cosas dentro de la empresa y brindan a la alta gerencia
información valiosa sobre la seguridad de su entorno. Se deben realizar auditorías y
revisiones de aseguramiento independientes periódicas en toda la empresa para
garantizar que sus sistemas de información cumplan con las políticas, estándares y
controles de seguridad existentes. Se pueden verificar las posibles vulnerabilidades de
estos sistemas y se puede probar la efectividad de los controles existentes. Las
auditorías y revisiones deben llevarse a cabo periódicamente o cuando se produzca un
cambio significativo (por ejemplo, una actualización del sistema).
Para introducir una medida de imparcialidad en la revisión, debe ser realizada por
una parte independiente, que también aportará una mirada fresca.
Idealmente, un miembro de un equipo de auditoría o un gerente que no tenga conflicto
de intereses en su resultado podría hacer esto. Alternativamente, las revisiones pueden
ser realizadas por un tercero, como un auditor externo o una empresa consultora.
En el caso de las revisiones técnicas, suele ser beneficioso contratar a una empresa
con conocimientos especializados en áreas como las pruebas de penetración. Pueden
traer consigo su experiencia de haber auditado escenarios similares basados en
aseguramiento en otras organizaciones. Los revisores deben tener suficiente
experiencia, por lo que es prudente verificar sus habilidades antes de comenzar. Las
pruebas técnicas sólo deben ser realizadas por técnicos reconocidos y aprobados y
52
ingenieros Cualquier organización que proporcione evaluadores también debe poder
verificar que los currículos y antecedentes de las personas hayan sido verificados para
garantizar que tengan un nivel adecuado de integridad personal. La información sobre
las pruebas técnicas y la evaluación se cubre con más detalle en el Capítulo 4.
La alta dirección debe introducir un programa de auditorías y revisiones de
aseguramiento de la información. El alcance de cada revisión individual y sus entregables
deben ser acordados por la alta gerencia y el propietario del área (es decir, jefe de
departamento, gerente de línea, etc.). Se debe completar un ejercicio de alcance antes
de que comience la auditoría o revisión y se debe desarrollar una lista de verificación
para medir la eficacia de los controles de aseguramiento. Los resultados deben mostrar
si los controles definidos (por ejemplo, de política, estándar, de procedimiento o técnicos)
se han implementado correctamente y son lo suficientemente efectivos para reducir el
riesgo a un nivel aceptable.
Los derechos de acceso a los sistemas o activos de información para aquellos que
realizan la auditoría o revisión deben restringirse solo a lo que es necesario en función
de la necesidad de saber. Estos deben ser monitoreados y registrados para crear un
rastro de referencia de sus actividades. Siempre que sea posible, los auditores y
revisores deben tener acceso de solo lectura a copias aisladas del sistema. Las
herramientas de auditoría deben restringirse para evitar cualquier posible uso indebido
o compromiso de los datos. Se deben considerar las implicaciones legales de
proporcionar a terceros el acceso a información sensible, así como la disposición de
cualquier información, informes y guiones que resulten de las auditorías o pruebas. Se
deben establecer acuerdos de confidencialidad (NDA, por sus siglas en inglés) si la información que
Las auditorías y revisiones deben planificarse con suficiente antelación para minimizar
el riesgo de interrupción del funcionamiento normal de la empresa. Algunas auditorías,
como las pruebas de penetración, pueden producir alguna actividad inesperada en un
sistema informático o en una red. Se deben seguir los procesos de gestión de cambios
para garantizar que todas las partes que podrían verse afectadas conozcan las
actividades planificadas y el cambio potencial en los niveles de actividad.
Los resultados de la auditoría o revisión deben registrarse en un informe formal y ser
presentados por el revisor a la alta gerencia y al gerente cuya área ha sido revisada. Se
debe acordar con ellos un plan de acción correctiva, que incluya escalas de tiempo para
la implementación. El plan debe ser monitoreado regularmente para asegurar que las
acciones estén progresando. Cualquier riesgo identificado durante una auditoría o
revisión siempre debe agregarse a un registro de riesgos de información, mantenido
centralmente por la organización. Toda la documentación producida debe archivarse de
forma segura para poder consultarla al planificar el siguiente ciclo de auditorías y
revisiones.
Comprueba el cumplimiento de la política de seguridad
Se deben realizar controles periódicos para medir el cumplimiento de las políticas,
normas y procedimientos de seguridad. La realización de controles de cumplimiento
ayuda a identificar si los controles siguen siendo adecuados y pertinentes. Las
verificaciones de cumplimiento también ayudan a medir el nivel de comprensión y
conciencia del usuario sobre sus responsabilidades de aseguramiento y si se están tomando o no.
53
en serio. Si no se llevan a cabo controles regulares, con el tiempo puede haber una
tendencia a que los usuarios muestren menos consideración por ellos. La seguridad se
debilita a medida que los usuarios se dan cuenta de que no se lleva a cabo un seguimiento
y de que no es probable que se les cuestione.
Si se ha identificado un caso de incumplimiento, entonces es necesario
descubrir por qué sucedió. Esto podría deberse a la falta de capacitación,
malentendidos o tal vez a un simple incumplimiento de los procedimientos.
Puede haber resultado de un cambio en los procesos de negocio que no ha
sido reconocido en la documentación de aseguramiento. El verificador de
cumplimiento debe decidir qué acción se debe tomar y si es necesario
implementar medidas para evitar que ocurran más. La acción tomada debe
reflejar la escala de la no conformidad; los incidentes menores, como un caso
aislado en el que no se ha seguido un procedimiento, pueden tratarse de
manera informal, pero cualquier incumplimiento importante, como el uso
compartido generalizado de contraseñas, debe abordarse de manera más
formal. Si se recomienda una acción correctiva, las revisiones posteriores
deben identificar que se ha implementado.
Los resultados de las verificaciones de cumplimiento deben registrarse y los casos graves
de incumplimiento deben informarse a la alta dirección. Los resultados de los controles se
pueden incorporar a revisiones de políticas posteriores. También se deben realizar revisiones
de cumplimiento para garantizar que la empresa esté utilizando licencias, por ejemplo, para
software, de acuerdo con los términos establecidos en el acuerdo de compra.
Informes sobre el estado de cumplimiento
La industria financiera tiene una larga historia de regulación y la mayoría de las bolsas de
valores tienen sus propios controles regulatorios para prevenir malas prácticas financieras,
pero los controles de gobernabilidad se han extendido gradualmente a otras esferas
operativas. Muchos países han elaborado sus propios códigos de ética, a menudo en
respuesta a grandes quiebras empresariales o en respuesta a la presión pública. La Ley
SarbanesOxley de 2002 se introdujo tras una serie de escándalos de contabilidad
financiera de alto perfil en los EE. UU. La legislación de gobernanza de la Unión Europea se
revisó en 2004 a través de la Ley de Empresas (Auditoría, Investigaciones y Empresas
Comunitarias), que en el momento de redactar este documento se está implementando en
todos los estados miembros y reemplazará la mayor parte de su legislación empresarial local.
El tipo de estrategia implementada por la empresa para cumplir con sus obligaciones de
cumplimiento de aseguramiento de la información dependerá del apetito por el riesgo de la
organización y los requisitos externos que se le impongan. La empresa necesita comprender
cuáles son sus obligaciones específicas para poder implementar los controles y mecanismos
de información necesarios. En algunas situaciones, se aplican requisitos de gobierno muy
específicos, pero en su mayoría le piden a la empresa que demuestre que se han
implementado buenos controles de seguridad de la información. En general, los reguladores
querrán asegurarse de que la alta dirección está comprometida con la protección de los
activos de información de la empresa, comprende el perfil de riesgo de la empresa y ha
implementado
54
controles para gestionar el riesgo a un nivel aceptable. Los reguladores también querrán
asegurarse de que los controles implementados funcionen de manera efectiva y que se aborden
las brechas identificadas.
La alta dirección y cualquier organismo regulador o de cumplimiento deben tener acceso a
información suficiente para poder demostrar el cumplimiento. Para hacer esto, los siguientes
tipos de información deben estar disponibles:
• evaluaciones de riesgo de alto nivel para la empresa y para sistemas y servicios críticos;
• un registro de riesgos que muestre cómo se gestionarán los riesgos identificados;
• un conjunto actualizado de políticas de seguridad con un proceso de revisión;
• un registro de eventuales dispensas de las pólizas de seguridad; • los
resultados de las revisiones de aseguramiento y pruebas de seguridad y revisiones de
cumplimiento; •
informes de cualquier incumplimiento o incidente de aseguramiento;
• planes para abordar las debilidades de cumplimiento.
La información relevante debe recopilarse, revisarse y presentarse en un formato que sea
aceptable para el regulador. Esta actividad puede consumir mucho tiempo, por lo que ayuda a
desarrollar un proceso repetible y eficiente para informar sobre problemas de cumplimiento y
reutilizar los controles para cada uno de los grupos reguladores.
Este proceso puede formar parte de una política de Garantía de la Información de la empresa.
Hay varios modelos (que comprenden una metodología, estructura y procesos) que una
empresa puede adoptar para proporcionar este nivel de información. Todos los modelos
tienden a basarse en los principios de implementación de un proceso de control formal para: •
comprender el riesgo; • identificar
los requisitos de control para
reducir el riesgo a un nivel aceptable; • implementar controles de seguridad efectivos; •
seguimiento de la eficacia de los controles; • reevaluación
periódica de los niveles de riesgo; • la eficacia de los
controles para permitir la mejora continua y
asegurar que se mantiene el nivel de riesgo.
Los modelos actuales incluyen ISO 27001, Arquitectura de Madurez de Operaciones de
Seguridad (SOMA) y el Comité de Organizaciones Patrocinadoras de la Comisión Treadway
(COSO) y todos ofrecen niveles de acreditación para permitir que la empresa demuestre su
competencia a otras organizaciones y organismos reguladores. El modelo ISO 27001
proporciona un enfoque para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar el aseguramiento dentro de una organización. El estándar utiliza un enfoque 'Planificar
HacerVerificarActuar' (PDCA) para proporcionar un ciclo de revisión y mejora continua del
aseguramiento.
SOMA, producido por el Instituto de Seguridad y Metodologías Abiertas, proporciona un
marco para medir la seguridad operativa y el proceso de gestión y está estructurado en niveles
de madurez que se pueden adaptar para trabajar en diferentes niveles de madurez de garantía
dentro de la empresa, además de ser
55
utilizado con otros estándares. COSO, producido por la Comisión Treadway,
proporciona un marco para evaluar la efectividad del aseguramiento al establecer
un conjunto de objetivos para el control del aseguramiento y medirlos.
Esto se usa a menudo para probar la efectividad de los controles contables.
Importancia de un gobierno efectivo de la Seguridad de la Información desde los más altos niveles de
gestión organizacional
Como se discutió al comienzo de este capítulo, una persona de alto nivel dentro de
la organización debe tener la responsabilidad general de proteger la garantía de los
activos de información de la organización y debe rendir cuentas formalmente para
garantizar que se implementen los controles de seguridad adecuados en todo el
negocio. Este director debe contar con el apoyo de un grupo de trabajo para
garantizar que se hayan implementado las medidas de aseguramiento adecuadas
para proteger a la organización a un nivel de riesgo aceptable. Involucrar a la alta
gerencia ayudará a respaldar el proceso de gobierno, asegurar que los recursos
adecuados estén disponibles, garantizar que los controles se implementen de
manera efectiva y que se aborden las brechas de seguridad identificadas.
Actividad 3.3
Después de la reciente pérdida de información, a la Srta. Peacock le preocupa
que necesita demostrar a los reguladores y auditores externos que existen
buenos controles de aseguramiento dentro de GANT. ¿Cómo le proporcionaría
pruebas para demostrar que la garantía se está gestionando de forma eficaz?
GESTIÓN DE INCIDENTES DE SEGURIDAD
No importa qué tan cuidadoso sea al realizar los negocios diarios de la organización,
e independientemente del alcance de los controles de seguridad implementados,
ocurren incidentes de seguridad. Estos no solo afectan la confidencialidad de los
activos, el impacto también puede relacionarse con su integridad o disponibilidad.
Es importante contar con planes para hacer frente a estas eventualidades antes de
que ocurran, porque es poco probable que intentar implementar soluciones después
sea efectivo.
La intención de esta sección es proporcionar al lector los conocimientos básicos
necesarios para gestionar incidentes de aseguramiento y planificar y realizar una
investigación forense. Una vez completado, el lector debe tener una comprensión
de lo siguiente.
56
Informe, registro y gestión de incidentes
Tener un plan de respuesta a incidentes que ha sido elaborado y probado de antemano es
como tener una buena póliza de seguro. Intentar conseguir uno después es demasiado tarde.
No piense que puede improvisar rápidamente algo después del evento, porque este es un
tema complejo y en el caos resultante no tendrá el lujo de tiempo para idear un buen plan.
