Guia iso 27001

981
-1

Published on

Aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dóna suport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les Illes Balears (IDI). Amb un format divulgatiu i senzill, explica com qualsevol empresa pot optar per introduir un sistema de gestió de la seguretat de la informació, aplicant uns estàndards reconeguts internacionalment com són els de les normes ISO. Així com la ISO 9001 és una bona referència de qualitat a l’empresa, la 27001 vol ser un referent idèntic en el camp de la seguretat.

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
981
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
63
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Guia iso 27001

  1. 1. Com implantar un sistema de seguretat de la informaciósegons les normes internacionalsISO 27001 i ISO 27002
  2. 2. Com implantar un sistema de seguretat de la informaciósegons les normes internacionalsISO 27001 i ISO 27002
  3. 3. Una aposta pel futurLa introducció de la informàtica i de les noves tecnologies en tots els àmbits, incloent-hi el món empresa-rial, és tant una realitat com una necessitat per a tot projecte empresarial que vulgui ser competitiu. La in-formatització de la informació i l’ús de les tecnologies de la informació i de la comunicació (TIC) ofereixengrans avantatges a les empreses, que poden augmentar la seva productivitat i els seus serveis, però quetambé han de saber com afrontar els riscos: com assegurar la confidencialitat de la informació, la seva in-tegritat i la seva disponibilitat.Per això, em complau presentar aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dónasuport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les IllesBalears (IDI). Amb un format divulgatiu i senzill, explica com qualsevol empresa pot optar per introduir unsistema de gestió de la seguretat de la informació, aplicant uns estàndards reconeguts internacionalmentcom són els de les normes ISO. Així com la ISO 9001 és una bona referència de qualitat a l’empresa, la27001 vol ser un referent idèntic en el camp de la seguretat.Una bona gestió en aquest camp reporta beneficis evidents. Des de la diferenciació de la competència auna reducció dels riscos que pot generar la pèrdua o el robatori d’informació vital per a l’empresa. Una em-presa atenta a tots els detalls és una empresa ben gestionada. I una empresa ben gestionada és garan-tia d’èxit i de futur. Francesca Vives i Amer Consellera de Comerç, Indústria i Energia 5
  4. 4. Coordinació del projecte Institut d’Innovació Empresarial de les Illes Balears Servei d’Informació i Formació Empresarial Autor José María Gilgado Edició Institut d’Innovació Empresarial de les Illes Balears Ha coordinat la guia Pilar Jordi i Antònia Fullana Impressió Gràfiques Planisi Dipòsit legal: PM 1168 - 2010 1a edició: octubre 20107
  5. 5. índex Pròleg de l’autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Introducció . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Sistema de gestió de la seguretat de la informació . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.1 Què és un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2 Què inclou un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.3 Com s’implanta un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.4 Quina responsabilitat té la direcció en un SGSI?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.5 S’integra un SGSI en altres sistemes de gestió? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2.6 Beneficis d’implantar un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.7 Aspectes clau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 Exemples pràctics de procediments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.1 Gestió d’incidents de seguretat de la informació i millores . . . . . . . . . . . . . . . . . . . . 33 3.2 Còpies de seguretat i recuperació d’arxius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.3 Seguretat en els accessos de tercers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.4 Gestió d’accessos, privilegis i contrasenyes d’usuaris . . . . . . . . . . . . . . . . . . . . . . . 36 3.5 Instal·lació i protecció d’equips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.6 Inventari d’actius, classificació i tractament de la informació . . . . . . . . . . . . . . . . . . 39 3.7 Acabament en el lloc de feina i eliminació de suports . . . . . . . . . . . . . . . . . . . . . . . 41 3.8 Gestió i avaluació de riscs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Exemples pràctics de documentació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.1 Exemple d’un índex de polítiques de seguretat de la informació . . . . . . . . . . . . . . . 45 4.2 Exemple d’un índex de manual de seguretat física i de l’entorn . . . . . . . . . . . . . . . . 46 4.3 Pla de continuïtat del negoci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.4 Exemple d’inventari d’actius, classificació i tractament . . . . . . . . . . . . . . . . . . . . . . 50 4.5 Selecció de controls (declaració d’aplicabilitat) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 4.6 Informe d’anàlisi de riscs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 Certificació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.1 Auditoria i certificació. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.2 L’entitat de certificació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 5.3 L’auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606 Eines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 6.1 Normes, guies i bones pràctiques generals. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Glossari . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
