La información, hoy en día, se ha convertido en uno de los activos más importantes en aquellas organizaciones que pretenden alcanzar el éxito. Este cambio de mentalidad obliga a buscar formas de mantener segura la información, para esto, organizaciones internacionales han formulado métodos para resguardar la información, siendo apropiados y acoplables para cualquier tipo de organización.
Estos métodos están plasmados en los ISO’s de la seria 27000, que proveen códigos de buenas prácticas para gestionar la seguridad de la información, además de cómo medir la eficacia del SGSI y una guía de auditoría para evaluar dicho SGSI, de manera que se pueda corregir a tiempo y disminuir los riesgos que corre la información.
ISO 27001
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007.
1 DOMINIOS
1. Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso.
2. Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
3. Control y clasificación de los recursos de información: Necesita un inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección.
4. Seguridad del personal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. También determina cómo incide el papel que desempeñan los empleados en materia de seguridad en el funcionamiento general de la compañía. Se debe tener implementar un plan para reportar los incidentes.
5. Seguridad física y ambiental: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.
6. Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son:
• Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.
• Minimizar el riesgo de falla de los sistemas.
• Proteger la integridad del software y la información.
• Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información.
• Garantizar la protección de la información en las redes y de la infraestructura de soporte.
• Evitar daños a los recursos de información e interrupciones en las actividades de la compañía.
• Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.
7. Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación para proteger contra los abusos internos e intrusos externos.
8. Desarrollo y mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
9. Manejo de la continuidad de la empresa: Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes de la empresa en caso de una falla grave o desastre.
10. Cumplimiento o Conformidad: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799 concuerda con otros requisitos jurídicos, como la Directiva de la Unión Europea que concierne la Privacidad, la Ley de Responsabilidad y Transferibilidad del Seguro Médico (HIPAA por su sigla en Inglés) y la Ley Gramm-Leach-Billey (GLBA por su sigla en inglés). Esta sección también requiere una revisión a las políticas de seguridad, al cumplimiento y consideraciones técnicas que se deben hacer en relación con el proceso de auditoria del sistema a fin de garantizar que las empresas obtengan el máximo beneficio.
ISO 27002
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008).
1 DOMINIOS
1. Política de seguridad
2. Aspectos organizativos para la seguridad
3. Clasificación y control de activos
4. Seguridad ligada al personal
5. Seguridad física y del entorno
6. Gestión de comunicaciones y operaciones
7. Control de accesos
8. Desarrollo y mantenimiento de sistemas
9. Gestión de incidentes de seguridad de la información
10. Gestión de continuidad de negocio
11. Conformidad
ISO/IEC 27002
ISO 27003
En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009, pero ha sido publicada a principios de este año, aún no existe su traducción al español. Consiste en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
ISO 27004
En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
1 MEDICIONES DEL SGSI
Se basa sobre el modelo PDCA (Plan – Do – Check – Act) que es un ciclo continuo. Se podría resumir esto en la idea que, las mediciones están orientadas principalmente al “Do” (Implementación y operación de SGSI), como una entrada para el “Check” (Monitorizar y revisar), y de esta forma poder adoptar decisiones de mejora del SGSI a través del “Act”. Una organización debe describir como se interrelacionan e interactúan el SGSI y las mediciones, desarrollando guías que aseguren, aclaren y documenten esta relación, con todo el detalle posible.
Los objetivos de estos procesos de mediciones son:
• Evaluar la efectividad de la implementación de los controles de seguridad.
• Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
• Proveer estados de seguridad que guíen las revisiones del SGSI, facilitando mejoras a la seguridad y nuevas entradas para auditar.
• Comunicar valores de seguridad a la organización.
• Servir como entradas al plan de análisis y tratamiento de riesgos.
