Análisis detallado sobre la nueva ISO 27001:2013

octubre 26, 2013 § Deja un comentario

Tras unos días de vigencia de la nueva ISO 27001:20013 y tras haber realizado ya una lectura más reposada y meditada del nuevo estándar y los cambios introducidos solo puedo decir que esta me gusta mucho el texto de esta versión y que ahora está “mejor enfocada” hacia la valoración del funcionamiento del SGSI por los resultados operativos relacionados con el cumplimiento de los objetivos de seguridad.

En un mundo donde cada vez más la gestión TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los propios departamentos de la Organización).

Como esta revisión ha sido exhaustiva y completa he preferido crear un documento completo con los comentarios sobre la nueva norma para que sea descargable y más manejable que el texto incrustado en el blog.

Podéis proceder a la descarga del documento con licencia Creative Common en “Análisis detallado de la nueva ISO 27001:2013” [PDF] (mirror). Otros documentos relacionados a la actualización de ISO 27000:2013.

La nueva norma va a tener como consecuencia que empecemos todos a hablar del ansiado “cuadro de mando” de la seguridad de la información. Algo en lo que ya he empezado a investigar y cuyo origen parte de las reflexiones colgadas en el post Ciberdefensa: taxonomía de eventos de seguridad.

Fuente: Blog de Javier Cao Avellaneda

Anuncios

Publicada la nueva norma ISO 27001:2013

octubre 14, 2013 § Deja un comentario

Como adelantamos hace unos días, las nuevas normas ISO 27001:2013 e ISO 27002:2013 han sido publicadas. Las normas que ayudan a las empresas a gestionar la seguridad de la información fueron creadas por primera vez por BSI, la empresa de normas de negocio, con el nombre de BS 7799. Con la revisión de 2013, la norma internacional permitirá a las empresas de todos los tamaños y sectores adaptarse a la rápida evolución y la creciente complejidad de la gestión de la información y el continuo desafío que plantea la seguridad cibernética. La votación final fue lanzada principios de julio. Descargue la guía gratuita de Transición (inglés) y los cambios realizados, aquí, aquí y aquí.

El funcionamiento de los negocios de hoy en día difiere enormemente de la primera utilización de BS 7799 en 1995, los avances tecnológicos significan que las necesidades de seguridad de la información también han cambiado. Las revisiones ayudarán a las empresas a percibir los cambios en seguridad de la información y no solo limitarse a TI, e incluye elementos más amplios, como las personas. También tiene en cuenta las interacciones que pueden ocurrir entre otras normas de Sistemas de Gestión y cuestiones como la Gestión de Riesgos y Gestión de Continuidad del Negocio.

ISO 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de Gestión de Seguridad de la Información – Requisitos especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información.

Cambios clave:

  • Se ha modificado para adaptarse a la nueva estructura de alto nivel utilizado en todas las normas de Sistemas de Gestión, lo que simplifica su integración con otros sistemas de gestión
  • Incorpora los comentarios de los usuarios de la versión 2005 y genéricamente tiene en cuenta la evolución del panorama tecnológico de los últimos 8 años

¿Cómo las empresas pueden beneficiarse de la norma ISO 27001?

  • Aumenta la reputación de los negocios que han implementado la norma
  • Protege a las empresas mediante la identificación de riesgos y estableciendo controles para gestionarlos o reducirlos
  • Ayuda a los grupos de interés y aumenta la confianza del cliente, teniendo sus datos protegidos
  • Aumenta las oportunidades de acceso a licitaciones mediante la demostración de cumplimiento y obteniendo un estatus como proveedor preferido

Fuente: BSI Group

Reflexiones sobre la norma ISO/IEC 27037:2012 sobre evidencia digital

septiembre 18, 2013 § 1 comentario

En el desarrollo de un análisis forense digital tradicional con medios magnéticos y ópticos, generalmente los analistas forenses acuden a la buena práctica internacional para soportar los pasos que se adelantan con el fin de asegurar la evidencia digital identificada en los diferentes componentes informáticos y tecnológicos presentes en la escena del crimen.