La primera prioridad es asegurarse de que todas las personas dentro de la organización
sepan cómo reconocer un incidente y a quién deben informarlo. Esto se puede hacer de
varias maneras, incluida la capacitación de concientización, una sección en la intranet o portal
de una empresa y realizando ejercicios.
Normalmente hay cinco fases en la gestión de un incidente: (i) notificación; (ii)
investigación; (iii)
evaluación; (iv) acción
correctiva; (v)
revisión.
Para garantizar que se captura suficiente información, es una buena práctica tener a mano
un formulario estándar en el que registrar la información proporcionada por la persona que
realiza el informe inicial. Este formulario debe capturar: • quiénes son; • dónde
están: ubicación
geográfica y departamento; • datos de contacto: dirección, teléfono (de
escritorio y móvil), correo electrónico; • breve descripción del incidente; • si existe
algún peligro para la vida, la salud o los
bienes de la empresa; • otro impacto potencial en las operaciones comerciales;
• descripción de cualquier cosa que hayan hecho hasta la
fecha en respuesta; • tiempo notado por primera vez.
Desde el momento del primer reporte y hasta que se cierre el incidente, se debe mantener un
registro de información, decisiones tomadas y las consecuencias de cualquier acción. Estos
registros tendrán un valor incalculable más adelante, tanto para uso interno como para su
posible uso por parte de organismos externos, incluidos los encargados de hacer cumplir la ley.
Equipos de respuesta a incidentes y procedimientos
Se debe designar un Equipo de Respuesta a Incidentes (IRT) con anticipación y todos los
miembros de ese equipo deben estar adecuadamente informados y preparados. Los
miembros deben provenir de una sección transversal del negocio para garantizar que haya
suficiente amplitud de conocimientos para hacer frente con eficacia a la situación. Necesitan
ser senior y lo suficientemente experimentados para tener la autoridad para tomar decisiones
en el acto. También deben estar facultados para solicitar recursos adicionales, internos y
externos, según lo consideren adecuado para resolver el incidente.
Debe haber un proceso de escalado documentado para que el equipo llegue a los
miembros más importantes de la organización cuando sea necesario. Es recomendable
entregar a cada miembro del equipo un conjunto del plan de respuesta a incidentes.
57
documentación y asegurarse de que tienen un buscapersonas o un teléfono móvil para que
puedan ser contactados inmediatamente si se decide activar el plan.
Idealmente, una o más personas deberían ser designadas como tomadores de notas. Su
trabajo no es involucrarse directamente, sino observar y registrar todos los detalles del
incidente en un libro de registro para referencia posterior. Es un buen trabajo para alguien
que está aprendiendo sobre el aseguramiento de la información en general, porque puede
ver de primera mano lo que funciona (y lo que no).
Los procedimientos deben ser bastante amplios en su contenido, porque es difícil predecir
cuál será la naturaleza del próximo incidente. Se puede obtener una idea de los eventos
probables al observar el registro de riesgos y el resultado del proceso de planificación del
tratamiento de riesgos para identificar eventos de alta probabilidad y alto impacto. Sin
embargo, hay algunos eventos, como actividad terrorista o daños por tormentas anormales,
que no forman parte del perfil de amenaza normal pero que pueden ocurrir. Uno de los
autores de este libro ha perdido tres sistemas de TI debido a una acción terrorista y participó
en una respuesta a un incidente después de que una organización encargada de hacer
cumplir la ley destruyó uno de sus edificios con bombas incendiarias, todo desde 1997.
Vínculos a sistemas corporativos de gestión de respuesta a incidentes Las
grandes organizaciones probablemente tendrán una infraestructura para respaldar los Equipos
de respuesta a incidentes (IRT). A menudo hay una función centralizada con acceso a
recursos y experiencia para ayudar a lidiar con el incidente. Los últimos procedimientos y
listas de contactos bien pueden publicarse en la intranet o en el portal de información. Es
posible que otras oficinas comiencen a hacer preparativos para enviar personal especializado
para ayudar con la gestión y recuperación del incidente, o para cubrir la ubicación afectada, o
para prepararse para recibir personal reubicado de las instalaciones afectadas. Incluso si su
organización no está en las "grandes ligas", vale la pena acercarse a una gran organización
ubicada cerca de la suya.
A cambio de la oferta de ayuda (quizás una oficina con teléfonos y acceso a Internet), en caso
de un incidente importante, su IRT puede estar preparado para ayudarlo con consejos y
orientación basados en su experiencia y capacitación. Vale la pena conocer a estas personas
porque cuanto mejor preparado esté, mejor podrá manejar el incidente, sea cual sea.
Trabajar con las organizaciones encargadas de hacer
cumplir la ley Hay momentos en los que será necesario involucrar a las fuerzas del orden u
otras organizaciones similares en la respuesta a un incidente. Si existe alguna posibilidad de
actividad delictiva u otra acción deliberada, se debe notificar a las autoridades correspondientes.
Es importante que la alta gerencia tenga un buen conocimiento de los requisitos legales para
informar ciertos eventos.
Por ejemplo, en el Reino Unido es obligatorio informar a la policía si existe una sospecha de
actividad terrorista o si se ha visto o procesado pornografía infantil a través de los sistemas
informáticos de una organización. La legislación reciente del Reino Unido también exige la
notificación de actividades financieras sospechosas.
Otra posibilidad es la de intento de extorsión y chantaje mediante el uso de un ataque de
denegación de servicio. En este caso la Agencia contra la Delincuencia Organizada Grave es la
58
organismo apropiado en el Reino Unido para contactar. La actividad de este tipo o el
malware (software malicioso) descubierto en los departamentos del gobierno del Reino
Unido debe dar lugar a que se envíe un informe al Centro para la Protección de la
Infraestructura Nacional Crítica (CPNI). En otros países habrá organizaciones similares y
agencias de aplicación de la ley que serán el punto de contacto clave para tales incidentes.
Una última posibilidad es que una organización pueda ser visitada por funcionarios
encargados de hacer cumplir la ley que realizan una investigación sobre actividades de
las que la dirección no tiene conocimiento. Pueden tener una orden para registrar las
instalaciones y retirar artículos, o simplemente pueden estar realizando investigaciones.
La fuerza policial moderna del Reino Unido es consciente de las sensibilidades
comerciales y de la naturaleza de la propiedad intelectual. Si bien se aconseja a la
organización que obtenga el asesoramiento legal adecuado de fuentes internas o
externas, una respuesta abierta y cooperativa es casi siempre la mejor política. Un
ejemplo de esto es que la organización debe asegurarse de cumplir con los requisitos
de la Ley de Protección de Datos del país antes de proporcionar cualquier información a
un tercero, incluso si se trata de un organismo encargado de hacer cumplir la ley. Puede
ser necesario que el organismo encargado de hacer cumplir la ley obtenga una orden
judicial para permitir que la organización proporcione información sin temor a repercusiones
posteriores del Comisionado de Información u otro organismo regulador.
Procesos, herramientas y técnicas para la realización de investigaciones
Si se hace necesario trabajar con una organización externa encargada de hacer cumplir
la ley, querrán recopilar pruebas para utilizarlas en futuras investigaciones y posibles
enjuiciamientos. La Ley de pruebas policiales y penales (PACE) del Reino Unido define
estándares de conducta muy estrictos para permitir que la policía demuestre que las
pruebas son válidas y admisibles en los tribunales. El curso de acción requerido en lo que
respecta a los activos de TI puede ser muy complejo y es muy fácil hacer que la evidencia
sea inadmisible. Se recomienda enfáticamente que el Equipo de Respuesta a Incidentes
esté debidamente capacitado sobre cómo manejar estos requisitos y trabajar con los
representantes de las fuerzas del orden público para lograr los resultados deseados.
Ya sea que exista o no la posibilidad de involucrar a una organización encargada de
hacer cumplir la ley, es una buena práctica observar los mismos altos estándares de rigor
al investigar un incidente. Los hallazgos podrían usarse para un enjuiciamiento o una
audiencia disciplinaria interna. Una audiencia que conduzca al despido de un empleado
podría entonces ir a un tribunal laboral y tener pruebas que sean legalmente admisibles
siguiendo buenas prácticas será de gran ayuda para ganar el caso.
Es recomendable tener a alguien designado como Oficial de Custodia de Evidencia.
Esta persona es responsable de recolectar y almacenar evidencia de manera segura
mientras mantiene un buen registro documental para preservar lo que a menudo se
conoce como la 'cadena de evidencia'.
59
Hay herramientas forenses disponibles para recopilar y examinar evidencia de TI
sistemas Solo deben ser utilizados por investigadores capacitados y debidamente capacitados
debido a la facilidad con la que las pruebas se contaminan y se vuelven inadmisibles. Muchas
organizaciones no tendrán este tipo de recurso interno, pero si se ha preparado una lista de
especialistas forenses con anticipación, se pueden ubicar y contratar rápida y fácilmente cuando
sea necesario.
En algunos casos, es posible que se haya establecido un acuerdo marco o de "retención" con
anticipación para garantizar una respuesta rápida.
Cuestiones de seguridad al contratar servicios forenses y apoyo de
terceros
Si la organización necesita salirse de sus propios recursos para completar la investigación o la
respuesta, hay algunas consideraciones importantes que se deben tener en cuenta.
Uno de los principales es el de la no divulgación. En la sección anterior mencionamos un
acuerdo marco. En él se establecen de antemano todas las cuestiones contractuales. Tal acuerdo
puede llevar tiempo para negociar y acordar, por lo que es preferible implementarlo antes de que
ocurra un incidente. Además de los términos contractuales normales sobre pago, provisión de
niveles de servicio y resolución de disputas, también debe haber una sección que defina un
acuerdo de confidencialidad (NDA) entre los signatarios. Este documento proporciona
confidencialidad legalmente vinculante, por lo que el tercero está obligado a proporcionar el mismo
nivel de confidencialidad a la información vista o los hechos descubiertos como empleado
permanente de la empresa.
Cabe señalar que estos acuerdos todavía están sujetos a los requisitos primordiales de la ley.
El tercero está legalmente obligado a notificar a las fuerzas del orden sobre cualquier sospecha
de pornografía infantil o actividad terrorista, incluso si ha firmado un NDA.
El documento también debe definir los requisitos para lo siguiente: • estándares
requeridos en la preservación de evidencia y documentación adjunta a los definidos en PACE
o equivalente para la admisibilidad legal;
• la entrega, destrucción asegurada o borrado seguro de todos los materiales obtenidos por el
tercero al final del incidente; • participación en cualquier revisión al
final del incidente para mejorar la
proceso de respuesta
Actividad 3.4 La
última auditoría externa identificó que no había un proceso establecido para tratar cualquier
incumplimiento de aseguramiento. Miss Peacock le ha pedido que produzca un proceso
simple para administrar incidentes de aseguramiento. ¿Cómo abordaría esto y a quién
involucraría?
60
IMPLEMENTACIÓN DE SEGURIDAD DE LA INFORMACIÓN
Un programa de aseguramiento de la información proporciona una visión de alto nivel de cómo la
organización abordará sus necesidades de aseguramiento. Puede ayudar a desarrollar una
comprensión común del riesgo de la información y permitir que la organización priorice y se
concentre en implementar controles que aborden los riesgos más importantes. Esta sección analiza
varios aspectos de la planificación de aseguramiento y cómo implementar un programa de
aseguramiento dentro de una empresa. No pretende ofrecer orientación sobre la gestión de
proyectos o programas.
Hay muchas publicaciones que abordan este tema, incluida la publicación de BCS Gestión de
proyectos para proyectos relacionados con TI, que proporciona el material de libro de texto para la
Fundación ISEB en Gestión de proyectos de SI.
La intención de esta sección es proporcionar al lector los conocimientos básicos necesarios para
comprender los principios de cómo implementar medidas de seguridad de la información dentro de
una empresa. Una vez completado, el lector debe poder definir y explicar no solo los conceptos
principales, sino también redactar documentos para cumplir con los requisitos generales en las
siguientes áreas.
Planificación y garantía de la implementación efectiva del programa
Una buena planificación es la base de cualquier implementación exitosa del programa de Garantía
de la Información. Se puede utilizar como una poderosa herramienta para obtener apoyo tanto de
la alta gerencia como de las partes interesadas clave y para demostrar cómo el programa de
aseguramiento está ayudando a reducir el riesgo dentro de la empresa. Esto genera apoyo para
futuras iniciativas.
Para tener credibilidad, un programa de implementación de Garantía de la Información debe ser
realista, factible y abordar con precisión las necesidades de la empresa. Un programa deberá
cumplir los objetivos acordados dentro de los plazos establecidos y demostrar la calidad y la
relación calidadprecio y el beneficio general para la organización. Un programa generalmente
consta de una serie de proyectos, cada uno de los cuales aborda una función, una aplicación o un
activo de información.
Al planificar la implementación de un programa, es necesario comprender el estado actual de
aseguramiento dentro de la empresa y lo que el programa debe lograr. Idealmente, se debería
haber realizado una evaluación de riesgos previa. Los productos ayudarán a definir y dar forma al
programa de implementación y brindarán una justificación de por qué debe entregarse.
