• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Guia iso 27001
 

Guia iso 27001

on

  • 918 views

Aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dóna suport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les Illes ...

Aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dóna suport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les Illes Balears (IDI). Amb un format divulgatiu i senzill, explica com qualsevol empresa pot optar per introduir un sistema de gestió de la seguretat de la informació, aplicant uns estàndards reconeguts internacionalment com són els de les normes ISO. Així com la ISO 9001 és una bona referència de qualitat a l’empresa, la 27001 vol ser un referent idèntic en el camp de la seguretat.

Statistics

Views

Total Views
918
Views on SlideShare
917
Embed Views
1

Actions

Likes
0
Downloads
32
Comments
0

1 Embed 1

http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Guia iso 27001 Guia iso 27001 Presentation Transcript

    • Com implantar un sistema de seguretat de la informaciósegons les normes internacionalsISO 27001 i ISO 27002
    • Com implantar un sistema de seguretat de la informaciósegons les normes internacionalsISO 27001 i ISO 27002
    • Una aposta pel futurLa introducció de la informàtica i de les noves tecnologies en tots els àmbits, incloent-hi el món empresa-rial, és tant una realitat com una necessitat per a tot projecte empresarial que vulgui ser competitiu. La in-formatització de la informació i l’ús de les tecnologies de la informació i de la comunicació (TIC) ofereixengrans avantatges a les empreses, que poden augmentar la seva productivitat i els seus serveis, però quetambé han de saber com afrontar els riscos: com assegurar la confidencialitat de la informació, la seva in-tegritat i la seva disponibilitat.Per això, em complau presentar aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dónasuport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les IllesBalears (IDI). Amb un format divulgatiu i senzill, explica com qualsevol empresa pot optar per introduir unsistema de gestió de la seguretat de la informació, aplicant uns estàndards reconeguts internacionalmentcom són els de les normes ISO. Així com la ISO 9001 és una bona referència de qualitat a l’empresa, la27001 vol ser un referent idèntic en el camp de la seguretat.Una bona gestió en aquest camp reporta beneficis evidents. Des de la diferenciació de la competència auna reducció dels riscos que pot generar la pèrdua o el robatori d’informació vital per a l’empresa. Una em-presa atenta a tots els detalls és una empresa ben gestionada. I una empresa ben gestionada és garan-tia d’èxit i de futur. Francesca Vives i Amer Consellera de Comerç, Indústria i Energia 5
    • Coordinació del projecte Institut d’Innovació Empresarial de les Illes Balears Servei d’Informació i Formació Empresarial Autor José María Gilgado Edició Institut d’Innovació Empresarial de les Illes Balears Ha coordinat la guia Pilar Jordi i Antònia Fullana Impressió Gràfiques Planisi Dipòsit legal: PM 1168 - 2010 1a edició: octubre 20107
    • índex Pròleg de l’autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Introducció . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Sistema de gestió de la seguretat de la informació . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.1 Què és un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2 Què inclou un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.3 Com s’implanta un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.4 Quina responsabilitat té la direcció en un SGSI?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.5 S’integra un SGSI en altres sistemes de gestió? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2.6 Beneficis d’implantar un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.7 Aspectes clau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 Exemples pràctics de procediments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.1 Gestió d’incidents de seguretat de la informació i millores . . . . . . . . . . . . . . . . . . . . 33 3.2 Còpies de seguretat i recuperació d’arxius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.3 Seguretat en els accessos de tercers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.4 Gestió d’accessos, privilegis i contrasenyes d’usuaris . . . . . . . . . . . . . . . . . . . . . . . 36 3.5 Instal·lació i protecció d’equips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.6 Inventari d’actius, classificació i tractament de la informació . . . . . . . . . . . . . . . . . . 39 3.7 Acabament en el lloc de feina i eliminació de suports . . . . . . . . . . . . . . . . . . . . . . . 41 3.8 Gestió i avaluació de riscs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Exemples pràctics de documentació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.1 Exemple d’un índex de polítiques de seguretat de la informació . . . . . . . . . . . . . . . 45 4.2 Exemple d’un índex de manual de seguretat física i de l’entorn . . . . . . . . . . . . . . . . 46 4.3 Pla de continuïtat del negoci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.4 Exemple d’inventari d’actius, classificació i tractament . . . . . . . . . . . . . . . . . . . . . . 50 4.5 Selecció de controls (declaració d’aplicabilitat) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 4.6 Informe d’anàlisi de riscs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 Certificació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.1 Auditoria i certificació. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.2 L’entitat de certificació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 5.3 L’auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606 Eines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 6.1 Normes, guies i bones pràctiques generals. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Glossari . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