Estas prácticas permiten establecer un conjunto base de validación para la contraparte y el juzgador, con el fin de probar la idoneidad del proceso ejecutado y la confiabilidad de los resultados, luego de las técnicas aplicadas para obtener la evidencia digital clave para efectos de soportar las afirmaciones o declaraciones sobre una temática particular que se tenga en una diligencia civil, penal o de cualquier índole.

Así las cosas, prácticas como la HB171-2003 Guidelines for the Management of IT Evidence, creada en Australia por la academia, industria, administración de justicia, gobierno y entes policiales, permite una vista homogénea frente al reto de la evidencia digital como elemento de prueba real con todos sus elementos, permitiendo una valoración y análisis que motive y concrete los juicios bien fundados sobre las evidencias que se aporten en el desarrollo de una diligencia probatoria.

De igual forma, las guías del NIST sobre estos temas particularmente en dispositivos móviles, web services, entre otros, así como las indicaciones del Departamento de Justicia de los Estados Unidos en los documentos como Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition, son generalmente instrumentos utilizados por los analistas forenses digitales con el fin de establecer un marco de actuación formal y verificable que permita a los terceros validar las acciones que adelanten sobre la evidencia digital disponible en los medios informáticos.

En este sentido, el peritaje forense informático y tecnológico, siguiendo lo indicado por LOPEZ RIVERA (2012, pág.48) como la “obtención de información y evidencias de los bits que se encuentran en los dispositivos físicos de almacenamiento o virtuales en las redes que intervienen en la interacción de las personas con los sistemas”, requiere un contexto general de actuación que permita a todos los involucrados contar con referentes verificables y de alcance global que exhiban formas de asegurar que los procedimientos aplicados en la pericia son confiables y con arreglo a ley.

Como quiera que a la fecha no se reconoce buena práctica de alcance global, se introduce en este documento la norma ISO/IEC 27037:2012 donde se establecen directrices para la identificación, recolección, adquisición y preservación de la evidencia digital, como un primer documento reconocido por la comunidad internacional y de alcance global para efectos de adelantar pericias forenses informáticas, el cual de ahora en adelante será un referente base para todos los informáticos forenses respecto de sus prácticas y procedimientos actuales.

Contenido completo en fuente original Blog de Jeimy Cano

Nuevas versiones de ISO/IEC 27001 y 27002 (Draft finales)

septiembre 18, 2013 § 2 comentarios

Tal y como señala Anthony M. Freed, al contar la historia de la norma ISO 27000 (antes BS 7799), se celebran los primeros 20 años de su nacimiento y mientras tanto, el comité evaluador ya está listo para lanzar la versión 2013 de la misma.

¿Qué quiere decir esto?

Esto significa que, salvo alguna catástrofe, tendremos las nuevas versiones de las norma ISO/IEC 27001 y 27002 a final de año.

El draft estuvo a disposición del público hasta el 23 de marzo de 2013. Ahora, los comentarios del público fueron analizados y los organismos nacionales votaron a favor de la publicación final de las nuevas normas. A finales de abril se acordaron algunos cambios de menor importancia -como que un control se convirtió en dos- y el texto corregido fue lanzado para una votación final a principios de julio (cambios I,cambios II y cambios III). Las votaciones cerraron el pasado 3 de septiembre, y si todo va bien, la publicación oficial será durante el mes de octubre. La BSI, British Standards Institution, tiene una oferta especial para los que compren su copias borradores ahora, porque luego recibirán automáticamente una copia de la norma final publicada, sin costo.

¿Qué ha cambiado en la norma 27001?

Tal vez el cambio más evidente de la nueva versión es el diseño. Ya no hay requisitos de duplicados y el texto es menos prescriptivo, dando mayor libertad para aplicar los requisitos de la manera que mejor se adapte a las organizaciones. La siguiente figura muestra la relación entre la versión 2005 de la nueva norma y los FDIS.