En el Capítulo 2 se ofrece orientación sobre la realización de una evaluación de riesgos.
Se debe priorizar el trabajo para abordar los problemas más apremiantes. Se puede utilizar una
combinación de enfoques tácticos y estratégicos para abordar los problemas involucrados.
Si es posible, intente identificar dónde se pueden obtener algunas ganancias rápidas. Aquellos
que tienen una alta probabilidad de éxito utilizando solo recursos mínimos harán mucho para
aumentar la credibilidad general del plan de implementación dentro de la organización.
61
Al planificar una implementación, se debe considerar cuánto tiempo llevará
implementar los controles, qué tan fácil será la implementación, cuáles son los costos
asociados y cuál es el interés de la organización por resolver estos problemas. Los
pasos principales para desarrollar un programa y plan de implementación son
identificar: • cómo el programa de implementación abordará
los riesgos dentro de la empresa y los reducirá a un nivel aceptable; • los controles
o flujos de trabajo que deben establecerse para lograr
esto; • el nivel de esfuerzo que se requerirá y de quién; • quién será responsable
de cada parte del programa; • los costos y escalas de tiempo
asociados con la implementación; • cómo se hará un seguimiento del
progreso.
El apoyo de alto nivel es esencial para el éxito del programa y siempre debe tener un
propietario principal responsable (patrocinador). El programa y el enfoque deben ser
acordados con las principales partes interesadas y aprobados por el patrocinador. Se
debe establecer un comité directivo para realizar un seguimiento del éxito del programa
y tratar cualquier problema que surja. Será necesario asegurar los recursos y el
presupuesto antes de que comience el programa.
Según la escala y el tamaño del programa, puede ser necesario dividirlo en una
serie de proyectos separados, cada uno con sus propios mecanismos de planificación
y seguimiento. Durante el transcurso del programa, puede haber una necesidad de
revisiones de planificación debido a cambios en las prioridades de la empresa, recortes
presupuestarios, falta de disponibilidad de recursos humanos clave o similares. Dichos
factores pueden afectar lo que se puede lograr. Por lo tanto, el plan general debe
mantenerse a un alto nivel con sus entregables clave y los hitos principales claramente
expresados, lo que permite monitorear fácilmente el progreso del programa.
La planificación detallada debe llevarse a cabo cerca del momento de la
implementación, donde existe una mayor certeza de un entorno establecido y una
comprensión adecuada de lo que se debe hacer en ese momento.
El plan debe centrarse en los entregables clave y el trabajo debe dividirse en
cantidades manejables que se puedan medir (un hito). A menos que los recursos
humanos estén totalmente dedicados al proyecto, puede ser necesario calcular cuánto
tiempo de una persona se ha dedicado a él. El trabajo del proyecto se puede asignar
en consecuencia y permitir que los recursos cumplan tanto con las actividades del
proyecto como con otros compromisos que tengan.
El plan del proyecto debe revisarse periódicamente. La frecuencia de las revisiones
variará según el tipo de implementación (diaria, semanal, mensual).
El propósito de estas revisiones es mantener una visión de su progreso real mediante
la comprensión de lo que se ha logrado hasta el momento, comparando el progreso
con el cronograma, manejando variaciones y haciendo revisiones al plan, identificando
problemas y aplicando acciones correctivas. El progreso se debe informar regularmente
tanto al patrocinador del programa como a las partes interesadas y se deben organizar
reuniones de revisión para permitirles acordar y apoyar las modificaciones del
programa para cumplir con los requisitos cambiantes.
62
Cómo presentar los programas de Seguridad de la Información como un beneficio positivo
Se debe considerar que un programa de Garantía de la información brinda beneficios
positivos a la empresa. La gestión del riesgo de la información puede generar
beneficios tangibles en términos de una mayor estabilidad de los sistemas de
información y una mejor protección de la información confidencial. Pueden mostrarle
al resto de la organización que las prioridades de aseguramiento están alineadas con
las prioridades de la empresa.
Comunicarse con la alta gerencia, los gerentes de línea y los usuarios en general,
de una manera que se relacione con sus propios intereses particulares, puede hacer
mucho para cambiar la visión de que la función de aseguramiento es un inhibidor a
uno que es un habilitador, al demostrar cómo puede agregar valor para la organización.
Del mismo modo, establecer buenas relaciones interpersonales con las partes
interesadas y los colegas en general siempre ayudará a presentar los programas de
aseguramiento como una actividad que vale la pena. Es esencial ser sensible a sus
necesidades y asegurarse de que comprendan lo que el programa significa
específicamente para ellos y cómo afectará su función. Inicialmente, los colegas
pueden ser cautelosos y desconfiar de un programa de implementación. Incluirlos en
el proceso de planificación ayudará a ganar su confianza y aprecio. Al alinear los
objetivos de aseguramiento con la cultura y los valores generales de la empresa, se
puede ver que están trabajando juntos para lograr los mismos objetivos compartidos.
Como toda iniciativa, es fundamental contar con el apoyo y compromiso de la alta
dirección. Por lo general, no son especialistas en aseguramiento y no tienen una
comprensión completa de los riesgos y problemas de aseguramiento de la información
que enfrenta la organización. Es importante presentar los beneficios positivos del
programa de aseguramiento de manera concisa y libre de jerga. Para apoyar el
programa, la alta gerencia necesita comprender:
• los riesgos a los que se enfrenta la
organización; • la causa y los impactos potenciales de
estos riesgos; • los beneficios que obtendrán de su
inversión; • dónde puede ser necesario realizar cambios en las
formas de trabajar; • cómo pueden apoyar o patrocinar el programa.
El programa debe presentarse formalmente a ellos por medio de un caso de negocios
sólido y estar acompañado de todos los hechos necesarios para permitir que se tome
una decisión informada. La alta gerencia generalmente es más favorable a la
persuasión si puede obtener un retorno de su inversión. Al cuantificar los impactos y
explicar dónde puede ser vulnerable la empresa, es posible demostrar que una
reducción de los impactos puede conducir a una reducción de los costos operativos.
El retorno de la inversión (ROI) es un mecanismo que se puede utilizar para justificar
los gastos de aseguramiento y obtener la aprobación del presupuesto.
Al calcular un rendimiento financiero positivo de una inversión en aseguramiento,
es posible presentar un caso convincente para su implementación al equilibrar las
posibles recompensas financieras con los costos de implementar los controles.
Esto se logra calculando cuánto costaría comprar y
63
implementar un control de seguridad particular y luego estimar, en términos de costo, en qué
gasto podría incurrir la organización como resultado de incidentes de aseguramiento.
Demostrar que la empresa puede utilizar buenos controles de aseguramiento para obtener
una ventaja competitiva también puede ayudar a presentar los programas de aseguramiento
como una actividad positiva. Por ejemplo, muchas organizaciones insisten en que una
empresa tenga la certificación de determinados estándares de seguridad, como ISO 27001,
como requisito previo antes de comprometerse con ellos. Esto les proporciona la seguridad
de que la empresa ha implementado controles de aseguramiento efectivos.
Las empresas que han sufrido infracciones de seguridad a menudo pueden verse afectadas
económicamente por multas y pérdidas comerciales, ya que sus socios comerciales y
clientes pierden la confianza en sus capacidades para proteger su información. Para
algunas organizaciones, una brecha de seguridad puede tener un impacto negativo enorme
en el valor de su marca. Una instancia baja de brechas de seguridad y buenos controles de
seguridad en el lugar pueden proporcionar una ventaja comercial sobre los competidores.
Estrategia y arquitectura de seguridad de la información
La estrategia y la arquitectura de seguridad de la información son dos conceptos
relativamente nuevos en la implementación de la garantía de la información. Esta sección
analizará algunos de los principios de alto nivel con respecto a estos conceptos.
Una estrategia de seguridad de la información es un plan para llevar la función de
aseguramiento dentro de una organización de la realidad de donde se encuentra ahora con
todos sus problemas y cuestiones, a un estado mejorado en el futuro. Proporciona una hoja
de ruta o una visión de cómo se puede lograr esto. Una estrategia normalmente debe cubrir
un período de tiempo en el que es posible implementar un nivel significativo de cambio pero
lo suficientemente corto como para poder predecir cambios en la tecnología y los objetivos
organizacionales. Por lo general, esto es durante un período de tres a cinco años.
Una estrategia de seguridad de la información tiene los elementos de un programa de
implementación, pero cubre un período de tiempo más largo y se presenta a un nivel mucho
más alto y menos detallado. Debe demostrar cómo permitirá a la empresa alcanzar sus
objetivos y cómo la protegerá contra las amenazas actuales y futuras. Debe considerar:
• el estado actual de aseguramiento y las fortalezas y debilidades de los controles
existentes; • cómo
es probable que cambie el perfil de riesgo de la empresa en respuesta a cambios en los
objetivos comerciales y prácticas de trabajo; • tendencias en
amenazas y vulnerabilidades a posibles tipos de incidentes; • desarrollos esperados
en software y hardware; • requisitos legales, de cumplimiento y de
auditoría y cualquier cambio anticipado; • áreas donde se pueden hacer ahorros de costos.
Como se trata de una visión, este documento de alto nivel debe escribirse en un lenguaje
conciso y no técnico para que el público objetivo de la empresa pueda comprender
claramente el panorama general y la visión que se presenta. La estrategia debe seguir
siendo un documento vivo mediante revisión y actualización periódicas.
64
para reflejar los cambios en la tecnología y las prioridades organizativas, ya que es probable
que cambien durante el período de su existencia.
Tener una estrategia implementada muestra un grado de madurez de la función de
Aseguramiento de la Información dentro de la organización. Proporciona una garantía de que
la organización está comprometida con una buena Gobernanza de Aseguramiento de la Información.
Cada vez más, hay presiones ejercidas por organismos externos (a través de la legislación y
la regulación) para que las organizaciones cuenten con una estrategia de seguridad.
El segundo concepto es una arquitectura de seguridad de la información que se puede
utilizar junto con la estrategia de seguridad de la información. La arquitectura traduce los
requisitos organizativos de garantía en un conjunto de controles que se pueden utilizar para
proteger los activos de información de la empresa. La arquitectura de seguridad de la
información debe tener como objetivo proporcionar un marco común y consistente de controles
y arreglos de aseguramiento global para ser utilizado en toda la empresa en lugar de hacerlo
de manera fragmentada. Tradicionalmente, las arquitecturas basadas en TI se centraban
exclusivamente en la tecnología, pero como el comportamiento de la seguridad de la
información se extiende más allá de la tecnología para incluir políticas, procesos,
procedimientos y comportamiento del usuario, una arquitectura de seguridad de la
información también debe abarcar estos aspectos.
Una arquitectura de seguridad de la información empresarial debe proporcionar a los
desarrolladores y administradores de sistemas un marco coherente de controles de garantía
que se puede utilizar en múltiples sistemas y entornos dentro de la empresa. Puede adaptarse
para cumplir con diferentes circunstancias, lo que significa que el esfuerzo no se duplica cada
vez que se implementa un nuevo conjunto de controles. La eficiencia y la productividad se
pueden aumentar mientras que los costos se pueden reducir proporcionando apalancamiento
y economías de escala. Esto debería permitir que la función de aseguramiento reaccione más
rápidamente a los cambios comerciales, organizacionales y tecnológicos y pueda implementar
soluciones de aseguramiento de manera más rápida, eficiente y a costos más bajos.
Una arquitectura de Seguridad de la Información trabaja sobre un conjunto de 'Principios'
que expresan el tipo de controles a implementar. Actúan como declaraciones de
posicionamiento que se adoptarán dentro de la arquitectura. Un ejemplo de esto es 'los
controles de auditoría y monitoreo garantizarán que la organización cumpla con las políticas
de seguridad y las obligaciones legales'. Después de haber identificado un conjunto de
principios, la arquitectura se puede modelar a través de capas crecientes de complejidad y
detalle, desde una vista de concepción de alto nivel de los controles hasta una especificación
y un diseño detallados.
Los componentes dentro de la empresa con requisitos de seguridad similares se pueden
agrupar en 'Dominios' para que se puedan desarrollar conjuntos comunes de controles de
seguridad para protegerlos. Por ejemplo, todos los sistemas empresariales con interfaces
habilitadas para la web pueden usar los mismos controles de dominio. El término
'Servicios' se utiliza para describir el tipo de controles que se utilizarán para proteger estos
componentes.
sesenta y cinco
La necesidad de vinculación con la planificación empresarial y la gestión de riesgos y los procesos
de auditoría
El objetivo de un programa de Garantía de la Información debe ser reducir el riesgo de la
información dentro de la empresa. Como hemos visto a lo largo de esta sección, los procesos
de planificación e implementación de la Garantía de la Información no deberían funcionar de
forma aislada. Para ser efectivo, un programa de implementación necesita comprender los
objetivos y metas comerciales de la empresa para que pueda identificar las medidas de control
de aseguramiento apropiadas para garantizar que la empresa esté suficientemente protegida
para cumplir con estos objetivos.