    • PRÒLEG DE L’AUTORGràcies a l’interès recent de les organitzacions tant públiques com privades del teixit empresarialbalear per les normes ISO 27001 i ISO 27002 sobre seguretat de la informació, l’Institut d’InnovacióEmpresarial de les Illes Balears, un organisme públic adscrit a la Conselleria de Comerç, Indústriai Energia del Govern de les Illes Balears, ha decidit publicar, amb l’ajuda d’una empresa consultoraamb experiència en el disseny de sistemes de gestió, aquesta guia tècnica.L’objectiu d’aquesta guia és donar una orientació pràctica respecte al tema de la seguretat de lainformació amb procediments i casos reals, així com exemples d’alguns documents típics que esgeneren habitualment en el procés d’implantació.Aquesta guia està dirigida a empresaris, directius, consultors i responsables de qualitat i d’informàticad’empreses i institucions per als quals la informació sigui un factor rellevant en la seva activitat. José María Gilgado Tanco Consultor de gestió 11
    • 1. INTRODUCCIÓLa informació, juntament amb els processos i els sistemes que en fan ús, són actius moltimportants d’una organització. La confidencialitat, la integritat i la disponibilitat d’informaciósensible poden arribar a ser essencials per mantenir els nivells de competitivitat, rendibilitat,conformitat legal i imatge empresarial necessaris per aconseguir els objectius de l’organitzaciói assegurar beneficis econòmics.Les organitzacions i els seus sistemes d’informació estan exposats a un nombre cada vegadamés elevat d’amenaces que, aprofitant qualsevol de les vulnerabilitats que hi ha, poden sotmetreactius crítics d’informació a diverses formes de frau, espionatge, sabotatge o vandalisme.Els virus informàtics, els hacking o els atacs de denegació de servei són alguns exemplescomuns i coneguts, però també s’han de considerar els riscs de patir incidents de seguretatcausats voluntàriament o involuntàriament des de dins l’organització mateixa o els provocatsaccidentalment per catàstrofes naturals i fallades tècniques.El compliment de la legalitat, l’adaptació dinàmica i puntual a les condicions variables de l’entorn,la protecció adequada dels objectius de negoci per assegurar el màxim benefici o l’aprofitamentde noves oportunitats de negoci, són alguns dels aspectes fonamentals en els quals un sistemade gestió de la seguretat de la informació (SGSI) és una eina de gran utilitat i de gran ajuda pergestionar les organitzacions.El nivell de seguretat aconseguit per mitjans tècnics és limitat i insuficient per si mateix. En la gestióefectiva de la seguretat, ha de prendre part activa tota l’organització, amb la gerència al capdavant, ical tenir en consideració també els clients i els proveïdors de béns i serveis. El model de gestió de laseguretat ha de preveure uns procediments adequats i la planificació i la implantació de controls deseguretat basats en una avaluació de riscs i en un mesurament de l’eficàcia d’aquests. 13
    • L’SGSI ajuda a establir aquestes polítiques i procediments en relació amb els objectius denegoci de l’organització, a fi de mantenir un nivell d’exposició sempre menor al nivell de risc quel’organització mateixa ha decidit assumir.Amb un SGSI, l’organització coneix els riscs a què està sotmesa la seva informació, i els assumeix,els minimitza, els transfereix o els controla mitjançant una sistemàtica definida, documentada iconeguda per tothom que es revisa i es millora constantment.Alguns dels textos que s’esmentaran a continuació han estat cedits pel portal www.iso27000.es.2. SISTEMA DE GESTIÓ DE LA SEGURETAT DE LA INFORMACIÓL’SGSI (sistema de gestió de la seguretat de la informació) és el concepte central sobre el quales construeix la norma ISO 27001.La gestió de la seguretat de la informació s’ha de fer mitjançant un procés sistemàtic, documentati conegut per tota l’organització.Aquest procés és el que constitueix un SGSI, que podria considerar-se, per analogia amb unanorma tan coneguda com la norma ISO 9001, com el sistema de qualitat per a la seguretat dela informació.Garantir un nivell de protecció total és virtualment impossible, fins i tot en el cas de disposar d’unpressupost il·limitat.El propòsit d’un sistema de gestió de la seguretat de la informació és, per tant, garantir que elsriscs de la seguretat de la informació siguin coneguts, assumits, gestionats i minimitzats perl’organització d’una forma documentada, sistemàtica, estructurada, repetible, eficient i adaptadaals canvis que es produeixin en els riscs, l’entorn i les tecnologies. 14