  6. 6. PRÒLEG DE L’AUTORGràcies a l’interès recent de les organitzacions tant públiques com privades del teixit empresarialbalear per les normes ISO 27001 i ISO 27002 sobre seguretat de la informació, l’Institut d’InnovacióEmpresarial de les Illes Balears, un organisme públic adscrit a la Conselleria de Comerç, Indústriai Energia del Govern de les Illes Balears, ha decidit publicar, amb l’ajuda d’una empresa consultoraamb experiència en el disseny de sistemes de gestió, aquesta guia tècnica.L’objectiu d’aquesta guia és donar una orientació pràctica respecte al tema de la seguretat de lainformació amb procediments i casos reals, així com exemples d’alguns documents típics que esgeneren habitualment en el procés d’implantació.Aquesta guia està dirigida a empresaris, directius, consultors i responsables de qualitat i d’informàticad’empreses i institucions per als quals la informació sigui un factor rellevant en la seva activitat. José María Gilgado Tanco Consultor de gestió 11
  7. 7. 1. INTRODUCCIÓLa informació, juntament amb els processos i els sistemes que en fan ús, són actius moltimportants d’una organització. La confidencialitat, la integritat i la disponibilitat d’informaciósensible poden arribar a ser essencials per mantenir els nivells de competitivitat, rendibilitat,conformitat legal i imatge empresarial necessaris per aconseguir els objectius de l’organitzaciói assegurar beneficis econòmics.Les organitzacions i els seus sistemes d’informació estan exposats a un nombre cada vegadamés elevat d’amenaces que, aprofitant qualsevol de les vulnerabilitats que hi ha, poden sotmetreactius crítics d’informació a diverses formes de frau, espionatge, sabotatge o vandalisme.Els virus informàtics, els hacking o els atacs de denegació de servei són alguns exemplescomuns i coneguts, però també s’han de considerar els riscs de patir incidents de seguretatcausats voluntàriament o involuntàriament des de dins l’organització mateixa o els provocatsaccidentalment per catàstrofes naturals i fallades tècniques.El compliment de la legalitat, l’adaptació dinàmica i puntual a les condicions variables de l’entorn,la protecció adequada dels objectius de negoci per assegurar el màxim benefici o l’aprofitamentde noves oportunitats de negoci, són alguns dels aspectes fonamentals en els quals un sistemade gestió de la seguretat de la informació (SGSI) és una eina de gran utilitat i de gran ajuda pergestionar les organitzacions.El nivell de seguretat aconseguit per mitjans tècnics és limitat i insuficient per si mateix. En la gestióefectiva de la seguretat, ha de prendre part activa tota l’organització, amb la gerència al capdavant, ical tenir en consideració també els clients i els proveïdors de béns i serveis. El model de gestió de laseguretat ha de preveure uns procediments adequats i la planificació i la implantació de controls deseguretat basats en una avaluació de riscs i en un mesurament de l’eficàcia d’aquests. 13
  8. 8. L’SGSI ajuda a establir aquestes polítiques i procediments en relació amb els objectius denegoci de l’organització, a fi de mantenir un nivell d’exposició sempre menor al nivell de risc quel’organització mateixa ha decidit assumir.Amb un SGSI, l’organització coneix els riscs a què està sotmesa la seva informació, i els assumeix,els minimitza, els transfereix o els controla mitjançant una sistemàtica definida, documentada iconeguda per tothom que es revisa i es millora constantment.Alguns dels textos que s’esmentaran a continuació han estat cedits pel portal www.iso27000.es.2. SISTEMA DE GESTIÓ DE LA SEGURETAT DE LA INFORMACIÓL’SGSI (sistema de gestió de la seguretat de la informació) és el concepte central sobre el quales construeix la norma ISO 27001.La gestió de la seguretat de la informació s’ha de fer mitjançant un procés sistemàtic, documentati conegut per tota l’organització.Aquest procés és el que constitueix un SGSI, que podria considerar-se, per analogia amb unanorma tan coneguda com la norma ISO 9001, com el sistema de qualitat per a la seguretat dela informació.Garantir un nivell de protecció total és virtualment impossible, fins i tot en el cas de disposar d’unpressupost il·limitat.El propòsit d’un sistema de gestió de la seguretat de la informació és, per tant, garantir que elsriscs de la seguretat de la informació siguin coneguts, assumits, gestionats i minimitzats perl’organització d’una forma documentada, sistemàtica, estructurada, repetible, eficient i adaptadaals canvis que es produeixin en els riscs, l’entorn i les tecnologies. 14
  9. 9. En les seccions següents es desenvoluparan els conceptes fonamentals d’un SGSI segons lanorma ISO 27001.2.1 Què és un SGSI? SGSI es l’abreviatura utilitzada per referir-se a un sistema de gestió de la seguretat de la informació, ISMS són les sigles que corresponen a l’anglès information security management system. En aquest context s’entén per informació tot el conjunt de dades organitzades en poder d’una entitat que tinguin valor per a si mateixa, independentment de la forma en què es guardin o es transmetin (per escrit, en imatges, oralment, en paper, emmagatzemades electrònicament, projectades, enviades per correu ordinari, fax o correu electrònic, transmeses en converses, etc.), de l’origen que tinguin (de l’organització mateixa i de fonts externes) o de la data d’elaboració. La seguretat de la informació, segons la norma ISO 27001, consisteix a preservar-ne la confidencialitat, la integritat i la disponibilitat, així com els sistemes implicats en el tractament, dins una organització. Així, aquests tres termes constitueixen la base sobre la qual es fonamenta tot l’edifici de la seguretat de la informació: • Confidencialitat: La informació no es posa a disposició ni es revela a individus, entitats ni processos no autoritzats. • Integritat: Manteniment de l’exactitud i la completesa de la informació i els seus mètodes de procediment. • Disponibilitat: Accés i utilització de la informació i els sistemes de tractament d’aquesta per part dels individus, les entitats o els processos autoritzats quan ho requereixin. 15