Los programas de implementación de aseguramiento de la información deben trabajar en
estrecha colaboración con otros procesos organizacionales y de aseguramiento para administrar
el riesgo a un nivel aceptable. El proceso de gestión de riesgos debe proporcionar conciencia y
comprensión de los riesgos que enfrenta la empresa e identificar dónde los riesgos no se
gestionan de manera eficaz. Los resultados de las evaluaciones de riesgos deben determinar
qué controles deben implementarse y evaluar con qué urgencia deben abordarse.
De manera similar, los procesos de gobierno de aseguramiento identificarán dónde los
controles existentes son inadecuados y dónde es necesario realizar mejoras. Esto puede ser a
través de informes de violaciones de seguridad o mediante auditorías o pruebas de controles de
seguridad. Los procesos de gobernanza también determinarán los cambios en los requisitos
normativos o legales que pueden requerir la implementación de controles adicionales.
Todos los programas de implementación deben respaldar las políticas de seguridad de la
información, la estrategia de seguridad y la arquitectura de seguridad de la empresa. Todos los
controles de seguridad deben respaldar su visión a largo plazo para el aseguramiento de la
información y deben verse como un valor agregado o un beneficio comercial para la organización.
Actividad 3.5 La
Srta. Peacock está muy satisfecha con el trabajo que ha realizado hasta ahora en el
aseguramiento de la información y le ha asignado un presupuesto para implementar
algunos controles de acceso adicionales dentro de GANT. ¿Cómo abordarías esto?
MARCO LEGAL
Esta sección cubre los principios generales de la ley en relación con la gestión de Aseguramiento
de la Información. Esto cubrirá un amplio espectro, desde las implicaciones de garantía sobre
el cumplimiento de los requisitos legales que afectan a los negocios (por ejemplo, el comercio
electrónico internacional) hasta las leyes que afectan directamente la forma en que se puede
controlar y copiar la información. También hará referencia a ciertas leyes para explicar conceptos
y resaltar las variaciones legislativas entre países separados.
66
La intención de esta sección es proporcionar al lector los conocimientos básicos
de algunos de los principios generales del derecho, la jurisdicción legal y temas
asociados y cómo afectan la gestión de la Seguridad de la Información. Después
del estudio en esta área, el lector debe ser capaz de explicar y justificar cada uno
de los siguientes conceptos.
Antecedentes
Nuestro sistema legal ha evolucionado durante un largo período de tiempo. Dentro de Gran Bretaña, se
puede rastrear hasta la época romana y anglosajona, y las leyes que estaban vigentes hace años todavía
pueden ejercer un efecto en la legislación actual. La legislación evoluciona continuamente para adaptarse
a las necesidades cambiantes de la vida moderna y refleja el desarrollo cultural y los valores de nuestra
sociedad. Comprender esto puede ayudar a explicar por qué hay variaciones en la legislación entre los
diferentes países.
Los países que tienen algún tipo de gobierno federal tendrán varios niveles de
leyes, como EE. UU., Canadá o Suiza, donde existen leyes estatales locales que,
en última instancia, están sujetas a las leyes nacionales o federales. Dentro de la
Unión Europea (UE), existen directivas europeas (acuerdos entre los estados
miembros), que se han producido para armonizar partes de la legislación entre
los estados miembros. Cada país tiene que incorporar la legislación a su propio
sistema legal y esto puede resultar en diferencias sutiles pero significativas ya
que cada país interpreta las directivas a su manera.
Los sistemas legales de todo el mundo comparten muchas similitudes y
conceptos legales comunes. Sin embargo, dado que las empresas operan o
realizan transacciones cada vez más en más de un país, es necesario comprender
su legislación particular y cómo puede afectar la información de la empresa a
medida que cruza las fronteras internacionales. Las organizaciones siempre deben
consultar con un abogado calificado para asegurarse de qué legislación se les
aplica.
Los requisitos de un sistema legislativo pueden ser incompatibles con los de
otro, lo que dificulta el cumplimiento de todas las leyes pertinentes de múltiples
jurisdicciones. Comprender la legislación puede ser complejo y, en ocasiones, las
leyes pueden entrar en conflicto entre sí. La serie ISO/IEC 27000 brinda a las
organizaciones orientación sobre el cumplimiento de los requisitos legales y cubre
las siguientes áreas: • derechos de
propiedad intelectual; • protección
de registros organizacionales; • protección
de datos y privacidad de la información personal; • prevención
del mal uso de las instalaciones de procesamiento de información;
• regulación de controles criptográficos.
El incumplimiento de la legislación podría resultar costoso para una empresa al
incurrir en sanciones financieras, restricciones operativas o, en casos extremos,
67
penas privativas de libertad para altos directivos. Por lo tanto, es fundamental contar con el
asesoramiento de un especialista legal capacitado antes de tomar cualquier decisión
importante que pueda poner en riesgo a la organización.
Protección de datos personales y restricciones al seguimiento, vigilancia,
interceptación de comunicaciones y flujos transfronterizos de datos
Las leyes de privacidad existen para proteger los derechos del individuo. La mayoría de las
organizaciones conservan y procesan información sobre personas, como información de
empleados o clientes. Las organizaciones deben ser conscientes de las restricciones legales
que se les imponen para proteger esta información y cómo se puede usar y monitorear.
En los últimos años se ha visto un aumento en la legislación sobre privacidad y esto debe
tenerse en cuenta al procesar información personal. Muchos países tienen legislación para
proteger al individuo y restringir y controlar la cantidad de información que se tiene y cómo
se debe usar y monitorear.
Aunque comparten principios comunes, existen diferencias significativas en los enfoques
legislativos y esto puede causar dificultades cuando se trabaja en diferentes jurisdicciones
legales. La Unión Europea tiene un marco legal a través de la Ley de Protección de Datos
para proteger todo tipo de información personal, mientras que EE. UU. protege la información
personal a través de una serie de estatutos federales. Estos tienden a enfocarse en áreas
específicas como la protección de la información del cliente por parte de las instituciones
financieras (a través de Gramm Leach Bliley) o la preservación de la privacidad de la
información médica (HIPAA Ley de Portabilidad y Responsabilidad del Seguro Médico).
El alcance de la legislación también puede variar de un país a otro. Por ejemplo, la
Protección de Información Personal y Documentación Electrónica de Canadá.
tion Act se aplica a los registros de las personas hasta 20 años después de su muerte,
mientras que en la UE cualquier protección cesa en el momento de la muerte.
La Ley de Protección de Datos de la Unión Europea protege a las personas al garantizar
que la información se recopile y procese de manera legal, precisa y adecuada. Las personas
tienen derecho a tener acceso a la información que se tiene sobre ellos, a saber quién
puede acceder a ella y a que se corrijan las inexactitudes. La Ley también tiene una
disposición para garantizar que la información se maneje y procese de manera segura y
establece controles para transferirla fuera de la UE a países que tienen controles de
privacidad menos estrictos. También cubre los registros electrónicos y en papel. Los puntos
principales que se deben recordar al manejar información personal son los siguientes. • La
información personal debe estar rodeada de controles de
seguridad robustos adecuados y prácticas de trabajo para proteger los datos del
procesamiento ilegal, la pérdida accidental, la corrupción o destrucción y la
divulgación no autorizada.
• Se deben implementar procesos para garantizar que la información se ingrese
correctamente en los sistemas informáticos y que el personal comprenda que
68
la información personal debe ser revelada a cualquier tercero sin que exista la
autorización escrita correspondiente. • Los registros
en papel deben guardarse bajo llave y las pantallas de las computadoras no deben
mostrar información personal ni pasarse por alto. La información que ya no se
necesite debe destruirse mediante trituración u otras formas seguras de destrucción.
Las leyes de privacidad a menudo imponen restricciones a la transferencia de información
entre países. Por ejemplo, la Ley de protección de datos de la UE establece que la
información personal no debe transferirse a países que no tengan reglas tan estrictas.
Ciertos países como Argentina, Canadá, Hungría y Suiza operan un modelo de protección
de datos que es comparable al modelo de la UE y no hay restricciones con estos países.
Para otros países, se deben considerar salvaguardas para permitir que los flujos de datos
transfronterizos se lleven a cabo legalmente. La Comisión Europea y el Departamento de
Comercio de los Estados Unidos desarrollaron el marco Safe Harbor para permitir que las
organizaciones estadounidenses cumplan con la legislación de privacidad de la Unión
Europea (UE).
Las empresas estadounidenses que probablemente intercambien información personal con
organizaciones con sede en la UE pueden modificar sus acuerdos de garantía para que
cumplan con el marco de Safe Harbor. Para otros países, como las transferencias al
subcontinente indio, puede ser posible realizar la transferencia de datos si se implementan
una serie de medidas de seguridad previas. Estos resguardos se llevarían a cabo a través
de términos contractuales aprobados que sean aceptables para el organismo legal
responsable de proteger la información personal.
En el Reino Unido, el individuo tiene derecho a un nivel de privacidad que está protegido
por la legislación que restringe cómo se puede monitorear o interceptar su información
personal. Esta legislación a menudo puede ser anterior a la informatización del
almacenamiento de datos, como las Leyes de registros públicos de 1957 y 1967 en el Reino Unido.
Cualquier técnica de monitoreo y recolección empleada por una empresa debe cumplir con
estas leyes. Si los controles de monitoreo se van a utilizar en más de una jurisdicción legal,
entonces puede haber diferencias en los derechos de las personas que están siendo
monitoreadas. Dentro de la Unión Europea, se introdujo la Ley de Regulación de Poderes
de Investigación de 2000 (RIPA) para restringir el monitoreo encubierto de la información
de un individuo. Se introdujo para tener en cuenta los nuevos avances en la tecnología de
las comunicaciones, la Ley de derechos humanos y la Directiva de telecomunicaciones.
Asuntos laborales y derechos de los empleados
Dependiendo de la jurisdicción legal, los empleados tienen ciertos derechos al usar los
Sistemas de información de la empresa, como el derecho a la privacidad y el derecho a
saber qué información tiene la empresa sobre ellos. En el Reino Unido, por ejemplo, según
la Ley de Protección de Datos, las personas pueden solicitar una copia de cualquier
información que una organización pueda tener sobre ellos. Esto se denomina solicitud de
acceso de sujeto.
Los derechos también pueden extenderse a los controles de seguimiento. Dentro de la
Unión Europea, los empleados tienen derecho a conocer el tipo y la escala de control que se
69
que lleva a cabo la empresa y por qué se lleva a cabo; por ejemplo, un empleador podría
considerar necesario proteger a la empresa de material ofensivo o pornográfico, o tal vez
necesite comprender el volumen de tráfico de correo electrónico que se propaga con fines
de rendimiento. La empresa debe comunicar esta información a los empleados. La forma
más sencilla de hacerlo es incluir una declaración sobre el alcance de la supervisión en las
políticas de seguridad de la información o en los contratos de trabajo de la empresa. Si
esto no se hace, puede ser necesario obtener el consentimiento específico de las personas
para permitir que se controle su información. Se debe realizar una evaluación de la estrategia
de monitoreo para demostrar que las técnicas de monitoreo que se utilizan están justificadas,
no son excesivas y cumplen con los requisitos legales.
Si las herramientas de monitoreo detectan información que es claramente personal, se
debe tener cuidado de no violar el derecho a la privacidad del individuo. Por ejemplo, el
empleador no debe abrir un correo electrónico claramente personal o no se debe acceder
a la cuenta de correo electrónico de un individuo a menos que se acuerde con ellos de
antemano. Estos pueden causar problemas de funcionamiento. Por ejemplo, un colega
puede necesitar obtener rápidamente información importante de la empresa enviada
previamente a una persona, mientras esa persona está de vacaciones. Se debe pedir a los
empleados que eliminen cualquier parte de su información personal de los recursos de TI
cuando dejen la empresa para evitar que otros la vean.
Las herramientas de monitoreo no deben usarse para atacar a un individuo en particular
y el monitoreo encubierto rara vez se justifica; las excepciones pueden incluir situaciones
en las que existen motivos claros de que se está llevando a cabo o se ha producido una
actividad delictiva o una mala práctica. Las investigaciones internas pueden conducir a un
tribunal laboral oa un caso judicial. Es importante que cualquier información que se recopile
cumpla con los requisitos legales que pueden incluir, por ejemplo, la Ley de Libertad de
Información del Reino Unido o su equivalente en otros países.
Conceptos comunes del mal uso de la computadora
Gran parte de la legislación que actualmente se aplica al mal uso de las computadoras no
se ha redactado específicamente para abordar los delitos informáticos. Se puede decir que
el crimen es crimen y los criminales simplemente usan cualquier medio disponible para
llevarlo a cabo. El chantaje, el fraude, el engaño, el robo, etc., siempre han existido, pero
los avances tecnológicos han permitido que los delincuentes exploten ahora los dispositivos
informáticos en sus actividades. Del mismo modo, se puede abusar de los derechos de
privacidad a través de escuchas electrónicas, piratería informática o acoso cibernético, en
lugar de una presencia física real. Por lo tanto, las leyes existentes que son anteriores a las
computadoras a menudo se utilizan para enjuiciar el mal uso de las computadoras.