    • En les seccions següents es desenvoluparan els conceptes fonamentals d’un SGSI segons lanorma ISO 27001.2.1 Què és un SGSI? SGSI es l’abreviatura utilitzada per referir-se a un sistema de gestió de la seguretat de la informació, ISMS són les sigles que corresponen a l’anglès information security management system. En aquest context s’entén per informació tot el conjunt de dades organitzades en poder d’una entitat que tinguin valor per a si mateixa, independentment de la forma en què es guardin o es transmetin (per escrit, en imatges, oralment, en paper, emmagatzemades electrònicament, projectades, enviades per correu ordinari, fax o correu electrònic, transmeses en converses, etc.), de l’origen que tinguin (de l’organització mateixa i de fonts externes) o de la data d’elaboració. La seguretat de la informació, segons la norma ISO 27001, consisteix a preservar-ne la confidencialitat, la integritat i la disponibilitat, així com els sistemes implicats en el tractament, dins una organització. Així, aquests tres termes constitueixen la base sobre la qual es fonamenta tot l’edifici de la seguretat de la informació: • Confidencialitat: La informació no es posa a disposició ni es revela a individus, entitats ni processos no autoritzats. • Integritat: Manteniment de l’exactitud i la completesa de la informació i els seus mètodes de procediment. • Disponibilitat: Accés i utilització de la informació i els sistemes de tractament d’aquesta per part dels individus, les entitats o els processos autoritzats quan ho requereixin. 15
    • Per garantir que la seguretat de la informació és gestionada correctament, s’ha d’usar un procés sistemàtic, documentat i conegut per tota l’organització, des d’un enfocament de risc empresarial. Aquest procés és el que constitueix un SGSI.2.2 Què inclou un SGSI? En l’àmbit de la gestió de la qualitat segons la norma ISO 9001, sempre s’ha mostrat gràficament la documentació del sistema com una piràmide de quatre nivells. És possible traslladar aquest model a un sistema de gestió de la seguretat de la informació basat en la norma ISO 27001 de la manera següent: Documents de nivell 1 Manual de seguretat: La denominació és per analogia amb el manual de qualitat, encara que el terme s’usa també en altres àmbits. Seria el document que inspira i dirigeix tot el 16
    • sistema, el que exposa i determina les intencions, l’abast, els objectius, les responsabilitats, les polítiques, les directrius principals, etc., de l’SGSI. Documents de nivell 2 Procediments: Documents en el nivell operatiu que asseguren que es fan de forma eficaç la planificació, la gestió i el control dels processos de seguretat de la informació. Documents de nivell 3 Instruccions, llistes de control (checklists) i formularis: Documents en què descriuen com es fan les tasques i les activitats específiques relacionades amb la seguretat de la informació. Documents de nivell 4 Registres: Documents que proporcionen una evidència objectiva del compliment dels requisits de l’SGSI. Estan associats a documents dels altres tres nivells com a output, que demostra que s’ha complit allò que s’hi ha indicat. De manera específica, la norma ISO 27001 indica que un SGSI ha d’estar format pels documents següents (en qualsevol format o tipus de mitjà):• Abast de l’SGSI: Àmbit de l’organització que queda sotmès a l’SGSI. Inclou una identificació clara de les dependències, les relacions i els límits que hi ha entre l’abast i les parts que no hagin estat considerades (en els casos en què l’àmbit d’influència de l’SGSI consideri un subconjunt de l’organització com a delegacions, divisions, àrees, processos, sistemes o tasques concretes).• Política i objectius de seguretat: Document de contingut genèric que estableix el compromís de la direcció i l’enfocament de l’organització en la gestió de la seguretat de la informació. 17
    • • Enfocament d’avaluació de riscs: Descripció de la metodologia que s’emprarà (com es farà l’avaluació de les amenaces, les vulnerabilitats, les probabilitats que ocorrin i els impactes en relació amb els actius d’informació continguts dins l’abast seleccionat), el desenvolupament de criteris d’acceptació de risc i la fixació de nivells de risc acceptables.• Informe d’avaluació de riscs: Estudi que resulta d’aplicar la metodologia d’avaluació anteriorment esmentada als actius d’informació de l’organització.• Pla de tractament de riscs: Document en què figuren les accions de la direcció, els recursos, les responsabilitats i les prioritats per gestionar els riscs de seguretat de la informació segons les conclusions obtingudes de l’avaluació de riscs, dels objectius de control identificats, dels recursos disponibles, etc.• Procediments documentats: Tots els necessaris per assegurar la planificació, la gestió i el control dels processos de seguretat de la informació, així com per mesurar l’eficàcia dels controls implantats.• Registres: Documents que proporcionen evidències de la conformitat amb els requisits i del funcionament eficaç de l’SGSI.• Declaració d’aplicabilitat (SOA, statement of applicability, en les sigles angleses): Document que conté els objectius de control i els controls prevists en l’SGSI que es basa en els resultats dels processos d’avaluació i tractament de riscs i en què es justifiquen les inclusions i les exclusions. Control de la documentació Pel que fa als documents generats, s’ha d’establir, documentar, implantar i mantenir un procediment que defineixi les accions de gestió necessàries per dur a terme les accions següents: 18