  10. 10. Per garantir que la seguretat de la informació és gestionada correctament, s’ha d’usar un procés sistemàtic, documentat i conegut per tota l’organització, des d’un enfocament de risc empresarial. Aquest procés és el que constitueix un SGSI.2.2 Què inclou un SGSI? En l’àmbit de la gestió de la qualitat segons la norma ISO 9001, sempre s’ha mostrat gràficament la documentació del sistema com una piràmide de quatre nivells. És possible traslladar aquest model a un sistema de gestió de la seguretat de la informació basat en la norma ISO 27001 de la manera següent: Documents de nivell 1 Manual de seguretat: La denominació és per analogia amb el manual de qualitat, encara que el terme s’usa també en altres àmbits. Seria el document que inspira i dirigeix tot el 16
  11. 11. sistema, el que exposa i determina les intencions, l’abast, els objectius, les responsabilitats, les polítiques, les directrius principals, etc., de l’SGSI. Documents de nivell 2 Procediments: Documents en el nivell operatiu que asseguren que es fan de forma eficaç la planificació, la gestió i el control dels processos de seguretat de la informació. Documents de nivell 3 Instruccions, llistes de control (checklists) i formularis: Documents en què descriuen com es fan les tasques i les activitats específiques relacionades amb la seguretat de la informació. Documents de nivell 4 Registres: Documents que proporcionen una evidència objectiva del compliment dels requisits de l’SGSI. Estan associats a documents dels altres tres nivells com a output, que demostra que s’ha complit allò que s’hi ha indicat. De manera específica, la norma ISO 27001 indica que un SGSI ha d’estar format pels documents següents (en qualsevol format o tipus de mitjà):• Abast de l’SGSI: Àmbit de l’organització que queda sotmès a l’SGSI. Inclou una identificació clara de les dependències, les relacions i els límits que hi ha entre l’abast i les parts que no hagin estat considerades (en els casos en què l’àmbit d’influència de l’SGSI consideri un subconjunt de l’organització com a delegacions, divisions, àrees, processos, sistemes o tasques concretes).• Política i objectius de seguretat: Document de contingut genèric que estableix el compromís de la direcció i l’enfocament de l’organització en la gestió de la seguretat de la informació. 17
  12. 12. • Enfocament d’avaluació de riscs: Descripció de la metodologia que s’emprarà (com es farà l’avaluació de les amenaces, les vulnerabilitats, les probabilitats que ocorrin i els impactes en relació amb els actius d’informació continguts dins l’abast seleccionat), el desenvolupament de criteris d’acceptació de risc i la fixació de nivells de risc acceptables.• Informe d’avaluació de riscs: Estudi que resulta d’aplicar la metodologia d’avaluació anteriorment esmentada als actius d’informació de l’organització.• Pla de tractament de riscs: Document en què figuren les accions de la direcció, els recursos, les responsabilitats i les prioritats per gestionar els riscs de seguretat de la informació segons les conclusions obtingudes de l’avaluació de riscs, dels objectius de control identificats, dels recursos disponibles, etc.• Procediments documentats: Tots els necessaris per assegurar la planificació, la gestió i el control dels processos de seguretat de la informació, així com per mesurar l’eficàcia dels controls implantats.• Registres: Documents que proporcionen evidències de la conformitat amb els requisits i del funcionament eficaç de l’SGSI.• Declaració d’aplicabilitat (SOA, statement of applicability, en les sigles angleses): Document que conté els objectius de control i els controls prevists en l’SGSI que es basa en els resultats dels processos d’avaluació i tractament de riscs i en què es justifiquen les inclusions i les exclusions. Control de la documentació Pel que fa als documents generats, s’ha d’establir, documentar, implantar i mantenir un procediment que defineixi les accions de gestió necessàries per dur a terme les accions següents: 18
  13. 13. • Aprovar documents apropiats abans d’emetre’ls. • Revisar i actualitzar documents quan sigui necessari i renovar-ne la validesa. • Garantir que els canvis i l’estat actual de revisió dels documents estan identificats. • Garantir que les versions rellevants de documents vigents estan disponibles als llocs en què s’han d’emprar. • Garantir que els documents es mantenen llegibles i fàcilment identificables. • Garantir que els documents estan disponibles per a les persones que els necessitin i que són transmesos, emmagatzemats i finalment destruïts d’acord amb els procediments aplicables segons la seva classificació. • Garantir que els documents procedents de l’exterior estan identificats. • Garantir que la distribució de documents està controlada. • Prevenir la utilització de documents obsolets. • Aplicar la identificació apropiada a documents que són retinguts amb algun propòsit.2.3 Com s’implanta un SGSI? Per establir i gestionar un sistema de gestió de la seguretat de la informació basant-se en la norma ISO 27001, s’utilitza el cicle de millora contínua o PDCA, tradicional en els sistemes de gestió de la qualitat, que significa: • Plan (‘planificar’): establir l’SGSI. • Do (‘fer’): implantar i utilitzar l’SGSI. • Check (‘verificar’): monitorar i revisar l’SGSI. • Act (‘actuar’): mantenir i millorar l’SGSI. 19