Se ha producido legislación para abordar específicamente los delitos cometidos con
computadoras. Estados Unidos introdujo la Ley de Abuso y Fraude Informático en 1984 y,
desde entonces, esta legislación ha sufrido varias enmiendas. El Reino Unido fue el primer
país europeo en promulgar una ley que abordaba específicamente los delitos informáticos
y esta legislación formó la base de la directiva de la UE sobre uso indebido de computadoras.
La Ley de Uso Indebido de Computadoras de 1990 introdujo tres nuevos delitos: acceso no
autorizado a una computadora, acceso no autorizado con el
70
intención de cometer o facilitar más delitos y los modos no autorizados
ficación de material informático. El mal uso de las computadoras puede incluir: • acceso
ilegal (piratería) a los sistemas informáticos; • interceptación ilegal
de información; • interferencia con la información y
los sistemas; • fraude y falsificación relacionados con la
informática; • infracción comercial de los derechos de
autor; • descarga de material ilegal como pornografía
infantil; • tráfico de contraseñas, firmas digitales y claves de cifrado.
Los motivos del mal uso de las computadoras pueden variar. Los estafadores pueden hacer mal uso
de una computadora para obtener ganancias financieras; los piratas informáticos pueden intentar
acceder a un sistema para el desafío intelectual; un empleado descontento puede sabotear un
sistema informático como acto de venganza.
El fraude informático es el término utilizado para describir el robo de dinero o bienes mediante el
uso o la participación de una computadora. Hay varias formas de lograr esto, ya sea ingresando
información incorrecta o alterando la información que ya se encuentra en una computadora.
También se puede llevar a cabo mediante la creación o alteración de código informático. El mal uso
de las computadoras de esta manera se está convirtiendo en un problema cada vez mayor a medida
que los delincuentes organizados encuentran nuevas oportunidades para usar las computadoras
para cometer fraude. El uso cada vez mayor de Internet para comerciar y comprar permite a los
delincuentes cometer fraudes y robar la identidad de otros para cometer fraudes. Phishing es el
término utilizado cuando los delincuentes atraen a las personas para que revelen sus detalles
financieros, por ejemplo, enviando un correo electrónico a una persona que pretende haber sido
enviado por su banco. Esto constituye obtener información mediante engaño.
Hackear (a pesar de sus orígenes benignos como un término para un interés general en
descubrir cómo funcionan las computadoras) es el término que se le da al acceso a un sistema
informático sin el permiso expreso o implícito del propietario de ese sistema. Un hacker es el
nombre que se le da a la persona que realiza esta actividad.
Los hackers a menudo modifican la información o los programas de software, lo que posteriormente
puede causar estragos considerables. La alteración del sitio web es un ejemplo de cómo un hacker
cambia la información que se muestra en una página web. Algunas veces, los piratas informáticos
cambiarán la información contenida en una base de datos. Los piratas informáticos a menudo
obtienen acceso no autorizado a un sistema informático simplemente por la emoción de poder eludir
los controles de seguridad y luego compartir sus conquistas con otras personas de ideas afines. Sin
embargo, los delincuentes utilizan cada vez más la piratería como táctica para llevar a cabo delitos
como el fraude o el chantaje.
El código malicioso (o malware) es el término utilizado para describir los programas que se han
escrito para provocar brechas de seguridad o daños en los sistemas informáticos mediante la
instalación de códigos no deseados y no autorizados en ellos. El código malicioso puede causar una
serie de impactos no deseados, incluida la eliminación o corrupción de información, la captura de
información o el secuestro de recursos informáticos para lanzar más ataques a otras computadoras.
El código malicioso se presenta en una variedad de formas, como virus, caballos de Troya y
71
puertas traseras Los delincuentes utilizan cada vez más el código malicioso, especialmente para
capturar información financiera almacenada en una computadora que puede usarse con fines
fraudulentos. El ransomware es un ejemplo de malware que infecta la computadora de destino al
cifrar los archivos personales del propietario. Luego se contacta a la víctima y se le ofrece una clave
de descifrado para descifrar los archivos a cambio de dinero en efectivo o información.
La descarga de material ilegal en una computadora es otra forma de mal uso de la computadora.
Muchos países cuentan con leyes que prohíben la descarga de pornografía pedófila y el
'acicalamiento sexual' de niños a través de Internet. En muchos países, existe la obligación legal
de que las empresas (y los individuos) informen el descubrimiento de este tipo de actividad a los
organismos encargados de hacer cumplir la ley. Es muy probable que se utilice legislación como la
Ley de Publicaciones Obscenas para enjuiciar casos de pornografía infantil, ya que las penas son
más severas que en la legislación sobre uso indebido de computadoras.
Una persona puede hacer un mal uso de las computadoras para acosar y acechar a otra
persona (acoso cibernético), por ejemplo, mediante el envío de correos electrónicos amenazantes
que causan angustia. Debe asegurarse de que existan políticas para brindar una guía clara a todos
los usuarios de computadoras sobre lo que constituye un uso indebido de la computadora.
El uso ilegal o no autorizado de software como programas, juegos de computadora o música
almacenada electrónicamente se conoce como piratería y es otro ejemplo de mal uso de la
computadora. Debe asegurarse de que solo se use software y material legítimos de acuerdo con
los acuerdos de licencia y brindar orientación a los usuarios de computadoras de que no se permite
el uso de material sin licencia.
Requisitos para la retención de registros Ciertos
documentos o registros deben ser retenidos por una organización por motivos legales o
reglamentarios durante un período de tiempo. Estos pueden incluir actas de directorio de la empresa,
informes financieros y cuentas o especificaciones técnicas.
El tiempo de conservación de los documentos varía según el tipo de documento y la legislación del
país en el que se utiliza. En organizaciones multinacionales, los registros pueden transferirse a otros
países dentro de la misma empresa; lo que significa que los mismos datos están sujetos a
diferentes requisitos legislativos, que incluso pueden entrar en conflicto entre sí.
Aunque la mayoría de los requisitos de retención establecen un tiempo mínimo para conservar
los datos, algunas leyes establecen, por el contrario, cuándo debe destruirse un registro. Por lo
general, se relacionan con la privacidad personal, como la Ley de protección de datos de 1998 (UE)
o la Ley de transacciones de crédito justas y precisas de 2003 (EE. UU.).
Se le puede pedir a una organización que produzca estos registros (o pruebas de destrucción) ya
sea por una agencia gubernamental o por una parte contraria en una disputa legal. El incumplimiento
de esto podría resultar en un juicio legal contra la organización, fuertes multas, cierre de negocios o
publicidad adversa.
72
Para ayudar a cumplir con la legislación, debe tener una política y un cronograma de
retención de registros dentro de su organización. Esto debe ser comunicado al personal para
que sean conscientes de sus responsabilidades. En el caso de organizaciones internacionales,
será necesario mantener más de un cronograma para hacer frente a las variaciones en los
requisitos. Un documento que deba conservarse debe almacenarse en un formato que pueda
garantizar su protección (por ejemplo, en un repositorio central seguro en lugar de en un
archivo personal para que no se elimine o se pierda inadvertidamente). Para las empresas
más grandes, existen soluciones de gestión de documentos en el mercado para hacer esto.
Hay una serie de estándares producidos externamente que están disponibles para ayudar
a las empresas a comprender la mejor manera de hacer frente a los requisitos legales como
ISO 15489: – Estándares de gestión de registros producidos por la Organización Internacional
de Normalización – o estándares producidos por el Instituto Nacional Estadounidense de
Estándares (ANSI) .
Derechos de propiedad intelectual, por ejemplo, derechos de autor, incluida su aplicación
general al software y las bases de datos Las
personas y las empresas invierten mucho tiempo, dinero y esfuerzo en la creación de obras,
productos, metodologías e ideas originales. Pueden perder mucho de su bolsillo si no pueden
obtener el beneficio de su inversión porque otras partes han utilizado sus ideas sin
compensarlas.
'Derechos de propiedad intelectual' (DPI) es el término que se da a los derechos legales que
protegen las obras creativas y la mayoría de los países cuentan con legislación para proteger
dicha propiedad intelectual.
La ley de derechos de autor se diseñó originalmente para proteger obras artísticas
originales, como piezas musicales, pero su uso también se puede aplicar a programas de
software, juegos de computadora u otros tipos de trabajos realizados con una computadora o
generados por una computadora. Los derechos de autor se asocian automáticamente con la
obra en el momento de su publicación y deben considerarse originales. Por lo general,
permanece en su lugar por una duración fija, como 50 años en el caso de la música. Los
derechos de autor otorgan al creador derechos exclusivos sobre ciertos aspectos de la obra,
como copiarla, publicarla, ejecutarla o adaptarla. El abuso de estos derechos por parte de
otra persona se denomina infracción. La piratería es el término comúnmente utilizado para
describir el uso no autorizado de software de computadora y es una violación de la ley de
derechos de autor. Cuando el software ha sido desarrollado por una empresa, los derechos
de autor normalmente son propiedad de la empresa y no de la(s) persona(s) involucrada(s),
a menos que se haya acordado de antemano una disposición especial.
La legislación de derechos de autor prevalece en la mayoría de los países desarrollados,
pero hay algunos países que toman los derechos de autor con menos seriedad, como en Asia
y el Este. Ha habido una serie de iniciativas para armonizar la protección de los derechos de
autor a nivel internacional, como el acuerdo GATT TRIP de 1993 (el Acuerdo General sobre
Aranceles Aduaneros y Comercio; Aspectos de los Derechos de Propiedad Intelectual
relacionados con el Comercio). Dentro de la Unión Europea existe una directiva para
armonizar ciertos aspectos de los derechos de autor y derechos asociados en relación con
los Sistemas de Información.
73
Además de los derechos de autor, existen otras leyes que tienen como objetivo proteger la
propiedad intelectual y es útil conocer algunas de ellas. El derecho consuetudinario de abuso
de confianza (a menudo descrito como un agravio) tiene como objetivo proteger los secretos:
personales, comerciales o gubernamentales. Estos solo se pueden aplicar mientras los datos
no sean de dominio público y cubran violaciones de confianza cometidas entre dos o más
partes. Las marcas registradas como Microsoft® o Apple® están ahí para proteger la fuerza de
la marca al demostrar su singularidad en términos de calidad, reputación, confiabilidad,
ubicuidad, originalidad, relación calidadprecio o cualquier cosa que la marca se esfuerce por
promover.
Hacer pasar es el término que se usa cuando un objeto intenta parecerse a otra cosa para
sacar provecho de la reputación o las ideas del creador. Esta legislación es para proteger al
público del engaño y para detener la tergiversación. Un ejemplo de infracción que podría
aplicarse a la Garantía de la información es cuando alguien ha configurado un nombre de
dominio de Internet que usa un nombre muy similar a otro sitio más conocido. El sitio 'impostor'
tiene la misma marca que el original para que las personas que hayan escrito mal la dirección
crean que han ido al sitio deseado.
Las patentes se utilizan para proteger la propiedad intelectual invertida en el desarrollo de
nuevos productos o en la creación de invenciones y, al igual que los derechos de autor, sirven
para evitar que otras personas copien o fabriquen el producto o la invención para que el creador
pueda darse cuenta de su inversión (tanto en tiempo como en dinero) en la creación de su
trabajo original. Dentro de la tecnología de la información, las patentes tienden a usarse para
proteger dispositivos físicos, como un nuevo tipo de dispositivo informático. Las patentes tienen
una duración fija, pero a menudo el propietario puede renovarlas. Las patentes tienden a
aplicarse solo al país en particular en el que se solicitó. Extender las patentes para cubrir
muchos países puede ser costoso, ya que es posible que se deban presentar múltiples
solicitudes y se debe buscar el asesoramiento de expertos.
Garantías contractuales comunes de los requisitos de seguridad en contratos de
outsourcing, conexiones con terceros, intercambio de información, etc.
Al desarrollar contratos con terceros, es importante asegurarse de implementar controles para
proteger los activos de información de la empresa a un nivel aceptable. En efecto, debe
asegurarse de que tengan el mismo nivel de cuidado en la protección de su información como
lo haría internamente.
Los tipos de medidas de seguridad requeridas variarán según el tipo de servicio que se brinde
y la confidencialidad de los datos de la empresa.
Las condiciones del contrato deben incluir cláusulas para garantizar que se implementen
los controles de seguridad adecuados. Las condiciones de seguridad a menudo se manejan a
través de un programa de seguridad dentro del contrato. El tipo de cláusulas necesarias para
brindar una protección adecuada podría
incluir cláusulas para: • llevar a cabo revisiones periódicas de
aseguramiento y controles de salud; • aplicar parches de
seguridad de manera oportuna; • proteger la información contra códigos maliciosos;
74
• proporcionar acuerdos de continuidad del negocio que cumplan con el servicio acordado
niveles;
• evaluar al nuevo personal a un nivel apropiado; •
disciplina contra cualquier brecha de seguridad; • gestionar
incidentes de seguridad (incluido informarle de cualquier incidente); • proteger contra la
divulgación de información sensible; • permitir a la empresa el derecho
de auditar y monitorear los servicios que se están
proporcionó;
• evitar más subcontrataciones sin autorización por escrito.