    • • Aprovar documents apropiats abans d’emetre’ls. • Revisar i actualitzar documents quan sigui necessari i renovar-ne la validesa. • Garantir que els canvis i l’estat actual de revisió dels documents estan identificats. • Garantir que les versions rellevants de documents vigents estan disponibles als llocs en què s’han d’emprar. • Garantir que els documents es mantenen llegibles i fàcilment identificables. • Garantir que els documents estan disponibles per a les persones que els necessitin i que són transmesos, emmagatzemats i finalment destruïts d’acord amb els procediments aplicables segons la seva classificació. • Garantir que els documents procedents de l’exterior estan identificats. • Garantir que la distribució de documents està controlada. • Prevenir la utilització de documents obsolets. • Aplicar la identificació apropiada a documents que són retinguts amb algun propòsit.2.3 Com s’implanta un SGSI? Per establir i gestionar un sistema de gestió de la seguretat de la informació basant-se en la norma ISO 27001, s’utilitza el cicle de millora contínua o PDCA, tradicional en els sistemes de gestió de la qualitat, que significa: • Plan (‘planificar’): establir l’SGSI. • Do (‘fer’): implantar i utilitzar l’SGSI. • Check (‘verificar’): monitorar i revisar l’SGSI. • Act (‘actuar’): mantenir i millorar l’SGSI. 19
    • Plan: Establir l’SGSI• Definir l’abast de l’SGSI en termes del negoci, l’organització, la localització, els actius i les tecnologies, inclosos els detalls i la justificació de qualsevol exclusió.• Definir una política de seguretat que:- Inclogui el marc general i els objectius de seguretat de la informació de l’organització.- Consideri requeriments legals o contractuals relatius a la seguretat de la informació.- Estigui alineada amb el context estratègic de gestió de riscs de l’organització en què s’establirà i es mantindrà l’SGSI.- Estableixi els criteris amb què s’avaluarà el risc.- Estigui aprovada per la direcció.• Definir una metodologia d’avaluació del risc apropiada per a l’SGSI i els requeriments del negoci, a més d’establir els criteris d’acceptació del risc i especificar els nivells de risc acceptable. Allò primordial d’aquesta metodologia és que els resultats obtinguts siguin comparables i repetibles (hi ha nombroses metodologies estandarditzades per avaluar els riscs, encara que és perfectament acceptable definir-ne una de pròpia).• Identificar els riscs:- Identificar els actius que estan dins l’abast de l’SGSI i els responsables directes, denominats propietaris.- Identificar les amenaces en relació amb els actius.- Identificar les vulnerabilitats que puguin ser aprofitades per aquestes amenaces.- Identificar els impactes en la confidencialitat, la integritat i la disponibilitat dels actius.• Analitzar i avaluar els riscs:- Avaluar l’impacte en el negoci d’un fallada de seguretat que suposi la pèrdua de confidencialitat, integritat o disponibilitat d’un actiu d’informació.- Avaluar de forma realista la probabilitat que ocorri una fallada de seguretat en relació amb 20
    • les amenaces, les vulnerabilitats, els impactes en els actius i els controls que ja estiguin implantats.- Estimar els nivells de risc.- Determinar, segons els criteris d’acceptació de risc prèviament establerts, si el risc és acceptable o necessita ser tractat.• Identificar i avaluar les distintes opcions de tractament dels riscs per:- Aplicar controls adequats.- Acceptar el risc, sempre que es continuïn complint les polítiques i els criteris establerts per acceptar-los.- Evitar el risc, per exemple, mitjançant el cessament de les activitats que l’originin.- Transferir el risc a tercers, per exemple, companyies asseguradores o proveïdors d’outsourcing.• Seleccionar els objectius de control i els controls de l’annex A de la norma ISO 27001, que corresponen amb la norma ISO 27002, per al tractament del risc que compleixin els requeriments identificats en el procés d’avaluació del risc.• Aprovar per part de la direcció tant els riscs residuals com la implantació i l’ús de l’SGSI.• Definir una declaració d’aplicabilitat que inclogui:- Els objectius de control, els controls seleccionats i els motius de triar-los.- Els objectius de control i els controls que ja estan implantats.- Els objectius de control i els controls de l’annex A exclosos i els motius d’excloure’ls. Aquest és un mecanisme que permet, a més, detectar possibles omissions involuntàries. En relació amb els controls de seguretat, l’estàndard ISO 27002 (antiga ISO 17799) proporciona una guia d’implantació completa que conté 133 controls, segons 39 objectius de control agrupats en 11 dominis. Aquesta norma és referenciada en la norma ISO 27001, en la segona clàusula, en termes de «document indispensable per a l’aplicació d’aquest 21
    • document» i deixa oberta la possibilitat d’incloure controls addicionals en el cas que la guia no prevegi totes les necessitats particulars. Do: Implantar i utilitzar l’SGSI• Definir un pla de tractament de riscs que identifiqui les accions, els recursos, les responsabilitats i les prioritats en la gestió dels riscs de seguretat de la informació.• Implantar el pla de tractament de riscs, a fi d’assolir els objectius de control identificats, que inclogui l’assignació de recursos, les responsabilitats i les prioritats.• Implantar els controls anteriorment seleccionats que portin als objectius de control.• Definir un sistema de mètriques que permeti obtenir resultats reproduïbles i comparables per mesurar l’eficàcia dels controls o dels grups de controls.• Procurar programes de formació i conscienciació en relació amb la seguretat de la informació a tot el personal.• Gestionar les operacions de l’SGSI.• Gestionar els recursos necessaris assignats a l’SGSI per mantenir la seguretat de la informació.• Implantar procediments i controls que permetin una detecció i una resposta ràpides als incidents de seguretat. Check: Monitorar i revisar l’SGSI L’organització ha de fer les tasques següents:• Executar procediments de monitoratge i revisió per:- Detectar a temps els errors en els resultats generats pel processament de la informació.- Identificar forats i incidents de seguretat.- Ajudar la direcció a determinar si les activitats exercides per les persones i els dispositius 22
