Sociedad de la Información

Este blog, según el subtitulo de la cabecera pretende abarcar la áreas de la Sociedad de la Información, Telecomunicaciones e Internet, Nuevas Tecnologías y Seguridad de la Información. Pero parece ser, al número de entradas me remito, que son los dos primeros temas los que más están presentes en estas páginas. Y eso que mi actividad profesional, en los últimos meses esta mas volcada a Internet y a la Seguridad de la Información.

En esta ocasión voy a relacionar algunas novedades relativas a la Seguridad y que ido enterándome, en ocasiones, por la lectura de mis blogs favoritos, o revisando correos atrasados.

Leer el resto de esta entrada »

INTECO ha presentado el Estudio sobre la Seguridad de la Información y e-Confianza en el ámbito de las Entidades Locales, para la elaboración de este estudio, ha contado con la colaboración de la Federación Española de Municipios y Provincias, FEMP, y la Subdirección General de Coordinación de Recursos Tecnológicos del Ministerio de Administraciones Públicas, MAP.

El informe pone de manifiesto que:

Leer el resto de esta entrada »

El pasado 1 de Julio la Organización Internacional para la Estandarización, ISO, aprobó como estaba previsto el cambio de dominación de la ISO/IEC 17799:2005 por ISO 27002:2005. Esta norma publicada en su primera versión en el año 2000 y corregida y ampliada en el 2005 es el referente en cuanto a las recomendaciones de las mejores prácticas en la gestión de la seguridad de la información. Con este paso la norma se incorpora a la familia ISO 27000 (ver: La familia de Normas ISO/IEC 27000).

La norma que es una guía de buenas practicas, recoge los objetivos de control y los controles recomendables y no es certificable. La certificación se realiza con la norma ISO/IEC 27001, que recoge un resumen de estos controles en su Anexo A, como base para desarrollar los Sistemas de Gestión de la Seguridad de la Información, SGSI, de las organizaciones.

Leer el resto de esta entrada »

Recomiendo leer un trabajo de Alejandro Corletti, que refleja la relación estrecha que hay entre el estándar ISO 27001 y la futura ISO 27004, Métricas para la gestión de Seguridad de la Información, todavía en fase borrador.

En la Introducción de la norma ISO 27004 se indica: “El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”.

Leer el resto de esta entrada »

La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la seguridad de la información de manera similar a lo acontecido con las normas de gestión de la calidad, la serie ISO 9000. En los últimos meses ha habido cambios relacionados con la numeración de dichas normas.

Hace unos días se publicó la Norma ISO/IEC 27006 “Information technology - Security techniques — Requirements for bodies providing audit and certification of information security management systems”. Este estándar especifica los requisitos para acreditar organismos que certifiquen Sistemas de Gestión de Seguridad de la Información aportando un esquema internacional para su acreditación.

Leer el resto de esta entrada »

En la página www.iso27000.es, vienen publicando una serie de podcast dedicados a la difusión de la certificación en Seguridad y la normativa. La última entrevista se la hacen a mi buena amiga y compañera, Laura Prats Abadía, Auditora jefe de Sistemas de Gestión de Seguridad de la Información (SGSI) y responsable de producto de certificación de Applus+.

Leer el resto de esta entrada »

Hace unas semanas hice referencia de un trabajo de Alejandro Corletti Estrada, ISO 27001 - Los controles (I), ahora pública para todos la segunda parte de este trabajo. Este documento es la continuación del análisis de la norma ISO-27001.

En la primera parte, desarrollo los primeros cinco grupos de controles, dejando los seis restantes para este último texto, completa la totalidad de los once controles que propone este estándar. Este análisis desarrolla los conceptos generales de este nuevo estándar de seguridad de la información. Se describe su origen y posicionamiento, y hace un resumen de las consideraciones clave del mismo.

El documento se puede obtener en la web de Datoweb en el siguiente enlace.

José Manuel Fernández nos aporta en su blog otro de sus interesantes artículos sobre la ISO 27001. En esta ocasión trata sobre la mejora continúa que animo a todos a leer.

“La mejora continua es el motor impulsor de cualquier sistema de gestión, incluyéndose, como no, los Sistemas de Gestión de Seguridad de la Información (SGSI).”

La mejora de nuestro SGSI viene recogida en todo el Capítulo 8 de ISO 27001:2005. Incluye como apartados: 8.1 ‘Mejora continua’, 8.2 ‘Acción correctiva’ y 8.3 ‘Acción preventiva’.