Recopilación de pruebas admisibles
Hay una serie de reglas y procesos que deben seguirse al recopilar evidencia para que pueda
cumplir con ciertos criterios cuando se usa en un tribunal de justicia (descrito como evidencia
admisible). Si no se siguen las pautas legales, la evidencia puede ser excluida por ser inadmisible.
Esto podría resultar en la pérdida de un caso judicial, publicidad adversa, pérdida de prestigio y
sanciones financieras para la parte acusadora.
Por lo general, esto significa poder demostrar que es auténtico, que no ha sido alterado y que
se ha recopilado de una manera aceptable que cumple con los requisitos legislativos. Esto incluye
poder retener y documentar el estado y la integridad de los elementos en la escena del crimen. La
mayoría de los países han elaborado requisitos legales que especifican cómo deben manejarse
las pruebas. Algunos ejemplos son las Reglas Federales de Evidencia (EE. UU.), la Ley de
Evidencia Policial y Criminal (PACE) y la Ley de Evidencia Civil (Reino Unido). Deben seguirse las
directrices adecuadas al recopilar pruebas.
El desarrollo de un procedimiento para hacer frente a las investigaciones y la recopilación de
pruebas ayudará a evitar errores cuando se trabaja bajo presión. Solo personal capacitado debe
llevar a cabo la obtención de pruebas. Algunas organizaciones, como los bancos, pueden tener
una instalación interna para realizar investigaciones, ya que es posible que deban hacerlo con
regularidad. En otras organizaciones, donde las investigaciones son raras, puede ser mejor llamar
a una organización especializada externa para gestionar la investigación y recopilar las pruebas.
Es posible que cada persona que haya manipulado cualquier prueba deba testificar ante el
tribunal que la prueba se encuentra en el mismo estado en que se procesó durante la
investigación. Por lo tanto, mantener al mínimo el número de personas involucradas en la
investigación ayuda a simplificar la presentación de pruebas y preservar la confidencialidad. La
evidencia debe presentarse en una forma que sea comprensible para el juez, el jurado o el
adjudicador.
La evidencia puede ser excluida porque se ha recopilado sin la debida autorización o de una
manera que contraviene las pautas. A veces, se puede requerir una orden judicial para incautar
evidencia, aunque esto no es necesario, por ejemplo, si la evidencia está a la vista o si el individuo
ha dado su consentimiento.
75
La recopilación de evidencia digital puede ser compleja. Puede venir en una variedad de formas,
como registros de auditoría, registros de aplicaciones, registros de firewall y filmaciones de CCTV.
Parte de la información puede ser eliminada, incompleta o parcialmente sobrescrita.
Es más difícil aislar y preservar la evidencia de una red de comunicaciones, ya que está en un
estado de cambio constante y las fuentes de evidencia pueden residir en diferentes lugares. La
Guía de Buenas Prácticas para Pruebas Electrónicas Basadas en Computadoras, publicada por la
Fuerza de Policía Británica, proporciona consejos detallados sobre la recuperación de pruebas
basadas en computadoras. La guía establece cuatro principios al manejar evidencia digital.
• Ninguna acción tomada por la policía o sus agentes debe cambiar los datos almacenados en
una computadora u otros medios en los que se pueda confiar posteriormente para
corte.
• En circunstancias excepcionales en las que una persona considere necesario acceder a los
datos originales almacenados en una computadora de destino, esa persona debe ser
competente para hacerlo y brindar evidencia que explique la relevancia y las implicaciones
de sus acciones. • Se debe crear y
preservar un registro de auditoría u otro registro de todos los procesos aplicados a la evidencia
basada en computadora. Un tercero independiente debería poder examinar esos
procedimientos y lograr los mismos resultados.
• El oficial a cargo del caso es responsable de asegurar que se respeten la ley y estos principios.
Esto se aplica a la posesión y acceso a la información contenida en una computadora.
Deben estar convencidos de que cualquier persona que acceda a la computadora, o
cualquier uso de un dispositivo de copia, cumpla con estos principios.
A menudo se hace uso de organizaciones que se especializan en recuperar y proteger datos
perdidos de unidades de disco de computadora.
Protección de firmas digitales
Tradicionalmente, una firma manuscrita en un documento original prueba quién lo firmó y se
pueden detectar alteraciones. En el mundo electrónico, el original no se distingue de una copia y,
por lo tanto, existe la posibilidad de fraude. Las firmas digitales son una forma de firma electrónica
que aborda este problema. Una firma digital vincula electrónicamente al remitente de un mensaje
con el contenido del mensaje real para demostrar que es genuino. También prueba cuándo se
envió, a quién se envió, que no ha sido manipulado, que se ha mantenido confidencial y que
ninguna de las partes puede negar su transmisión.
Las empresas utilizan cada vez más las firmas digitales para realizar sus negocios y se ha
desarrollado legislación para facilitar y controlar su uso.
Sin embargo, lo que es aceptable varía según las jurisdicciones legales, por lo que es importante
que obtenga asesoramiento legal antes de adoptar el uso de firmas digitales.
Dentro de la UE, la directiva legal establece que a las firmas electrónicas no se les negará el
efecto legal o la admisibilidad simplemente por el hecho de que son
76
en forma electrónica. Las firmas electrónicas se tratarán como firmas manuscritas si están
respaldadas por certificados cualificados, que son proporcionados por un proveedor de
servicios de certificación y creados por un dispositivo seguro de creación de firma. Las firmas
electrónicas son admisibles como prueba en procedimientos judiciales tanto en relación con
la autenticidad de la transmisión como con la integridad del contenido de esa comunicación.
En el Reino Unido, esta directiva se incorporó a la legislación local como la Ley de
Comunicaciones Electrónicas del Reino Unido de 2000.
Hay mucho énfasis en que la autoridad de certificación se considere digna de confianza.
Las autoridades de certificación generalmente hacen que otras autoridades de certificación
verifiquen sus firmas para generar un mayor grado de confianza. Las autoridades de
certificación pueden ser responsables de cualquier compromiso con la integridad de los
documentos firmados digitalmente autorizados por ellas, por lo que, para limitar su
responsabilidad, muchas autoridades de certificación estipulan un límite financiero para las transacciones.
Algunas jurisdicciones legales controlan hasta qué punto las autoridades de certificación
extranjeras pueden emitir certificados que cumplan con las leyes locales. En la UE, tiene que
haber un acuerdo reconocido entre la UE y el país que ha emitido el certificado.
Restricciones a la compra, uso y movimiento de tecnología criptográfica
La criptografía es una poderosa herramienta para proteger la privacidad que pueden usar las
empresas, los gobiernos, los delincuentes y las personas para proteger la información
confidencial. Los gobiernos argumentan que es de interés nacional para ellos controlar la
actividad criptográfica para proteger al individuo y prevenir y rastrear la actividad criminal o
terrorista. Como tal, existen numerosos controles sobre su uso. La legislación sobre
criptografía varía mucho de un país a otro. En algunos países los controles son bastante
draconianos, especialmente donde están en el gobierno regímenes políticos represivos. Es
importante que las organizaciones que operan internacionalmente comprendan las
restricciones operativas locales, ya que las penas pueden ser extremadamente severas (por
ejemplo, por traición) y la pena de muerte está incluida en algunos estatutos.
En China, las organizaciones y los individuos extranjeros tienen que obtener permiso para
usar criptografía según la directiva 273 del Consejo de Estado de China de la Regulación del
Código de Cifrado Comercial. En Pakistán, todo el hardware y software de encriptación debe
ser inspeccionado y aprobado por la Autoridad de Telecomunicaciones de Pakistán. Incluso
dentro de la Unión Europea, existen variaciones sobre el uso aceptable de la criptografía.
Francia tiene una serie de requisitos muy específicos sobre cómo se puede usar la criptografía
que se suman a las directivas de la UE.
La exportación de controles criptográficos está controlada en muchos países por el Acuerdo
de Wassenaar (WA) de 1996. El objetivo de este acuerdo era garantizar que las transferencias
de armas de fuego convencionales y bienes y tecnologías de doble uso entre países se
realizaran de manera responsable y no el desarrollo de regímenes hostiles. Hay 40 países
participantes.
77
y, aunque los controles de exportación son implementados por cada Estado participante
individual de WA, el alcance de los controles de exportación está determinado por las directivas
de Wassenaar.
Los controles criptográficos deben utilizarse de conformidad con todos los acuerdos, leyes
y reglamentos pertinentes. La legislación local puede prohibir o restringir el uso de criptografía
fuerte. Puede restringir su venta y movimiento a otro país o poner controles regulatorios y
requisitos de registro para su uso. Debe buscar asesoramiento legal para garantizar el
cumplimiento de las leyes y reglamentos nacionales, y al transferir información o herramientas
cifradas de una jurisdicción legal a otra.
La serie ISO/IEC 27000 recomienda que se consideren los siguientes factores: •
Restricciones a la importación y exportación de hardware y software de computadora.
para realizar funciones criptográficas;
• Restricciones a la importación y exportación de hardware y software informático que esté
diseñado para tener funciones criptográficas añadidas;
• restricciones en el uso de cifrado; • métodos
obligatorios o discrecionales de acceso por parte de las autoridades de los países a la
información encriptada por hardware y software de computadora para brindar
confidencialidad del contenido.
Para las organizaciones que están sujetas a control regulatorio, el organismo regulador
asociado puede definir restricciones adicionales sobre cómo se debe usar la criptografía. Por
ejemplo, la industria financiera puede especificar el uso de estándares de seguridad
particulares. Estos factores también deben tenerse en cuenta al aplicar controles criptográficos.
Actividad 3.6
A Miss Peacock le preocupa que tras la fuga de información los controles de GANT
para proteger la información personal puede ser débil. Ella le ha pedido que lleve a
cabo una revisión de la legislación de privacidad que afecta a GANT para asegurarse
de que la organización cumple. ¿Cuáles serían las áreas principales que miraría?
NORMAS Y PROCEDIMIENTOS DE SEGURIDAD
Los estándares impactan en muchos aspectos de nuestra vida diaria y se han desarrollado
para garantizar que los productos y servicios sean seguros, confiables y eficientes. También
prevén la capacidad de intercambio (interoperabilidad entre productos y sistemas). Hoy en
día, existen estándares reconocidos para casi todos los aspectos del comercio, la industria o
el gobierno, y el aseguramiento de la información no es una excepción. Los estándares son
producidos por reconocidos
78
organismos de normalización y permiten a las organizaciones demostrar un nivel
necesario de competencia técnica, operativa o administrativa. Existen muchas normas y
reglamentos técnicos y muchas organizaciones en todo el mundo los elaboran. Este
capítulo analizará cómo los estándares producidos externamente impactan en la gestión
de aseguramiento de la información dentro de la empresa.
La intención de esta sección es proporcionar al lector el conocimiento básico de algunos
de los principales estándares producidos externamente que se aplican a la gestión de
Aseguramiento de la Información. Después del estudio en esta área, el lector debe ser
capaz de explicar y justificar cada uno de los siguientes conceptos.
Estándares nacionales e internacionales
En el área de Aseguramiento de la Información existen muchos estándares que se aplican.
Estos suelen definir un conjunto de requisitos para productos, procesos o procedimientos
y son producidos por organizaciones conocidas como organismos de normalización.
Colaboran con expertos de la industria en diferentes áreas, ya sea que representen a
proveedores, agencias de investigación científica o departamentos gubernamentales, para
producir mejores prácticas que otros puedan aplicar. La jurisdicción de un organismo de
normalización puede extenderse a un sector industrial específico, un país en particular o
internacionalmente. Los estándares que se aplicarán a una empresa variarán dependiendo
de varios factores; estos pueden incluir el país real en el que tiene su sede la empresa, si
trabaja a nivel internacional, el sector industrial en el que opera o quizás la participación en
contratos gubernamentales. La mayoría de las normas son producidas por organizaciones
sin ánimo de lucro y financiadas por las distintas partes que tienen un interés personal en
su existencia. Por lo general, en realidad no regulan la adopción de sus estándares,
aunque algunos brindan certificación o acreditación a las organizaciones para permitirles
demostrar el cumplimiento de los estándares establecidos.
Aunque no es obligatorio, la falta de implementación o cumplimiento de los estándares
aceptados puede tener un impacto adverso significativo en una organización. Por ejemplo,
si su producto o servicio no está certificado como compatible con las ofertas de otros
proveedores, esto puede disuadir a los clientes potenciales de realizar pedidos.
Alternativamente, la organización puede no ser capaz de demostrar un nivel suficiente de
competencia en la gestión de procesos particulares. Por lo tanto, es importante comprender
los estándares que pueden o deben aplicarse dentro de la empresa. El resto de esta
sección analizará algunos de los estándares comunes relacionados con el aseguramiento
de la información, así como
las propias organizaciones productoras de normas.