    • tecnològics per garantir la seguretat de la informació es desenvolupen d’acord amb el que es preveu.- Detectar i prevenir esdeveniments i incidents de seguretat mitjançant l’ús d’indicadors.- Determinar si les accions fetes per resoldre forats de seguretat han estat efectives.• Revisar regularment l’efectivitat de l’SGSI, atenent el compliment de la política i dels objectius de l’SGSI, els resultats d’auditories de seguretat, els incidents, els resultats dels mesuraments d’eficàcia, els suggeriments i les observacions de totes les parts implicades.• Mesurar l’efectivitat dels controls per verificar que es compleixen els requisits de seguretat.• Revisar regularment en intervals planificats les avaluacions de risc, els riscs residuals i els seus nivells acceptables, tenint en compte els possibles canvis que hagin pogut produir-se en l’organització, la tecnologia, els objectius i els processos de negoci, les amenaces identificades, l’efectivitat dels controls implantats i l’entorn exterior —requeriments legals, obligacions contractuals, etc.• Periòdicament, dur a terme auditories internes de l’SGSI en intervals planificats.• Periòdicament, la direcció ha de revisar l’SGSI per garantir que l’abast definit continua essent l’adequat i que les millores en el procés de l’SGSI són evidents.• Actualitzar els plans de seguretat segons les conclusions i les noves troballes fetes durant les activitats de monitoratge i revisió.• Registrar accions i esdeveniments que puguin haver impactat en l’efectivitat o el rendiment de l’SGSI. Act: Mantenir i millorar l’SGSI Regularment, l’organització ha de fer les tasques següents:• Implantar en l’SGSI les millores identificades. 23
    • PLAN Missió Definició Política, Visió de la política, objectius els objectius Valors i l’abast i abast PLAN Inventari Informe de l’anàlisi Anàlisi d’actius Controls de l’annex A de Informe de Altres controls riscs l’anàlisi PLAN PDCA SOA Controls del pla Tractament PLa de de tractament de tractament de risc risc Procès de risc DOEntrades Auditoríes Registres Implantació i Procediments Revisió de sistema operació Polítiques de l’SGSI Instruccions Indicadors Sortides CHECK Accions correctives Monitorització Pla de i revisió Accions preventives millora de l’SGSI ACT Informe de l’anàlisi Manteniment Millora Controls de l’annex A i millora de l’SGSI contínua Altres controls Dibuix 2: Cicle PDCA d’un SGSI
    • • Fer les accions preventives i correctives adequades en relació amb la clàusula 8 de la norma ISO 27001 i les lliçons apreses de les experiències pròpies i d’altres organitzacions. • Comunicar les acciones i les millores a totes les parts interessades amb el nivell de detall adequat i decidir, si és pertinent, la forma d’actuar. • Assegurar-se que les millores introduïdes assoleixen els objectius prevists. El PDCA és un cicle de vida continu, la qual cosa vol dir que la fase act porta de nou a la fase de plan per iniciar un nou cicle de les quatre fases. Cal tenir en compte que no hi ha d’haver una seqüència estricta de les fases, sinó que, per exemple, hi pot haver activitats d’implantació que es duguin a terme quan altres de planificació encara no han acabat, o que es monitorin controls que encara no estan totalment implantats.2.4 Quina responsabilitat té la direcció en un SGSI? Un dels components primordials perquè tingui èxit la implantació d’un sistema de gestió de seguretat de la informació és la implicació de la direcció. No es tracta d’una expressió retòrica, sinó que ha d’assumir-se des d’un principi que un SGSI afecta fonamentalment la gestió del negoci, i requereix, per tant, que hi hagi decisions i accions que només pot prendre la gerència de l’organització. No s’ha de caure en l’error de considerar un SGSI una mera qüestió tècnica o tecnològica relegada a nivells inferiors de l’organigrama; s’estan gestionant riscs i impactes de negoci que són responsabilitat i decisió de la direcció. El terme direcció s’ha de considerar sempre des del punt de vista de l’abast de l’SGSI. És a dir, es refereix al nivell més alt de gerència de l’organització afectada per l’SGSI (cal recordar que l’abast no té per què ser tota l’organització). Algunes de les tasques fonamentals de l’SGSI que la norma ISO 27001 assigna a la direcció es 25
    • detallen en els punts següents: Compromís de la direcció La direcció de l’organització ha de comprometre’s amb l’establiment, la implantació, la gestió, el monitoratge, la revisió, el manteniment i la millora de l’SGSI. Per això, ha de prendre les iniciatives següents:• Establir una política de seguretat de la informació.• Assegurar-se que s’estableixen objectius i plans de l’SGSI.• Establir rols i responsabilitats de seguretat de la informació.• Comunicar a l’organització tant la importància d’aconseguir els objectius de seguretat de la informació i de complir la política de seguretat, com les seves responsabilitats legals i la necessitat de millora contínua.• Assignar prou recursos a l’SGSI en totes les fases.• Decidir els criteris d’acceptació de riscs i els nivells corresponents.• Assegurar que es facin auditories internes.• Revisar l’SGSI, com es detalla més endavant. Assignació de recursos Per a un desenvolupament correcte de totes les activitats relacionades amb l’SGSI, és imprescindible assignar recursos. És responsabilitat de la direcció garantir que s’assignen prou recursos a:• Establir, implantar, gestionar, monitorar, revisar, mantenir i millorar l’SGSI.• Garantir que els procediments de seguretat de la informació donen suport als requeriments de negoci. 26