¿Qué ha cambiado en la norma 27002?

En la actualidad hay sólo 114 controles, en contraposición con los 133 originales, y que se enumeran en 14 dominios, en lugar de los once originales. Muchos controles no han cambiado desde la versión 2005, aunque el texto de la guía se ha actualizado. Algunos controles se han eliminado ya que no se consideran comunes en un mundo interconectado. Otros se han fusionado, ya que eran diferentes maneras de decir la misma cosa, y también hay algunos nuevos controles. El Anexo A de la norma ISO/IEC 27001 refleja la ISO/IEC 27002.

Sin embargo, quizás el cambio más significativo es que el capítulo sobre la evaluación y tratamiento del riesgo se ha eliminado.

En esta sección se muestra cómo se han mapeado los nuevos controles y también los controles que se han eliminado en la nueva ISO.

¿Es necesario actualizar inmediatamente?

Cuando se publique la nueva norma se darán a conocer los acuerdos de transición. El régimen de transición para ISO 9001:2000 puede servir como un buen ejemplo, ya que los cambios entre esa norma y su predecesora, la norma ISO 9001:1994, fueron significativos. En ese caso, la transición se permitió durante un período de dos años. Sin embargo, adoptar un proceso de certificación gradual asegura una transición exitosa a diferentes partes de la norma revisada así como los procesos de seguimiento. Además, las inscripciones a la antigua norma pueden ser admitidos durante un período de tiempo pero luego sólo se permitirá registros para la nueva norma. También podría ser posible, por un período de tiempo, elegir si las auditorías se llevarán a cabo sobre la nueva norma o sobre la antigua. Sin embargo, estas son sólo conjeturas basadas en experiencias anteriores.

Cristian de la Redacción de Segu-Info

ISACA Madrid presenta #CobIT 5 en español

septiembre 12, 2013 § 1 comentario

Tras varios meses de intenso trabajo, ISACA Madrid publica de CobIT 5 en español, una traducción del original en inglés que editó ISACA Internacional el año pasado, de la que el capítulo de Madrid de ISACA se ha encargado de los tres documentos principales: CobIT 5, CobIT 5 Procesos Catalizadores y CobIT 5 Implementación.

CobIT es una guía de mejores prácticas que se plasma como marco de negocio para el gobierno y la gestión de cualquier organización. La traducción ha sido realizada por un grupo de 45 asociados de Isaca de habla hispana, tanto españoles como iberoamericanos. CobIT 5 ayuda a empresas de todos los tamaños a:

  • Mantener información de alta calidad para apoyar decisiones empresariales.
  • Conseguir objetivos estratégicos y beneficios empresariales mediante el uso efectivo e innovador de las TI.
  • Conseguir la excelencia operativa mediante la aplicación fiable y eficiente de la tecnología.
  • Mantener el riesgo relacionado con las TI en un nivel aceptable.
  • Optimizar el coste de los servicios y la tecnología de las TI.
  • Apoyar el cumplimiento con leyes, regulaciones, acuerdos contractuales y políticas relevantes.

Antonio Ramos, presidente de ISACA Madrid, resumió con somero detalle la dimensión del proyecto en la presentación de la traducción de este documento, en el que se han abordado tres libros –CobIT 5, CobIT 5 Procesos Catalizadores y CobIT 5 Implementación– que contienen 402 páginas, 144.500 palabras, 42 gráficos y 75 tablas.

ISACA Madrid está actualmente a la espera de ser escogido por Isaca Internacional para traducir también el documento CobIT for Information Security.