La Organización Internacional para la Estandarización (ISO) es el desarrollador de
estándares más grande del mundo y ha publicado más de 1600 estándares internacionales
desde que se estableció en 1947. La organización fue fundada para
79
facilitar la coordinación internacional y la unificación de stand industrial
SDRA. Las normas ISO son principalmente técnicas y cubren una gran cantidad de sectores,
incluidos la agricultura, la construcción, la ingeniería y la tecnología de la información. Los
estándares ISO son desarrollados en colaboración por comités de más de 150 países
participantes. Cada estándar se revisa al menos cada cinco años para garantizar que se
mantenga actualizado y que aquellos que ya no sean relevantes puedan retirarse. Las ediciones
de estos estándares son publicadas formalmente por ISO y se pueden comprar.
La ISO trabaja en colaboración con otras dos organizaciones internacionales de normalización,
la Comisión Electrotécnica Internacional (IEC) y la Unión Internacional de Telecomunicaciones
(UIT), para formar la Cooperación Mundial de Normalización. Estas organizaciones han tenido
una gran influencia en la producción de estándares que afectan a la industria de la tecnología
de la información. La convención de nomenclatura para las normas aprobadas conjuntamente
por IEC e ISO es ISO/IEC y existe una serie de normas conjuntas que afectan directamente a la
gestión de seguridad de la información. Los dos más significativos son la serie ISO/IEC 27000
y la norma ISO/IEC 13335 – Directrices para la gestión de la seguridad de TI.
La serie ISO/IEC 27000 son los estándares actuales para Information Secur
gestión de la ciudad. La numeración de los estándares dentro de esta serie a veces puede
resultar confusa para las organizaciones del Reino Unido. Esto se debe a que algunos se
conocían anteriormente como estándar británico u otros estándares anteriores y se puede hacer
referencia a ellos con sus nombres y números antiguos. Las dos normas principales de esta
serie que se utilizan actualmente son la ISO 27001 y la ISO 27002.
Se están desarrollando más estándares dentro de la serie para cubrir temas de aseguramiento
de la información, como la gestión de riesgos. ISO 27001 (originalmente como BS7799 parte 2)
especifica el estándar de requisitos del Sistema de Gestión de Seguridad de la Información. Las
organizaciones pueden certificarse formalmente contra él y esto se tratará con más detalle más
adelante en este capítulo. ISO 27002 (originalmente BS7799 parte 1, luego ISO 17799 en 2000)
proporciona un código de práctica para la gestión de la seguridad de la información. Es
probablemente el estándar más influyente para la gestión de aseguramiento de la información.
Describe un conjunto de controles de alto nivel para proteger la confidencialidad, la integridad y
la disponibilidad de los activos de información de una organización, y analiza los diversos
aspectos del aseguramiento, como la política de seguridad, la organización de aseguramiento
de la información, la gestión de activos, el aseguramiento de los recursos humanos y el
cumplimiento. ISO/IEC 27002 no es una especificación formal como ISO/IEC 27001, pero es un
documento de asesoramiento genérico. Para utilizar el estándar, la organización deberá evaluar
los riesgos de su empresa y aplicar las medidas de control recomendadas del estándar, según
corresponda, para mitigar estos riesgos.
La norma ISO/IEC 13335: Directrices para la gestión de la seguridad informática se centra
principalmente en las medidas técnicas de control de la seguridad. Originalmente comenzó
como un informe técnico antes de evolucionar para convertirse en el estándar reconocido
internacionalmente para la gestión de la seguridad de la tecnología de la información y las
comunicaciones. Este consistió en un conjunto de directrices que se divide en cinco partes que
cubren:
80
(1) conceptos y modelos para la gestión de la seguridad de las tecnologías de la
información y las comunicaciones
(TIC); (2) técnicas para el hombre de riesgo de seguridad de la información y las comunicaciones
gestión;
(3) técnicas para la gestión de la seguridad de la tecnología de la información; (4)
selección de salvaguardas (controles técnicos); (5)
orientación de gestión sobre la seguridad de la red.
Las partes 1 y 2 se revisaron en 2004 en la norma ISO 133351, que proporciona
conceptos y modelos para la gestión de la seguridad de las tecnologías de la información
y las comunicaciones (TIC) y aborda los problemas generales de gestión de garantías de
planificación, implementación y seguridad operativa. Las partes restantes están
actualmente en proceso de ser incorporadas a otras normas ISO a medida que evolucionan.
Otras organizaciones internacionales elaboran normas sobre gestión de la seguridad.
Por ejemplo, el Foro Internacional de Seguridad (ISF) ha producido un Estándar de Buenas
Prácticas para la Garantía de la Información que revisan cada dos años. El estándar se
centra en cómo la Garantía de la información puede respaldar los procesos comerciales
de una organización y brinda orientación sobre la implementación de la protección
adecuada. Los controles se agrupan en varias categorías, como la implementación de
controles de administración de seguridad, controles para proteger sistemas comerciales
críticos, instalaciones informáticas, implementación de redes, desarrollo de sistemas y
entornos de usuarios finales. Los miembros de la ISF (que se encuentran en las
principales organizaciones corporativas) financian el foro a través de una suscripción anual
y luego colaboran con ellos en el desarrollo de las mejores prácticas en seguridad de TI y
gestión de riesgos de la información.
Hay muchos otros estándares que se han producido (no exclusivamente para el
aseguramiento de la información) que tienen un impacto en la gestión del aseguramiento
de la información. Estos cubren otras funciones o procesos comerciales relacionados,
como la retención de registros (ISO 15489), la implementación de la continuidad comercial
(PAS 56 y 77), el desarrollo de proyectos (COBIT), la gestión de servicios de tecnología
de la información (ISO 2000 ITIL) y la calidad. seguridad (ISO 9000).
Si estos estándares se han implementado dentro de su empresa, es necesario asegurarse
de que los controles de gestión de seguridad de la información sean compatibles con
ellos y respalden sus requisitos. Por ejemplo, ISO 2000 ITIL incluye requisitos para la
seguridad operativa.
Es necesario estar familiarizado con las normas que se aplican al país y al sector
industrial en el que opera la empresa. Las industrias financieras y manufactureras están
sujetas a una amplia gama de estándares que deben cumplirse, y la incapacidad de
cumplir con estos requisitos podría, por ejemplo, impedir que una organización negocie
activamente en el mercado de servicios financieros.
81
Certificación de los sistemas de gestión de la seguridad de la información según los estándares
apropiados
Obtener la certificación de Garantía de la información es un medio para demostrar que se toma en
serio la Garantía de la información y que se han implementado buenos procesos y controles de
garantía. Un número cada vez mayor de organizaciones buscan ahora la certificación en sus socios
comerciales y, para algunas, la certificación puede ser un requisito previo para hacer negocios. Las
certificaciones pueden aplicarse a toda la empresa o a un conjunto específico de procesos dentro
de la organización. La certificación generalmente implica que la empresa se someta a una auditoría
externa por parte de un tercero acreditado.
La ISO ejecuta una serie de esquemas de certificación
según sus normas, incluida la ISO 27001, que permite a una organización
tener sus procesos de gestión y gobierno de aseguramiento de la
información certificados según la norma ISO 27001. Para obtener la
acreditación, el SGSI (Sistema de gestión de la seguridad de la
información) de la organización debe someterse a una auditoría externa
realizada por un organismo acreditado. organización de terceros ited.
Los auditores utilizan procesos estándar para verificar las políticas,
estándares y procedimientos del SGSI de la organización con respecto
al requisito de ISO 27001 y luego buscan evidencia de que se están
utilizando dentro de la organización. Los hallazgos de la auditoría se informan a la organización y
se otorgará la certificación si tiene éxito. Después de la certificación inicial, se llevarán a cabo
seguimientos periódicos (reevaluaciones) para garantizar que se sigan cumpliendo los estándares.
También existe una norma ISO (ISO 27006) que se utiliza para guiar a los organismos de certificación
acreditados en los procesos formales para certificar o registrar los sistemas de gestión de Garantía
de la Información de otras organizaciones.
En el Reino Unido, industrias como los servicios financieros requieren la certificación de ciertos
estándares, y los casos graves de incumplimiento pueden dar lugar a sanciones de la Autoridad de
Servicios Financieros (FSA), como multas elevadas o la cancelación de su registro. Un ejemplo de
un estándar aplicable es el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI).
Se implementó originalmente en los EE. UU., pero ahora se ha ampliado para incluir otros países.
Se introdujo para reducir el compromiso de las tarjetas de crédito y hacer frente a los crecientes
casos de fraude. Especifica las medidas de protección que deben implementar las organizaciones
que procesan información de pago. El incumplimiento puede resultar en que una organización reciba
multas sustanciales o que se tomen medidas para prohibir que la organización use tarjetas como
método de pago.
Esto podría poner en serio peligro a la organización. Los comerciantes, minoristas y proveedores de
servicios de PCI deben almacenar los datos de la cuenta de la tarjeta de crédito de forma segura
según lo especificado por el estándar y para demostrar el cumplimiento a su adquirente (comerciante).
Banco. Todos los bancos adquirentes deben tener una prueba certificada de cumplimiento de PCI
de sus comerciantes o estarán sujetos a multas de la FSA.
82
Certificación de productos según estándares reconocidos
Muchos productos requieren pruebas y certificaciones independientes antes de que
puedan lanzarse al mercado, para garantizar que cumplan con los requisitos de seguridad,
las especificaciones técnicas u otras normas de cumplimiento. Es útil contar con un
tercero independiente para verificar que un nuevo producto cumple con las expectativas
y que se puede confiar en él. Esto se aplica particularmente a los productos de seguridad,
ya que a menudo es difícil para el consumidor poder probar la seguridad del producto por
sí mismo. Los certificados brindan a los clientes la seguridad de que las características
de seguridad ofrecen el nivel de protección que reclama el proveedor. Es útil saber que
se ha utilizado un enfoque basado en estándares para realizar esta evaluación, ya que
esto ayudará a comprender qué tan riguroso ha sido. Los resultados de las pruebas
producidos en un formato estandarizado permitirán una comparación sencilla con otros
productos de la competencia.
Las pruebas, evaluaciones y certificaciones de seguridad han sido realizadas
principalmente por agencias gubernamentales u organizaciones que sirven al mercado de defensa.
Diferentes países han desarrollado sus propios sistemas de evaluación y certificación
utilizando una variedad de modelos y enfoques de clasificación. Esto a menudo ha hecho
que la vida sea compleja cuando se trata de otros esquemas de certificación reconocidos
internacionalmente. Ha significado que los productos han tenido que volver a certificarse
cada vez para su uso en diferentes países o sectores industriales, lo que ha exacerbado
un proceso que ya de por sí es lento y costoso.
En los últimos años ha habido una racionalización de los diversos esquemas de
certificación. En la década de 1990, la Unión Europea armonizó los diversos esquemas
de sus estados miembros en los Criterios de evaluación de la seguridad de la tecnología
de la información (ITSEC). Más recientemente, este esquema se armonizó con otros
modelos, como los Criterios de evaluación de productos informáticos confiables de
Canadá (CTCPEC) y los Criterios federales de EE. UU. (TCSEC, a menudo denominado
Libro naranja) para formar los Criterios comunes para la evaluación de la seguridad de la
tecnología de la información ( CC). Este sistema de evaluación se está convirtiendo cada
vez más en el enfoque internacionalmente aceptado para la certificación de seguridad,
reemplazando a los sistemas nacionales y regionales. En 1999, la ISO incorporó sus
criterios de evaluación en un estándar con ISO 15408: los Criterios comunes para la
evaluación de la seguridad de la tecnología de la información. Este es ahora el modelo
de certificación más utilizado.
La norma ISO 15408 especifica una serie de clases de garantía y funcionalidad que
se pueden probar. El estándar tiene siete niveles de garantía.
para describir el nivel de rigor utilizado para llevar a cabo las pruebas, desde el nivel de
entrada de EAL 1, que prueba la funcionalidad declarada hasta la clasificación más alta,
hasta EAL 7, que proporciona un diseño verificado formalmente que se ha sometido a
pruebas rigurosas. Cuanto más alta es la clasificación, más compleja y rigurosa es la
prueba. Obtener clasificaciones EAL 5–7 es generalmente menos común para las
organizaciones comerciales, ya que las pruebas requieren técnicas de ingeniería de
seguridad muy especializadas y son complejas. Estas clasificaciones más altas tienden a
ser utilizadas por las organizaciones militares y gubernamentales.
83
El desarrollador del producto o sistema tiene que definir lo que se somete a
evaluación (conocido como el objetivo de la evaluación (TOE)) y especificar el nivel de
garantía al que aspira. La certificación la lleva a cabo una agencia de pruebas aprobada.
En el Reino Unido, la certificación de seguridad está a cargo del Grupo de Seguridad
de Comunicaciones y Electrónica (CESG) (parte de la Sede de Comunicaciones del
Gobierno (GCHQ) en Cheltenham).