    • • Identificar i tractar tots els requeriments legals i normatius, així com les obligacions contractuals de seguretat.• Aplicar correctament tots els controls implantats i mantenir d’aquest forma la seguretat adequada.• Fer revisions quan sigui necessari i actuar adequadament segons els resultats que hi hagi.• Millorar l’eficàcia de l’SGSI on sigui necessari. Formació i conscienciació La formació i la conscienciació en seguretat de la informació són elements bàsics perquè tingui èxit un SGSI. Per això, la direcció ha d’aconseguir que tot el personal de l’organització al qual s’assignen responsabilitats definides en l’SGSI estigui prou capacitat:• Ha de determinar les competències necessàries per al personal que fa tasques en l’aplicació de l’SGSI.• Ha de satisfer aquestes necessitats per mitjà de formació o d’altres accions, com, per exemple, contractació de personal ja format.• Ha d’avaluar l’eficàcia de les accions dutes a terme.• Ha de mantenir registres d’estudis, formació, habilitats, experiència i qualificació. A més, la direcció ha de fer que tot el personal rellevant estigui conscienciat de la importància que tenen les seves activitats de seguretat de la informació i de com contribueix a la consecució dels objectius de l’SGSI. Revisió de l’SGSI A la direcció de l’organització se li assigna també la tasca de, almenys una vegada a l’any, revisar l’SGSI, per assegurar-se que continua essent adequat i eficaç. Per fer-ho, ha de rebre una sèrie d’informacions que l’ajudin a prendre decisions, entre les quals hi pot haver les següents:• Resultats d’auditories i revisions de l’SGSI. 27
    • • Observacions de totes les parts interessades. • Tècniques, productes o procediments que puguin ser útils per millorar el rendiment i l’eficàcia de l’SGSI. • Informació sobre l’estat d’accions preventives i correctives. • Vulnerabilitats o amenaces que no siguin tractades adequadament en avaluacions de riscs anteriors. • Resultats dels mesuraments d’eficàcia. • Estat de les accions iniciades arran de revisions anteriors de la direcció. • Qualsevol canvi que pugui afectar l’SGSI. • Recomanacions de millora. Basant-se en totes aquestes informacions, la direcció ha de revisar l’SGSI i prendre decisions i accions relatives a: • Millora de l’eficàcia de l’SGSI. • Actualització de l’avaluació de riscs i del pla de tractament de riscs. • Modificació dels procediments i dels controls que afectin la seguretat de la informació, en resposta a canvis interns o externs en els requisits de negoci, requeriments de seguretat, processos de negoci, marc legal, obligacions contractuals, nivells de risc i criteris d’acceptació de riscs. • Necessitats de recursos. • Millora de la forma de mesurar l’efectivitat dels controls.2.5 S’integra un SGSI en altres sistemes de gestió? Un SGSI és bàsicament un sistema de gestió, és a dir, una eina de la qual disposa la gerència per dirigir i controlar un determinat àmbit, en aquest cas la seguretat de la informació. 28
    • La gestió de les activitats de les organitzacions es du a terme cada vegada més sovint segons sistemes de gestió basats en estàndards internacionals: es gestiona la qualitat segons la norma ISO 9001, l’impacte mediambiental segons la norma ISO 14001 o la prevenció de riscs laborals segons l’OHSAS 18001. Ara, s’hi afegeix la norma ISO 27001 com a estàndard de gestió de seguretat de la informació. Les empreses tenen la possibilitat d’implantar un nombre variable d’aquests sistemes de gestió per millorar l’organització i els beneficis sense imposar una càrrega a l’organització. L’objectiu darrer hauria de ser arribar a un únic sistema de gestió que prevegi tots els aspectes necessaris per a l’organització basant-se en el cicle PDCA de millora contínua comú a tots aquests estàndards. Les facilitats per integrar les normes ISO són evidents si se’n consulten els annexos. La norma ISO 27001 detalla en l’annex C la correspondència entre aquesta norma i les normes ISO 9001 i ISO 14001. S’hi observa la gran correlació que hi ha i es pot intuir la possibilitat d’integrar el sistema de gestió de seguretat de la informació en els sistemes de gestió que ja hi hagi en l’organització. Alguns punts que suposen una novetat en la norma ISO 27001 enfront d’altres estàndards són l’avaluació de riscs i l’establiment d’una declaració d’aplicabilitat (SOA), encara que ja es planteja incorporar aquests a la resta de normes en un futur.2.6 Beneficis d’implantar un SGSI • Establiment d’una metodologia de gestió de la seguretat clara i estructurada. • Reducció del risc de pèrdua, robatori o corrupció d’informació. • Els clients tenen accés a la informació mitjançant mesures de seguretat. • Els riscs i els controls d’aquests riscs són revisats contínuament. • Confiança de clients i socis estratègics per la garantia de qualitat i confidencialitat comercial que s’ofereix. • Les auditories externes ajuden cíclicament a identificar les debilitats del sistema i les àrees que cal millorar. 29