Algunas de las principales novedades de la versión 5 de CobIT:

  • Tres volúmenes (no se veía desde CobIT 3).
  • Nueva representación gráfica (framework) que tiene en cuenta los resultados del proyecto “Taking Governance Forward”, ejecutado en 2010.
  • Nueva jerarquía de Áreas, Dominios, Procesos y Actividades: incorporación del modeloISO/IEC 38500 (sin mencionarlo explícitamente) y cambio en la nomenclatura de los dominios; cambios, también, en los procesos.
  • La cascada de sincronización/alineamiento Negocio-TI toma el protagonismo, pasando de ser un anexo en CobIT 4.1 a ser el punto clave de la filosofía CobIT 5.
  • Nuevas matrices RACI que amplian el enfoque de CobIT más allá del territorio CIO. Ya lo habían hecho ValIT (2006) y RiskIT (2009).
  • CobIT 5 se configura como un marco de referencia para el Gobierno Corporativo de TI. (Pero no el primero. ValIT: el Gobierno Corporativo de las TI es el proceso de toma de decisiones en torno a la aplicación y uso de las TI).
  • Nuevo programa de formación, certificación (de profesionales y empresas?) y acreditación (de instructores), a través del acuerdo con AMPG.
  • Nueva oferta (reducida) de certificados personales (actualmente) a sólo 1 (CobIT Foundation).
  • Nuevo modelo -aparecido previamente para CobIT 4.1 (2011)- de evaluación de la capacidad de los procesos.

La planificación de esta táctica está basada en tres horizontes: de 2012 a 2016, de 2016 a 2019 y de 2019 a 2020.

Fuente: Red Seguridad

Política de Seguridad de la Información modelo publicado por ONTI

septiembre 9, 2013 § Deja un comentario

La Oficina Nacional de Tecnologías de Información (ONTI) aprobó la actualización de la política de seguridad de la información para la administración pública nacional, con especial énfasis en la capacitación y compromiso de los usuarios ya sean funcionarios o técnicos.

La Disposición 3 de la ONTI (que reemplaza a la anterior Disposición ONTI Nº 6/2005) fija la “Política de seguridad de la información modelo” [PDF] que deberá ser aplicada en cada una de las oficinas, organismos y empresas del Estado nacional, con el objetivo de asegurar la continuidad del servicio al ciudadano.

Según cita la disposición, publicada hoy en el Boletín Oficial, los especialistas del Estado nacional entienden que el “incremento en cantidad y variedad de amenazas y vulnerabilidades que rodean a los activos de información” obliga a que esta “Política de Seguridad Modelo” sea “actualizada a fin de mantener su vigencia y nivel de eficacia”.

A su vez remarca que la “mera elaboración por parte de los organismos de políticas de seguridad no es suficiente para garantizar la seguridad de la información, la que permite a su vez garantizar la prestación continua e ininterrumpida de los diversos servicios públicos prestados por dichos organismos”.

Así como que “sólo a través de la efectiva implementación de las medidas contempladas en dichas políticas se podrá proteger acabadamente los recursos de información de los organismos como así también la tecnología utilizada para su procesamiento”.

Además, en el anexo, la ONTI considera que esta política de seguridad de la información “debe ser conocida y cumplida por toda la planta de personal del Organismo, tanto se trate de funcionarios políticos como técnicos, y sea cual fuere su nivel jerárquico y su situación de revista”.

Fuente: Telam

Publicada ISO/IEC/TR 27019:2013

agosto 9, 2013 § Deja un comentario

Esta norma proporciona principios de guía y buenas prácticas basadas en la norma ISO/IEC 27002 para la gestión de seguridad de la información y aplicada a sistemas de control de procesos en entornos industriales de suministro de la energía.

El objetivo de esta norma es extender el conjunto de normas ISO/IEC 27000 para el dominio de los sistemas de control de procesos y la tecnología de automatización, permitiendo de este modo que la industria de la energía pueda poner en práctica un sistema de gestión de información de seguridad normalizado (SGSI) en conformidad con la norma ISO/IEC 27001 que se extienda desde la empresa hasta el nivel de control de procesos.

La misma ya se puede adquirir en el sitio oficial de ISO/IEC/TR 27019:2013.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría iso en Seguridad Informática.