Esta es la autoridad técnica nacional del gobierno del Reino Unido para la información.
garantía.
La evaluación se realiza dentro de las Instalaciones de Evaluación Comercial (CLEF),
que son organizaciones comerciales designadas por la CESG. Cualquier vulnerabilidad
que se encuentre durante la prueba debe resolverse antes de que el probador pueda
enviar el informe técnico de evaluación (ETR) a la Junta de Certificación para su
aprobación. La Junta luego emitirá un certificado cuando esté satisfecho con estos
resultados. Tras la certificación, el producto debe entrar en un plan de mantenimiento
para garantizar que todavía puede proporcionar el nivel de protección acordado a
medida que las vulnerabilidades y las amenazas cambian con el tiempo.
Para permitir el uso internacional de los certificados existentes, se han establecido
acuerdos para permitir que los certificados de seguridad sean reconocidos por otros
países. Por ejemplo, el Acuerdo de Reconocimiento de Criterios Comunes (CCRA)
permite que los certificados de Criterios Comunes (CC) hasta EAL 4 sean reconocidos
en todos los países participantes.
Conocimiento de las normas técnicas clave
Hay una serie de normas técnicas que son aplicables a la gestión de Garantía de la
Información. Esta sección examinará algunos de los organismos productores de
normas técnicas más conocidos.
El Grupo de Trabajo de Ingeniería de Internet (IETF) es una gran comunidad
internacional abierta que desarrolla y promueve estándares para Internet. Su órgano
de gobierno se reúne dos o tres veces al año. Los estándares son desarrollados por
grupos de trabajo de partes interesadas, como diseñadores de redes, operadores,
proveedores e investigadores, cada uno de los cuales se enfoca en un tema en
particular. Los estándares generados se conocen como RFC (Request for Comments);
y luego de la producción, se emiten posteriormente a la comunidad IETF como
borradores de RFC para comentarios y revisión. Una vez que se ha emitido un RFC, no
se retira, aunque con el tiempo puede ser reemplazado por otros RFC. Esto de muchas
maneras puede mostrar el desarrollo de estándares. Los documentos RFC publicados
tienen el estado de un estándar propuesto o una declaración informativa.
Las publicaciones de estándares federales de procesamiento de información (FIPS
PUBS) son estándares y pautas desarrollados y emitidos por el Instituto Nacional de
Estándares y Tecnología (NIST) para los sistemas informáticos del gobierno federal
dentro de los EE. UU. Siempre que sea posible, el gobierno federal de los EE. UU.
utiliza los estándares de la industria publicados (reconocidos internacionalmente)
existentes pero, si ninguno es adecuado, le pedirá ayuda al NIST para desarrollarlos.
NIST colabora con comités de estándares nacionales e internacionales como IETF y otros
84
partes interesadas (como proveedores y organismos de la industria) para producir FIPS PUBS.
Dentro de Europa, el Instituto Europeo de Normas de Telecomunicaciones (ETSI), con sede en
Francia, tiene la responsabilidad oficial de la normalización de las Tecnologías de la Información y la
Comunicación (TIC). Está reconocido por la Comisión Europea y la secretaría de la Asociación
Europea de Libre Comercio (AELC). Su objetivo principal es proporcionar especificaciones técnicas
(o normas) que pueden ser utilizadas en las directivas y reglamentos europeos o por los fabricantes
para demostrar que sus productos cumplen con estas directivas y reglamentos. Los productos
demuestran conformidad adjuntando la marca 'CE' en sus productos. Los miembros del ETSI
representan áreas que tienen un interés personal en el proceso e incluyen fabricantes, operadores
de redes, administraciones, proveedores de servicios, organismos de investigación y usuarios.
Vienen de una amplia selección de países tanto dentro como fuera de Europa. Los miembros
determinan el programa de trabajo del Instituto, asignan recursos y aprueban sus entregables.
Los documentos se pueden descargar desde el sitio web de ETSI a través de su documento
servicio de atención (EDS).
Ejemplos de preguntas
1. ¿Cuál de las siguientes actividades no debe ser manejada por la función de Aseguramiento de la
Información?
a. Monitoreo de la efectividad de los arreglos de aseguramiento de la empresa. b. Asesoramiento
en Aseguramiento de la Información. C. Ofrecer de forma
eficaz un entorno seguro en toda la empresa. d. Informar sobre la eficacia del aseguramiento
de la empresa
arreglos a la alta dirección.
2. ¿Dónde debería ubicarse la función de Garantía de la información dentro de la empresa para que
pueda facilitar la coordinación total de la gestión de la garantía en toda la empresa? a. Dentro
de la función de cumplimiento. b. A
nivel de tablero. C. Dependerá de la estructura
de la empresa. d.
Dentro del grupo de TI.
3. ¿Cuál es el rol principal del director de la junta con responsabilidad de Informar?
¿Garantía de ación?
a. Asegúrese de que se implementen los controles de seguridad apropiados en todo el
empresa.
b. Tener una comprensión detallada de las amenazas que enfrenta la empresa. C.
Implemente soluciones de aseguramiento de la información en toda la empresa. d.
Proporcionar la gestión diaria de la función de aseguramiento de la información.
4. Las responsabilidades claramente definidas para el aseguramiento de la información deben incluir
¿cuál de los siguientes? a.
Procedimientos operativos y requisitos de información. b. El alcance de
las responsabilidades y el nivel de autoridad otorgado.
85
C. Procedimiento disciplinario. d.
Ninguno de estos tres.
5. ¿Cuál sería la mejor manera de enterarse y planificar cualquier cambio regulatorio en su industria
que pueda afectar la seguridad de la información? a. Contratación permanente de
consultores. b. Escanear tableros de anuncios y
sitios web en busca de fragmentos de información. C. Esperando hasta que los cambios
fueran anunciados por la prensa. d. Mantener una relación con los
organismos reguladores de la industria.
6. ¿Cuál de los siguientes grupos de personas debería tener acceso a la alta
nivel de política de seguridad para la empresa? a.
Alta gerencia y toda la gerencia de línea. b. Todo el personal de
la empresa. C. Terceros que tengan acceso
a los Sistemas de Información de la empresa. d. Todo lo anterior.
7. ¿Cuál de estos documentos de seguridad no es obligatorio? a. Una
politica. b. Un
estandar.
C. Una pauta. d.
Un procedimiento.
8. ¿Cuál de las siguientes afirmaciones describe mejor una seguridad de la información?
¿arquitectura?
a. Una descripción técnica de los controles de aseguramiento aplicados dentro de la empresa. b.
Un marco de controles de aseguramiento que se puede aplicar en toda la empresa para
proteger sus activos de información.
C. Los controles de seguridad física aplicados dentro de los lugares de seguridad. d. Un
plan para futuros controles de seguridad.
9. ¿Cuál de los siguientes es el estándar de seguridad que se aplica a la acreditación de los
controles de seguridad dentro de los productos?
a. ISO 27001. b.
Norma ISO 15408.
C. ISO 9000. d.
Norma ISO 13335.
10. Existe legislación de privacidad para proteger los derechos de: a.
Criminales. b.
Compañías. C. El
individuo.
d. Delegados de Protección de Datos.
11. ¿Cuál de las siguientes no es una fase en la gestión de incidentes?
a. Evaluación. b.
Investigación. C.
Informes. d.
Eliminación.
86
Indicaciones para las actividades del capítulo
Actividad 3.1
El plan debe incluir los siguientes componentes.
• A un miembro superior del personal, por ejemplo, la Srta. Peacock, se le debe dar la
responsabilidad de miembro de la junta para el aseguramiento de la información y
proporcionar un patrocinio de alto nivel para el aseguramiento.
• A alguien se le debe asignar la función de coordinación diaria de la Garantía de la información
en GANT (responsabilidad a tiempo completo), sugiérase usted mismo.
• Detalle lo que podrá entregar dentro de la función de aseguramiento,
Por ejemplo
− coordinar las actividades de aseguramiento en GANT;
− proporcionar asesoramiento y orientación sobre aseguramiento;
− elaboración de una política de
seguridad; − seguimiento de la eficacia de los controles de
aseguramiento; − informar sobre la eficacia de los controles;
− sensibilizar sobre el aseguramiento con GANT y garantizar que las personas entiendan
sus responsabilidades.
• Identifique a las personas que pueden ayudarlo dentro de GANT, decida lo que deben hacer
y solicite que se integren responsabilidades de aseguramiento en los roles.
Actividad 3.2
Un código de prácticas para usuarios finales de GANT podría incluir declaraciones sobre:
• acceso a los sistemas;
• protección de contraseñas;
• dejar información desatendida;
• medidas necesarias para proteger la información sobre los miembros de GANT;
• protección de la información y el equipo si se saca de la oficina; • comportamiento
aceptable al usar sistemas GANT;
• uso de Internet;
• uso de los sistemas GANT para uso personal.
87
Actividad 3.3
Los siguientes tipos de actividades ayudarán a Miss Peacock a demostrar a los auditores y
reguladores que la garantía se gestiona de manera eficaz:
• establecer un proceso de gobierno con revisiones periódicas de gobierno
que puede ser presidido por la señorita Peacock;
• establecer un registro de riesgos para registrar los riesgos de información de GANT y
documentar cómo se tratan los riesgos;
• definir un cronograma para mostrar que el aseguramiento se revisa regularmente, por
ejemplos de revisiones de políticas y cumplimiento;
• establecer una biblioteca de documentación para demostrar que el trabajo de revisión y
planificación del aseguramiento se ha completado y registrado formalmente.
La biblioteca podría contener políticas de seguridad actuales, resultados de la evaluación de
riesgos, resultados de auditorías y revisiones de cumplimiento, actas de revisiones de
gobernanza, registro de riesgos de GANT, evaluaciones de riesgos, informes de incidentes,
dispensas a la política, etc.
Actividad 3.4
Dado que GANT es una organización pequeña, bastará con un proceso simple para gestionar las
infracciones de seguridad. Los elementos principales deben incluir:
• se debe designar personal (con adjuntos) para gestionar las violaciones de seguridad;
• se debe desarrollar un procedimiento para reportar, registrar y gestionar incidentes para que
puedan ser tratados de manera consistente;
• todo el personal y los miembros deben saber a quién deben contactar y qué deben hacer si
sospechan una infracción;
• El personal responsable de la gestión de incidentes debe estar capacitado para comprender
cómo deben tratar los incidentes potenciales y cuándo deben involucrarse con terceros
especialistas o con las fuerzas del orden.
Actividad 3.5
Un enfoque sensato sería, en primer lugar, llevar a cabo una evaluación de riesgos de alto nivel para
identificar dónde se encuentran los principales riesgos y qué áreas causan mayor preocupación y
por qué. Esto debería involucrar a las principales partes interesadas, como el Dr. Peabody y la
señorita Peacock. Luego se debe desarrollar un plan de alto nivel, que incluya escalas de tiempo y
esfuerzo, para abordar los problemas más apremiantes rápidamente con mejoras tácticas y una
estrategia a más largo plazo para mejorar el control en general. Esto debe estar respaldado por un
caso comercial que comunique los beneficios, incluidos los costos generales. Se debe preparar una
presentación simple en términos comerciales para comunicar esta información a la señorita Peacock
para que pueda tomar una decisión sobre qué trabajo debe realizarse. Una vez acordado, más
88
Se puede implementar un plan detallado para llevar a cabo el trabajo y revisarlo regularmente para
verificar el progreso.
Actividad 3.6
Para garantizar que GANT cumpla con la legislación adecuada sobre información personal, se
deben llevar a cabo los siguientes tipos de actividades: • revisar la legislación
local y cómo se aplica a GANT;
• revisar si la información personal se pasa a cualquier otro jur legal
isdicción y, en caso afirmativo, cuáles son sus requisitos;
• comprender si las leyes locales exigen que se registre la tenencia de información personal y,
de ser así, si el registro está actualizado y es preciso;
• identificar si existe una política para especificar cómo la información personal
debe celebrarse y está actualizado;
• identificar qué sistemas contienen información personal;
• identificar qué controles existen para proteger la información personal
ser retenido;
• identificar quién tiene acceso a la información y entienden
sus responsabilidades;
• identificar si alguna información se comparte con terceros y, de ser así, qué
los controles están en su lugar;
• entender qué monitoreo se lleva a cabo y si cumple con
legislación local;
• identificar si la empresa ha comunicado a las personas qué
se lleva a cabo el seguimiento;
• documentar la búsqueda de problemas de cumplimiento y hacer recomendaciones
menciones para resolver;
• discutir los hallazgos y recomendaciones con un experto legal.
Respuestas a preguntas de muestra
1. La respuesta correcta es c.
3. La respuesta correcta es a.
4. La respuesta correcta es b.
5. La respuesta correcta es d.
89
Reproducido con permiso del propietario de los derechos de autor. Prohibida la reproducción sin permiso.

3 Information Security Framew Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

3 Information Security Framew Español

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

También podría gustarte