  14. 14. Plan: Establir l’SGSI• Definir l’abast de l’SGSI en termes del negoci, l’organització, la localització, els actius i les tecnologies, inclosos els detalls i la justificació de qualsevol exclusió.• Definir una política de seguretat que:- Inclogui el marc general i els objectius de seguretat de la informació de l’organització.- Consideri requeriments legals o contractuals relatius a la seguretat de la informació.- Estigui alineada amb el context estratègic de gestió de riscs de l’organització en què s’establirà i es mantindrà l’SGSI.- Estableixi els criteris amb què s’avaluarà el risc.- Estigui aprovada per la direcció.• Definir una metodologia d’avaluació del risc apropiada per a l’SGSI i els requeriments del negoci, a més d’establir els criteris d’acceptació del risc i especificar els nivells de risc acceptable. Allò primordial d’aquesta metodologia és que els resultats obtinguts siguin comparables i repetibles (hi ha nombroses metodologies estandarditzades per avaluar els riscs, encara que és perfectament acceptable definir-ne una de pròpia).• Identificar els riscs:- Identificar els actius que estan dins l’abast de l’SGSI i els responsables directes, denominats propietaris.- Identificar les amenaces en relació amb els actius.- Identificar les vulnerabilitats que puguin ser aprofitades per aquestes amenaces.- Identificar els impactes en la confidencialitat, la integritat i la disponibilitat dels actius.• Analitzar i avaluar els riscs:- Avaluar l’impacte en el negoci d’un fallada de seguretat que suposi la pèrdua de confidencialitat, integritat o disponibilitat d’un actiu d’informació.- Avaluar de forma realista la probabilitat que ocorri una fallada de seguretat en relació amb 20
  15. 15. les amenaces, les vulnerabilitats, els impactes en els actius i els controls que ja estiguin implantats.- Estimar els nivells de risc.- Determinar, segons els criteris d’acceptació de risc prèviament establerts, si el risc és acceptable o necessita ser tractat.• Identificar i avaluar les distintes opcions de tractament dels riscs per:- Aplicar controls adequats.- Acceptar el risc, sempre que es continuïn complint les polítiques i els criteris establerts per acceptar-los.- Evitar el risc, per exemple, mitjançant el cessament de les activitats que l’originin.- Transferir el risc a tercers, per exemple, companyies asseguradores o proveïdors d’outsourcing.• Seleccionar els objectius de control i els controls de l’annex A de la norma ISO 27001, que corresponen amb la norma ISO 27002, per al tractament del risc que compleixin els requeriments identificats en el procés d’avaluació del risc.• Aprovar per part de la direcció tant els riscs residuals com la implantació i l’ús de l’SGSI.• Definir una declaració d’aplicabilitat que inclogui:- Els objectius de control, els controls seleccionats i els motius de triar-los.- Els objectius de control i els controls que ja estan implantats.- Els objectius de control i els controls de l’annex A exclosos i els motius d’excloure’ls. Aquest és un mecanisme que permet, a més, detectar possibles omissions involuntàries. En relació amb els controls de seguretat, l’estàndard ISO 27002 (antiga ISO 17799) proporciona una guia d’implantació completa que conté 133 controls, segons 39 objectius de control agrupats en 11 dominis. Aquesta norma és referenciada en la norma ISO 27001, en la segona clàusula, en termes de «document indispensable per a l’aplicació d’aquest 21
  16. 16. document» i deixa oberta la possibilitat d’incloure controls addicionals en el cas que la guia no prevegi totes les necessitats particulars. Do: Implantar i utilitzar l’SGSI• Definir un pla de tractament de riscs que identifiqui les accions, els recursos, les responsabilitats i les prioritats en la gestió dels riscs de seguretat de la informació.• Implantar el pla de tractament de riscs, a fi d’assolir els objectius de control identificats, que inclogui l’assignació de recursos, les responsabilitats i les prioritats.• Implantar els controls anteriorment seleccionats que portin als objectius de control.• Definir un sistema de mètriques que permeti obtenir resultats reproduïbles i comparables per mesurar l’eficàcia dels controls o dels grups de controls.• Procurar programes de formació i conscienciació en relació amb la seguretat de la informació a tot el personal.• Gestionar les operacions de l’SGSI.• Gestionar els recursos necessaris assignats a l’SGSI per mantenir la seguretat de la informació.• Implantar procediments i controls que permetin una detecció i una resposta ràpides als incidents de seguretat. Check: Monitorar i revisar l’SGSI L’organització ha de fer les tasques següents:• Executar procediments de monitoratge i revisió per:- Detectar a temps els errors en els resultats generats pel processament de la informació.- Identificar forats i incidents de seguretat.- Ajudar la direcció a determinar si les activitats exercides per les persones i els dispositius 22
  17. 17. tecnològics per garantir la seguretat de la informació es desenvolupen d’acord amb el que es preveu.- Detectar i prevenir esdeveniments i incidents de seguretat mitjançant l’ús d’indicadors.- Determinar si les accions fetes per resoldre forats de seguretat han estat efectives.• Revisar regularment l’efectivitat de l’SGSI, atenent el compliment de la política i dels objectius de l’SGSI, els resultats d’auditories de seguretat, els incidents, els resultats dels mesuraments d’eficàcia, els suggeriments i les observacions de totes les parts implicades.• Mesurar l’efectivitat dels controls per verificar que es compleixen els requisits de seguretat.• Revisar regularment en intervals planificats les avaluacions de risc, els riscs residuals i els seus nivells acceptables, tenint en compte els possibles canvis que hagin pogut produir-se en l’organització, la tecnologia, els objectius i els processos de negoci, les amenaces identificades, l’efectivitat dels controls implantats i l’entorn exterior —requeriments legals, obligacions contractuals, etc.• Periòdicament, dur a terme auditories internes de l’SGSI en intervals planificats.• Periòdicament, la direcció ha de revisar l’SGSI per garantir que l’abast definit continua essent l’adequat i que les millores en el procés de l’SGSI són evidents.• Actualitzar els plans de seguretat segons les conclusions i les noves troballes fetes durant les activitats de monitoratge i revisió.• Registrar accions i esdeveniments que puguin haver impactat en l’efectivitat o el rendiment de l’SGSI. Act: Mantenir i millorar l’SGSI Regularment, l’organització ha de fer les tasques següents:• Implantar en l’SGSI les millores identificades. 23