    • • Possibilitat d’integrar-se amb altres sistemes de gestió (ISO 9001, ISO 14001, OHSAS 18001…). • Continuïtat de les operacions necessàries de negoci després d’incidents de gravetat. • Conformitat amb la legislació vigent sobre informació personal, propietat intel·lectual i d’altres. • Imatge d’empresa en l’àmbit internacional i element diferenciador de la competència. • Confiança i regles clares per a les persones de l’organització. • Reducció de costs i millora dels processos i servei. • Augment de la motivació i satisfacció del personal. • Augment de la seguretat basada en la gestió de processos i no en la compra sistemàtica de productes i tecnologies.2.7 Aspectes clau Fonamentals • Compromís i suport de la direcció de l’organització. • Definició clara d’un abast apropiat. • Conscienciació i formació del personal. • Avaluació de riscs exhaustiva i adequada a l’organització. • Compromís de millora contínua. • Establiment de polítiques i normes. • Organització i comunicació. • Integració de l’SGSI en l’organització. Factors d’èxit • La conscienciació de l’empleat vers la seguretat. Aquest és el principal objectiu que s’ha d’aconseguir. 30
    • • Creació de comitès de direcció amb descobriment continu de no-conformitats o accions de millora.• Creació d’un sistema de gestió d’incidències que reculli notificacions contínues dels usuaris (els incidents de seguretat han de ser reportats i analitzats).• La seguretat absoluta no existeix, es tracta de reduir el risc a nivells assumibles.• La seguretat no és un producte, és un procés.• La seguretat no és un projecte, és una activitat contínua, i el programa de protecció necessita el suport de l’organització perquè tingui èxit.• La seguretat ha de ser inherent als processos d’informació i del negoci. Riscs• Excés de temps d’implantació: amb els consegüents costs descontrolats, desmotivació, allunyament dels objectius inicials, etc.• Temor davant el canvi: resistència de les persones.• Discrepàncies en el comitès de direcció.• Delegació de totes les responsabilitats en departaments tècnics.• No assumpció que la seguretat de la informació és inherent als processos de negoci.• Plans de formació i conscienciació inadequats.• Calendari de revisions que no es puguin complir.• Definició poc clara de l’abast.• Excés de mesures tècniques en detriment de la formació, la conscienciació i les mesures de tipus organitzatiu.• Falta de comunicació dels progressos al personal de l’organització. Consells bàsics• Mantenir la senzillesa i restringir-se a un abast manejable i reduït: un centre de treball, un procés de negoci clau, un sol centre de procés de dades o una àrea sensible concreta. 31
    • Una vegada aconseguit l’èxit i observats els beneficis, s’hauria d’ampliar gradualment l’abast en fases successives. • Comprendre detalladament el procés d’implantació: no s’ha d’iniciar basant-se en qüestions exclusivament tècniques, ja que és un error freqüent que ràpidament sobrecarrega de problemes la implantació, s’ha d’adquirir experiència d’altres implantacions i cal assistir a cursos de formació o disposar de l’assessorament de consultors externs especialitzats. • Gestionar el projecte fixant les diferents fites amb objectius i resultats. • L’autoritat i el compromís decidit de la direcció de l’empresa —fins i tot si a l’inici es restringeix a un abast reduït— evitaran moltes d’excuses per desenvolupar les bones pràctiques, a més de ser un dels punts fonamentals de la norma. • La certificació com a objectiu: encara que es pot aconseguir la conformitat amb la norma sense certificar-se, la certificació d’un tercer assegura un millor enfocament, un objectiu més clar i tangible i, per tant, millors opcions d’aconseguir l’èxit. • No reinventar la roda: encara que l’objectiu sigui la norma ISO 27001, és bo obtenir informació relativa a la gestió de la seguretat de la informació d’altres mètodes i marcs reconeguts. • Servir-se del sistema ja implantat: altres estàndards com la norma ISO 9001 són útils com a estructura de treball, estalvien temps i esforç i creen sinergies; és convenient demanar ajuda i implicar-hi auditors interns i responsables d’altres sistemes de gestió. • Reservar la dedicació necessària diària o setmanal: el personal involucrat en el projecte ha de ser capaç de treballar amb continuïtat en el projecte. • Registrar evidències: han de recollir-se evidències almenys tres mesos abans de l’intent de certificació per demostrar que l’SGSI funciona adequadament.3. EXEMPLES PRÀCTICS DE PROCEDIMENTSA continuació, es presenten una sèrie de procediments de seguretat de la informació, els qualsasseguren que es fa de forma eficaç la planificació, la gestió i el control dels processos deseguretat de la informació. Són procediments implantats en diferents organitzacions i que hansuperat amb èxit les auditories de distintes entitats certificadores 32
    • 3.1 Gestió d’incidents de seguretat de la informació i millores Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 32 Gestió d’incidents de seguretat de la informació i millores Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Minimitzar els danys provocats per incidències de seguretat i pel mal funcionament, controlar-los i aprendre’n 01 02 / 07 Edició inicial Empresa externa de Entrades: documents Sortides: resultats Qualsevol usuari Personal d’IT de referència, dades, Informació complementària / observacions parcials o finals manteniment materials, etc. *Registres per archivar 1. Qualsevol persona de l’organització que 1. No Comunicar la tingui una incidència de tipus informàtic conformitat incidència 1 (tant de maquinari com de programari) i mitjançant NC no la pugui resoldre per mitjans propis pot Compatibilitat fer arribar al responsable de manteniment i Informàtica informàtic la incidència per correu