2 MODELO Y MÉTODO PARA LAS MEDICIONES DE SEGURIDAD
Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información. El éxito de este programa, se basará en la asistencia o ayuda que estas mediciones aporten para adoptar decisiones, o determinar la eficiencia de los controles de seguridad. Por lo tanto este programa de mediciones debe estar basado en un “Modelo” de mediciones de seguridad de la información. Este Modelo es una estructura que enlaza los atributos medibles con una entidad relevante. Estas entidades, incluyen procesos, productos, proyectos y recursos. Es decir, este modelo debe describir cómo estos atributos son cuantificados y convertidos a indicadores que provean bases para la toma de decisiones, sustentados en necesidades de información específica. El primer paso para el desarrollo de este modelo, es definir los atributos que se consideran más relevantes para medir la información que se necesita. Un mismo atributo puede ser incorporado en múltiples mediciones, soportando diferentes necesidades de información. Para definir cómo los atributos deben ser medidos, esta norma propone también un Método.
Existen dos tipos de métodos para cuantificar los atributos:
• Subjetivos: Implica el criterio humano.
• Objetivos: Se basan en una regla numérica, que puede ser aplicada por personas o recursos automatizados.
• Los métodos de medición pueden abarcar varios tipos de actividades y un mismo método puede aplicar a múltiples atributos. Algunos ejemplos de métodos son:
• Encuestas/indagaciones.
• Observación.
• Cuestionarios.
• Valoración de conocimientos.
• Inspecciones.
• Re-ejecuciones.
• Consulta a sistemas.
• Monitorización (“Testing”)
• Muestreo.
Un tema a considerar es la asociación de mediciones con determinadas escalas, de las cuales se proponen los siguientes tipos:
• Nominal: Los valores son categóricos.
• Ordinal: Los valores son ordenados.
• Intervalos: Se poseen máximos y mínimos con distancias entre ellos.
• Ratio: Tienen escalas de distancias, relacionadas a mediciones.
La última referencia la hace respecto a las unidades de medición, recomendando emplear convenciones para uniformar las mismas
El último aspecto a considerar aquí es el de la frecuencia. Se deberían definir y programar claramente los intervalos en los cuales se llevará a cabo cada medición (Semanal, mensual, trimestral, anual, etc.). Considerando una relación entre la necesidad de contar con esta información y el esfuerzo para obtenerla (coste/beneficio).
ISO 27001 E ISO 27004
ISO 27005
Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000.
ISO 27005, gestión del riesgo
ISO 27006
Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
ISO 27007
En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.
ISO 27799
5
Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información (palabras y números, grabaciones sonoras, dibujos, vídeos y imágenes médicas), sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la información siempre debe estar adecuadamente protegida.
Esta norma se refiere a la seguridad de la información, pero siempre mediante una gestión orientada a las necesidades del sector sanitario a través del control de sus específicos entornos operativos. Si bien la protección y la seguridad de la información personal es importante para todas las personas, empresas, instituciones y gobiernos, existen requisitos especiales en este sector que deben satisfacerse para garantizar la confidencialidad, la integridad y la disponibilidad de la información médico-asistencial.
Proteger la confidencialidad se hace mandatorio, puesto que los datos personales referentes a la salud deben de ser tratados - en la mayoría de los países - con el nivel más alto de protección.
Por otra parte, es indispensable mantener la integridad de la información médico-sanitaria, para garantizar la seguridad de los pacientes, además de garantizar que este tipo de información sea auditable fielmente durante todo su ciclo de vida.
Por último, la disponibilidad de información referente a la salud también es fundamental para la eficacia de la prestación de servicios médicos. Los sistemas informáticos sanitarios deben de cumplir con la única premisa de permanecer en funcionamiento tanto en situaciones de desastre natural, como en fallos del sistema o durante eventuales ataques de denegación de servicio.
Por tanto, la protección de la confidencialidad, la integridad y la disponibilidad de la información de índole médico, requiere de un conocimiento y una experiencia específicos en la materia que han sido reunidos en esta norma, que no pretende suplantar a la ISO 27001 o 27002 sino complementarlas puesto que estas pueden ser aplicadas a organizaciones de todo tipo, mientras que la ISO 27799 ha sido creada contemplando las mejores prácticas llevadas a cabo en diversos centros de atención primaria, en clínicas, por equipos de atención domiciliaria, en hospitales, en consultas de especialistas, etc... con la única finalidad de incorporar una aproximación a la realidad del sector sanitario para controlar su seguridad de manera eficaz.
No hay comentarios:
Publicar un comentario