  18. 18. PLAN Missió Definició Política, Visió de la política, objectius els objectius Valors i l’abast i abast PLAN Inventari Informe de l’anàlisi Anàlisi d’actius Controls de l’annex A de Informe de Altres controls riscs l’anàlisi PLAN PDCA SOA Controls del pla Tractament PLa de de tractament de tractament de risc risc Procès de risc DOEntrades Auditoríes Registres Implantació i Procediments Revisió de sistema operació Polítiques de l’SGSI Instruccions Indicadors Sortides CHECK Accions correctives Monitorització Pla de i revisió Accions preventives millora de l’SGSI ACT Informe de l’anàlisi Manteniment Millora Controls de l’annex A i millora de l’SGSI contínua Altres controls Dibuix 2: Cicle PDCA d’un SGSI
  19. 19. • Fer les accions preventives i correctives adequades en relació amb la clàusula 8 de la norma ISO 27001 i les lliçons apreses de les experiències pròpies i d’altres organitzacions. • Comunicar les acciones i les millores a totes les parts interessades amb el nivell de detall adequat i decidir, si és pertinent, la forma d’actuar. • Assegurar-se que les millores introduïdes assoleixen els objectius prevists. El PDCA és un cicle de vida continu, la qual cosa vol dir que la fase act porta de nou a la fase de plan per iniciar un nou cicle de les quatre fases. Cal tenir en compte que no hi ha d’haver una seqüència estricta de les fases, sinó que, per exemple, hi pot haver activitats d’implantació que es duguin a terme quan altres de planificació encara no han acabat, o que es monitorin controls que encara no estan totalment implantats.2.4 Quina responsabilitat té la direcció en un SGSI? Un dels components primordials perquè tingui èxit la implantació d’un sistema de gestió de seguretat de la informació és la implicació de la direcció. No es tracta d’una expressió retòrica, sinó que ha d’assumir-se des d’un principi que un SGSI afecta fonamentalment la gestió del negoci, i requereix, per tant, que hi hagi decisions i accions que només pot prendre la gerència de l’organització. No s’ha de caure en l’error de considerar un SGSI una mera qüestió tècnica o tecnològica relegada a nivells inferiors de l’organigrama; s’estan gestionant riscs i impactes de negoci que són responsabilitat i decisió de la direcció. El terme direcció s’ha de considerar sempre des del punt de vista de l’abast de l’SGSI. És a dir, es refereix al nivell més alt de gerència de l’organització afectada per l’SGSI (cal recordar que l’abast no té per què ser tota l’organització). Algunes de les tasques fonamentals de l’SGSI que la norma ISO 27001 assigna a la direcció es 25
  20. 20. detallen en els punts següents: Compromís de la direcció La direcció de l’organització ha de comprometre’s amb l’establiment, la implantació, la gestió, el monitoratge, la revisió, el manteniment i la millora de l’SGSI. Per això, ha de prendre les iniciatives següents:• Establir una política de seguretat de la informació.• Assegurar-se que s’estableixen objectius i plans de l’SGSI.• Establir rols i responsabilitats de seguretat de la informació.• Comunicar a l’organització tant la importància d’aconseguir els objectius de seguretat de la informació i de complir la política de seguretat, com les seves responsabilitats legals i la necessitat de millora contínua.• Assignar prou recursos a l’SGSI en totes les fases.• Decidir els criteris d’acceptació de riscs i els nivells corresponents.• Assegurar que es facin auditories internes.• Revisar l’SGSI, com es detalla més endavant. Assignació de recursos Per a un desenvolupament correcte de totes les activitats relacionades amb l’SGSI, és imprescindible assignar recursos. És responsabilitat de la direcció garantir que s’assignen prou recursos a:• Establir, implantar, gestionar, monitorar, revisar, mantenir i millorar l’SGSI.• Garantir que els procediments de seguretat de la informació donen suport als requeriments de negoci. 26
  21. 21. • Identificar i tractar tots els requeriments legals i normatius, així com les obligacions contractuals de seguretat.• Aplicar correctament tots els controls implantats i mantenir d’aquest forma la seguretat adequada.• Fer revisions quan sigui necessari i actuar adequadament segons els resultats que hi hagi.• Millorar l’eficàcia de l’SGSI on sigui necessari. Formació i conscienciació La formació i la conscienciació en seguretat de la informació són elements bàsics perquè tingui èxit un SGSI. Per això, la direcció ha d’aconseguir que tot el personal de l’organització al qual s’assignen responsabilitats definides en l’SGSI estigui prou capacitat:• Ha de determinar les competències necessàries per al personal que fa tasques en l’aplicació de l’SGSI.• Ha de satisfer aquestes necessitats per mitjà de formació o d’altres accions, com, per exemple, contractació de personal ja format.• Ha d’avaluar l’eficàcia de les accions dutes a terme.• Ha de mantenir registres d’estudis, formació, habilitats, experiència i qualificació. A més, la direcció ha de fer que tot el personal rellevant estigui conscienciat de la importància que tenen les seves activitats de seguretat de la informació i de com contribueix a la consecució dels objectius de l’SGSI. Revisió de l’SGSI A la direcció de l’organització se li assigna també la tasca de, almenys una vegada a l’any, revisar l’SGSI, per assegurar-se que continua essent adequat i eficaç. Per fer-ho, ha de rebre una sèrie d’informacions que l’ajudin a prendre decisions, entre les quals hi pot haver les següents:• Resultats d’auditories i revisions de l’SGSI. 27
  22. 22. • Observacions de totes les parts interessades. • Tècniques, productes o procediments que puguin ser útils per millorar el rendiment i l’eficàcia de l’SGSI. • Informació sobre l’estat d’accions preventives i correctives. • Vulnerabilitats o amenaces que no siguin tractades adequadament en avaluacions de riscs anteriors. • Resultats dels mesuraments d’eficàcia. • Estat de les accions iniciades arran de revisions anteriors de la direcció. • Qualsevol canvi que pugui afectar l’SGSI. • Recomanacions de millora. Basant-se en totes aquestes informacions, la direcció ha de revisar l’SGSI i prendre decisions i accions relatives a: • Millora de l’eficàcia de l’SGSI. • Actualització de l’avaluació de riscs i del pla de tractament de riscs. • Modificació dels procediments i dels controls que afectin la seguretat de la informació, en resposta a canvis interns o externs en els requisits de negoci, requeriments de seguretat, processos de negoci, marc legal, obligacions contractuals, nivells de risc i criteris d’acceptació de riscs. • Necessitats de recursos. • Millora de la forma de mesurar l’efectivitat dels controls.2.5 S’integra un SGSI en altres sistemes de gestió? Un SGSI és bàsicament un sistema de gestió, és a dir, una eina de la qual disposa la gerència per dirigir i controlar un determinat àmbit, en aquest cas la seguretat de la informació. 28