En el artículo examina cada uno de los requisitos solicitados por la norma aportando conocimientos previos respecto del particular y las consideraciones más importantes a tener en cuenta.

Al final comenta: “La mejora continua es una de las piedras angulares sobre las que tenemos que desarrollar nuestro SGSI. La incorporación de esta sistemática a la tradicional Seguridad de la Información, debe verse como una más que buena herramienta sobre la que apoyarnos para hacer nuestros sistemas cada vez más seguros. La seguridad al 100 % sabemos todos que es prácticamente imposible, y más aun conforme avanza la tecnología, la seguridad y las técnicas para burlar dicha seguridad, pero intentar mejorar aprendiendo, entre otros, de nuestros propios errores o de la evolución de los mercados tecnológicos, debe ser visto como una prioridad”.

José Manuel Fernández publica en su blog unas incesantes reflexiones sobre la Auditoría interna de un SGSI según la norma ISO 27001. En este trabajo cuenta de qué trata la Auditoría Interna de un SGSI desde dos puntos de vista: de un lado analiza qué requisitos pide ISO 27001 respecto de la misma; de otro cuál es la metodología a aplicar en la ejecución del proceso completo de éstas y diferencias con auditoría tradicional de sistemas de forma estricta.

Acaba el trabajo con la diferencia entre la Auditoria tradicional de Sistemas y la de un SGSI:

“En la tradicional auditoría de sistemas, el auditor aplica directamente a los mismos sus herramientas de auditoría o sus ‘prácticas cerebrales’ para comprobar la solidez de dicho sistema. Incide de forma clara sobre el mismo en la búsqueda de agujeros de seguridad que explotar de cara a incluirlos en su informe final. Se utilizan técnicas de hacking ético u otras de ingeniería social en muchos de los casos. Aquí podríamos hablar largo y tendido, pero simplemente es captar la diferencia con la Auditoría Interna del SGSI.”

“Respecto de la Auditoría del SGSI, son cosas distintas. En un instante dado, la Auditoría de Sistemas, Hacking Ético, …, pueden ser actividades que aporten hallazgos para la mejora de nuestro SGSI sin ningún género de dudas. Requiere de personal altamente cualificado en sistemas informáticos y en el análisis de vulnerabilidades y amenazas a los que se ven sometidos los sistemas. La especialización aplica también, incluso, a la tipología de máquinas que tengamos que auditar (mainframes, equipos ‘normales’, …).”

“Por sintetizar, la Auditoría de Sistemas Informáticos tiene una vertiente más técnica y se centra en la verificación de controles en el procesado de información en sistemas informáticos, incidiendo sobre los mismos para poder evaluar su eficacia y poder presentar el correspondiente informe a la alta dirección. Este auditor verifica información en términos de confidencialidad, integridad, disponibilidad, no repudio, … Durante las actuaciones de auditoría, procede a examinar y evaluar los procesos dentro del Área de Procesado de Datos, analizando los recursos aplicados al procesado y tomar conclusiones sobre los sistemas computerizados, con la consecuente toma de evidencias que respalden sus juicios sobre los sistemas.”

“Bien es cierto que, dada la situación actual en cuanto al desarrollo de normas como ISO 17799, ISO 27001, etc., tanto los auditores de SGSI como de Sistemas, tienden a ser auditores de todo, creándose la nube que actualmente tienen muchas personas.”

“Lo ideal para un auditor en estas líneas de negocio es disponer de conocimientos solventes en sistemas informáticos y de información, así como solvencia contrastada en las técnicas de gestión que se vienen imponiendo en todo el mundo en los últimos años.”

Recomiendo la lectura completa del texto en la siguiente página.

El otro día estuve leyendo un nuevo trabajo de Alejandro Corletti Estrada titulado: ISO 27001: “los controles” (parte I), interesante y preciso, aconsejo su lectura. Este documento desarrolla consideraciones sobre los primeros cinco dominios de controles del Anexo A de ISO 27001. Es la continuación de otro texto, de este mismo autor, dedicado al “Análisis de la ISO 27001:2005″. Este análisis desarrolla los conceptos generales del nuevo estándar de seguridad de la información. Se describe su origen y posicionamiento, y hace un resumen de las consideraciones clave del mismo.