  23. 23. La gestió de les activitats de les organitzacions es du a terme cada vegada més sovint segons sistemes de gestió basats en estàndards internacionals: es gestiona la qualitat segons la norma ISO 9001, l’impacte mediambiental segons la norma ISO 14001 o la prevenció de riscs laborals segons l’OHSAS 18001. Ara, s’hi afegeix la norma ISO 27001 com a estàndard de gestió de seguretat de la informació. Les empreses tenen la possibilitat d’implantar un nombre variable d’aquests sistemes de gestió per millorar l’organització i els beneficis sense imposar una càrrega a l’organització. L’objectiu darrer hauria de ser arribar a un únic sistema de gestió que prevegi tots els aspectes necessaris per a l’organització basant-se en el cicle PDCA de millora contínua comú a tots aquests estàndards. Les facilitats per integrar les normes ISO són evidents si se’n consulten els annexos. La norma ISO 27001 detalla en l’annex C la correspondència entre aquesta norma i les normes ISO 9001 i ISO 14001. S’hi observa la gran correlació que hi ha i es pot intuir la possibilitat d’integrar el sistema de gestió de seguretat de la informació en els sistemes de gestió que ja hi hagi en l’organització. Alguns punts que suposen una novetat en la norma ISO 27001 enfront d’altres estàndards són l’avaluació de riscs i l’establiment d’una declaració d’aplicabilitat (SOA), encara que ja es planteja incorporar aquests a la resta de normes en un futur.2.6 Beneficis d’implantar un SGSI • Establiment d’una metodologia de gestió de la seguretat clara i estructurada. • Reducció del risc de pèrdua, robatori o corrupció d’informació. • Els clients tenen accés a la informació mitjançant mesures de seguretat. • Els riscs i els controls d’aquests riscs són revisats contínuament. • Confiança de clients i socis estratègics per la garantia de qualitat i confidencialitat comercial que s’ofereix. • Les auditories externes ajuden cíclicament a identificar les debilitats del sistema i les àrees que cal millorar. 29
  24. 24. • Possibilitat d’integrar-se amb altres sistemes de gestió (ISO 9001, ISO 14001, OHSAS 18001…). • Continuïtat de les operacions necessàries de negoci després d’incidents de gravetat. • Conformitat amb la legislació vigent sobre informació personal, propietat intel·lectual i d’altres. • Imatge d’empresa en l’àmbit internacional i element diferenciador de la competència. • Confiança i regles clares per a les persones de l’organització. • Reducció de costs i millora dels processos i servei. • Augment de la motivació i satisfacció del personal. • Augment de la seguretat basada en la gestió de processos i no en la compra sistemàtica de productes i tecnologies.2.7 Aspectes clau Fonamentals • Compromís i suport de la direcció de l’organització. • Definició clara d’un abast apropiat. • Conscienciació i formació del personal. • Avaluació de riscs exhaustiva i adequada a l’organització. • Compromís de millora contínua. • Establiment de polítiques i normes. • Organització i comunicació. • Integració de l’SGSI en l’organització. Factors d’èxit • La conscienciació de l’empleat vers la seguretat. Aquest és el principal objectiu que s’ha d’aconseguir. 30
  25. 25. • Creació de comitès de direcció amb descobriment continu de no-conformitats o accions de millora.• Creació d’un sistema de gestió d’incidències que reculli notificacions contínues dels usuaris (els incidents de seguretat han de ser reportats i analitzats).• La seguretat absoluta no existeix, es tracta de reduir el risc a nivells assumibles.• La seguretat no és un producte, és un procés.• La seguretat no és un projecte, és una activitat contínua, i el programa de protecció necessita el suport de l’organització perquè tingui èxit.• La seguretat ha de ser inherent als processos d’informació i del negoci. Riscs• Excés de temps d’implantació: amb els consegüents costs descontrolats, desmotivació, allunyament dels objectius inicials, etc.• Temor davant el canvi: resistència de les persones.• Discrepàncies en el comitès de direcció.• Delegació de totes les responsabilitats en departaments tècnics.• No assumpció que la seguretat de la informació és inherent als processos de negoci.• Plans de formació i conscienciació inadequats.• Calendari de revisions que no es puguin complir.• Definició poc clara de l’abast.• Excés de mesures tècniques en detriment de la formació, la conscienciació i les mesures de tipus organitzatiu.• Falta de comunicació dels progressos al personal de l’organització. Consells bàsics• Mantenir la senzillesa i restringir-se a un abast manejable i reduït: un centre de treball, un procés de negoci clau, un sol centre de procés de dades o una àrea sensible concreta. 31
  26. 26. Una vegada aconseguit l’èxit i observats els beneficis, s’hauria d’ampliar gradualment l’abast en fases successives. • Comprendre detalladament el procés d’implantació: no s’ha d’iniciar basant-se en qüestions exclusivament tècniques, ja que és un error freqüent que ràpidament sobrecarrega de problemes la implantació, s’ha d’adquirir experiència d’altres implantacions i cal assistir a cursos de formació o disposar de l’assessorament de consultors externs especialitzats. • Gestionar el projecte fixant les diferents fites amb objectius i resultats. • L’autoritat i el compromís decidit de la direcció de l’empresa —fins i tot si a l’inici es restringeix a un abast reduït— evitaran moltes d’excuses per desenvolupar les bones pràctiques, a més de ser un dels punts fonamentals de la norma. • La certificació com a objectiu: encara que es pot aconseguir la conformitat amb la norma sense certificar-se, la certificació d’un tercer assegura un millor enfocament, un objectiu més clar i tangible i, per tant, millors opcions d’aconseguir l’èxit. • No reinventar la roda: encara que l’objectiu sigui la norma ISO 27001, és bo obtenir informació relativa a la gestió de la seguretat de la informació d’altres mètodes i marcs reconeguts. • Servir-se del sistema ja implantat: altres estàndards com la norma ISO 9001 són útils com a estructura de treball, estalvien temps i esforç i creen sinergies; és convenient demanar ajuda i implicar-hi auditors interns i responsables d’altres sistemes de gestió. • Reservar la dedicació necessària diària o setmanal: el personal involucrat en el projecte ha de ser capaç de treballar amb continuïtat en el projecte. • Registrar evidències: han de recollir-se evidències almenys tres mesos abans de l’intent de certificació per demostrar que l’SGSI funciona adequadament.3. EXEMPLES PRÀCTICS DE PROCEDIMENTSA continuació, es presenten una sèrie de procediments de seguretat de la informació, els qualsasseguren que es fa de forma eficaç la planificació, la gestió i el control dels processos deseguretat de la informació. Són procediments implantats en diferents organitzacions i que hansuperat amb èxit les auditories de distintes entitats certificadores 32
  27. 27. 3.1 Gestió d’incidents de seguretat de la informació i millores Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 32 Gestió d’incidents de seguretat de la informació i millores Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Minimitzar els danys provocats per incidències de seguretat i pel mal funcionament, controlar-los i aprendre’n 01 02 / 07 Edició inicial Empresa externa de Entrades: documents Sortides: resultats Qualsevol usuari Personal d’IT de referència, dades, Informació complementària / observacions parcials o finals manteniment materials, etc. *Registres per archivar 1. Qualsevol persona de l’organització que 1. No Comunicar la tingui una incidència de tipus informàtic conformitat incidència 1 (tant de maquinari com de programari) i mitjançant NC no la pugui resoldre per mitjans propis pot Compatibilitat fer arribar al responsable de manteniment i Informàtica informàtic la incidència per correu electrònic, 2 SMS, telèfon, o qualsevol altre canal que No consideri adequat. Quan la comunicació és per fallades del Cal ajuda externa? programari., s’han d’anotar els símptomes del problema i tots els missatges que 3 apareguin en pantalla. Es pot Sí 8 solucionar 2. Cal avaluar la incidència segons el criteri en remot? del responsable de manteniment d’IT, el qual li donarà una prioritat (des d’immediata a uns Avisar l’empresa externa quants dies) per resoldre-la. 4 Si la incidència és molt greu o es repeteix Resoldre la Resoldre diverses vegades (entre 3 i 5 vegades), el incidència 5 responsable d’IT podria considerar oportú la incidència 9 obrir una no conformitat segons el procés PG no conformitats, accions correctores i No preventives. Hi ha contracte? Cal recopilar totes les proves necessàries No per resoldre la incidència. Cal material? 10 Sí 4. S’ha d’avisar una empresa externa de Signar albarà i manteniment informàtic que estigui dins Sí quedarse-se’n la llista de proveïdors aprovats (vegeu el No 6. Albarà una còpia procediment d’avaluació) i amb la qual es Calen pressuposts 6 tingui un contracte de confidencialitat (vegeu el procediment PE-03-INF seguretat en els 11 accessos de terceres parts). Sí 5. S’han de recopilar les proves que es consi- Demanar tres pressupots derin oportunes per resoldre la incidència 12 Nota: Tots els empleats han de conèixer 12. pessuposts els procediments per informar dels distints Rebre autorització tipus d’incidències (fallada de seguretat, de direcció 13 amenaça, debilitat o mal funcionament) que puguin tenir impacte en la seguretat dels actius de l’organització. Comprar material Cal informar el departament d’informàtica 14 de qualsevol incidència observada o sospitada tan aviat com sigui possible. Desplaçar-se al lloc de la incidència Els empleats que cometin infraccions en 15 matèria de seguretat han de ser amonestats segons decideixi el comitè de direcció o de seguretat de la informació. Resoldre Fi la incidència 16 del procés 7
  28. 28. 3.2 Còpies de seguretat i recuperació d’arxius Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 33 Còpies de seguretat i recuperació d’arxius Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Mantenir la integritat i la disponibilitat dels serveis de tractament de la informació i la comunicació 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Usuaris Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar 1. Reglament 1. La informació de la qual es fa còpies a de mesures les cintes de seguretat és la del servidor Necessitat de fer de seguretat principal, que és la que s’ha considerat que còpies de seguretat 1 dels fitxers té importància per al negoci. automatitzats que continguin dades de Cada matí, llevar la cinta caràcter personal del dia anterior 2 3. Cada dia es comprova que el programa 3. Cinta del Introduir la cinta del dia en s’ha executat correctament i s’anota a mà la dia en curs curs i fer la comprovació comprovació. 3 2. Cinta del Guardar la cinta a la caixa forta dia anterior 4 5. Qualsevol persona de l’organització que 5. No conformitat tingui una incidència sobre recuperació No d’algun arxiu eliminat accidentalment pot Cal restablir fer arribar al responsable de manteniment cap fitxer? informàtic la incidència segons allò que s’ha descrit en el procés PTI-01-INF de resposta Sí davant incidències i mals funcionaments de la seguretat. Sol·licitut al 5 departament de TI mitjançant NC Cercar la cinta del dia anterior 6 11. Les ajudes de suports s’han de prova 11. Registre de manualment quan sigui factible, a fi d’asse- comprovacions gurar que són fiables quan sigui necessari Introduir la cinta usar-los en cas d’emergència. També s’han en el servidos de comprovar regularment els procediments 7 de recuperació per assegurar que són eficaços i que poden complir-se en el temps establert en els procediments operatius de Comprovar la fiabilitat del recuperació. fitxer de la cinta 8 Restablir el fitxer sol·licitat 9 Fer comprovacions 11 Fi del procés 10 mensuals
  29. 29. 3.3 Seguretat en els accessos de tercers Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 34 Seguretat en els accessos de terceres parts Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Mantenir la seguretat que terceres parts puguin accedir als recursos de tractament de la informació i dels actius d’informació de l’organització 01 02 / 07 Edició inicial Personal d’empreses Entrades: documents Sortides: resultats Director d’TI de referència, dades, Informació complementària / observacions parcials o finals col·laboradores i visitants materials, etc. *Registres per archivar 1. Els tercers que treballen en l’organització de forma temporal també poden augmentar les debilitats de la seguretat. Exemples de tercers serien: Necessitat d’accedir fisicament o lògicament 1 a) El personal de manteniment i suport de 2 i 5. Identificació a la informació maquinari i programari. i avaluació de b) Els serveis de suport externalitzats de riscs relatius a neteja, vigilància i d’altres. parts externes c) Els estudiants en pràctiques o amb altres contractats per temps limitat. Sí Té dret 5. Es consideren aquests tipus d’accés: d’accés? 2 a) Accés físic, per exemple, a despatxos, magatzem, etc. No Accedir a la b) Accés lògic, per exemple, a bases de informació 3 dades o a sistemes d’informació de l’orga- Identificar el tipus d’accés nització. 4 Motius d’accés. Hi ha tercers que han de 8. Clàusules tenir accés físic i lògic perquè donen servei establertes en a l’empresa, sense estar-hi instal·lats, per les ofertes Avaluar el riscs exemple: 4 a) El personal de suport al maquinari i al programari requereix accés en el nivell del sistema o de les funcionalitats de baix nivell No de les aplicacions. Cal aplicar b) Els associats o partícips en el negoci controls? 6 que han d’intercanviar informació, accedir 8. Contracte als sistemes d’informació o compartir bases signat Sí de dades. Identificar els controls que cal aplicar 7 Implantar els controls 8 9. Contracte tipus Accedir a la informació 9
  30. 30. 3.4 Gestió d’accessos, privilegis i contrasenyes d’usuaris Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 de 2 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Tot el pesonal Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar 2. L’àlies de l’usuari es construeix utilitzant Necessitat de gestionar els criteris següents: altes i modificacions 1 d’accessos, privilegis i/o Grandària mínima: 3 caràcters. contrasenyes Grandària màxima: 14 caràcters. Primera inicial del nom. Primera inicial del segon nom (si és compost). Modificació Baixa d’usuari Primer cognom complet. 2 Quina gestió és? Els caràcters amb accent són substituïts pel mateix caràcter sense accent. El caràcter ñ A Alta de nou usuari és substituït per la lletra n. No es consideren els enllaços, per exemple, en el nom Maria dels Horts no es té en compte dels. Proporcionar àlies de Eliminar permisos Si dues o més persones tenen el mateix nou usuari d’usuari identificador d’usuari, cal afegir a la segona 4 i 12. Gestió de 3 12 persona i següents un dígit diferenciador: drets d’accés 2, 3, 4, etc. d’usuaris Assignar privilegis i anotar-ho en el registre Els conflictes no aclarits per les regles 4 anteriors seran resolts a criteri de la persona que sol·licita el compte o dels serveis infor- Assignar contrasenya màtics. En cas de combinacions que derivin temporal en paraules malsonants, es pot sol·licitar el 5 canvi d’identificador d’usuari. Assignar contrasenya 4. Hi ha diversos tipus de privilegis, els temporal més habituals són el d’administrador per a 6 personal d’IT i usuaris per a tots els altres treballadors i directius. Entregar document de drets d’accés, 6. Se’ls proporciona inicialment una contra- lliurament de contrasenya senya temporal segura que forçosament i compromís de secret hagin de canviar immediatament després. 7 S’ha d’establir un conducte segur per fer arribar les contrasenyes temporals als Signar el justificant de usuaris. S’hauria d’evitar enviar-les mitjançant recepció de drets d’accés, tercers o missatges no xifrats de correu 8 i 16. lliurament de la contrasenya electrònic. Lliurament de i compromís de secret la política, les 8 10. Per mantenir un control efectiu de l’accés contrasenyes i a les dades i als serveis d’informació, s’ha de el compromís fer una revisió periòdica dels drets d’accés de secret Canviar la contrasenya 9 dels usuaris. a) Revisar els drets d’accés dels usuaris a intervals de temps regulars (es recomana cada sis mesos). Modificar el registre de b) Revisar més sovint (es recomana cada drets d’accés tres mesos) les autoritzacions de drets 10 d’accés amb privilegis especials. c) Comprovar les assignacions de privi- legis a intervals de temps regulars per Revisar periòdicament assegurar que no s’han obtingut privilegis no 11 els drets d’accés autoritzats.
  31. 31. Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 2 de 2 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Tot el pesonal Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar A Contrasenya De quina Permisos d’accés 12 modificació es tracta? Privilegis Assignar permisos d’accés 13 Assignar privilegis 14 Assignar una contrasenya temporal 15 15. També es proporcionen contrasenyes 17. Gestió de temporals quan un usuari oblida la seva, drets d’accésCanviar la contrasenya Modificar el registre però només després d’haver-ne fet una d’usuaris 16 de drets d’accés identificació positiva. 17 Revisar periòdicament 18 els drets d’accés

×