electrònic, 2 SMS, telèfon, o qualsevol altre canal que No consideri adequat. Quan la comunicació és per fallades del Cal ajuda externa? programari., s’han d’anotar els símptomes del problema i tots els missatges que 3 apareguin en pantalla. Es pot Sí 8 solucionar 2. Cal avaluar la incidència segons el criteri en remot? del responsable de manteniment d’IT, el qual li donarà una prioritat (des d’immediata a uns Avisar l’empresa externa quants dies) per resoldre-la. 4 Si la incidència és molt greu o es repeteix Resoldre la Resoldre diverses vegades (entre 3 i 5 vegades), el incidència 5 responsable d’IT podria considerar oportú la incidència 9 obrir una no conformitat segons el procés PG no conformitats, accions correctores i No preventives. Hi ha contracte? Cal recopilar totes les proves necessàries No per resoldre la incidència. Cal material? 10 Sí 4. S’ha d’avisar una empresa externa de Signar albarà i manteniment informàtic que estigui dins Sí quedarse-se’n la llista de proveïdors aprovats (vegeu el No 6. Albarà una còpia procediment d’avaluació) i amb la qual es Calen pressuposts 6 tingui un contracte de confidencialitat (vegeu el procediment PE-03-INF seguretat en els 11 accessos de terceres parts). Sí 5. S’han de recopilar les proves que es consi- Demanar tres pressupots derin oportunes per resoldre la incidència 12 Nota: Tots els empleats han de conèixer 12. pessuposts els procediments per informar dels distints Rebre autorització tipus d’incidències (fallada de seguretat, de direcció 13 amenaça, debilitat o mal funcionament) que puguin tenir impacte en la seguretat dels actius de l’organització. Comprar material Cal informar el departament d’informàtica 14 de qualsevol incidència observada o sospitada tan aviat com sigui possible. Desplaçar-se al lloc de la incidència Els empleats que cometin infraccions en 15 matèria de seguretat han de ser amonestats segons decideixi el comitè de direcció o de seguretat de la informació. Resoldre Fi la incidència 16 del procés 7
    • 3.2 Còpies de seguretat i recuperació d’arxius Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 33 Còpies de seguretat i recuperació d’arxius Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Mantenir la integritat i la disponibilitat dels serveis de tractament de la informació i la comunicació 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Usuaris Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar 1. Reglament 1. La informació de la qual es fa còpies a de mesures les cintes de seguretat és la del servidor Necessitat de fer de seguretat principal, que és la que s’ha considerat que còpies de seguretat 1 dels fitxers té importància per al negoci. automatitzats que continguin dades de Cada matí, llevar la cinta caràcter personal del dia anterior 2 3. Cada dia es comprova que el programa 3. Cinta del Introduir la cinta del dia en s’ha executat correctament i s’anota a mà la dia en curs curs i fer la comprovació comprovació. 3 2. Cinta del Guardar la cinta a la caixa forta dia anterior 4 5. Qualsevol persona de l’organització que 5. No conformitat tingui una incidència sobre recuperació No d’algun arxiu eliminat accidentalment pot Cal restablir fer arribar al responsable de manteniment cap fitxer? informàtic la incidència segons allò que s’ha descrit en el procés PTI-01-INF de resposta Sí davant incidències i mals funcionaments de la seguretat. Sol·licitut al 5 departament de TI mitjançant NC Cercar la cinta del dia anterior 6 11. Les ajudes de suports s’han de prova 11. Registre de manualment quan sigui factible, a fi d’asse- comprovacions gurar que són fiables quan sigui necessari Introduir la cinta usar-los en cas d’emergència. També s’han en el servidos de comprovar regularment els procediments 7 de recuperació per assegurar que són eficaços i que poden complir-se en el temps establert en els procediments operatius de Comprovar la fiabilitat del recuperació. fitxer de la cinta 8 Restablir el fitxer sol·licitat 9 Fer comprovacions 11 Fi del procés 10 mensuals
    • 3.3 Seguretat en els accessos de tercers Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 34 Seguretat en els accessos de terceres parts Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Mantenir la seguretat que terceres parts puguin accedir als recursos de tractament de la informació i dels actius d’informació de l’organització 01 02 / 07 Edició inicial Personal d’empreses Entrades: documents Sortides: resultats Director d’TI de referència, dades, Informació complementària / observacions parcials o finals col·laboradores i visitants materials, etc. *Registres per archivar 1. Els tercers que treballen en l’organització de forma temporal també poden augmentar les debilitats de la seguretat. Exemples de tercers serien: Necessitat d’accedir fisicament o lògicament 1 a) El personal de manteniment i suport de 2 i 5. Identificació a la informació maquinari i programari. i avaluació de b) Els serveis de suport externalitzats de riscs relatius a neteja, vigilància i d’altres. parts externes c) Els estudiants en pràctiques o amb altres contractats per temps limitat. Sí Té dret 5. Es consideren aquests tipus d’accés: d’accés? 2 a) Accés físic, per exemple, a despatxos, magatzem, etc. No Accedir a la b) Accés lògic, per exemple, a bases de informació 3 dades o a sistemes d’informació de l’orga- Identificar el tipus d’accés nització. 4 Motius d’accés. Hi ha tercers que han de 8. Clàusules tenir accés físic i lògic perquè donen servei establertes en a l’empresa, sense estar-hi instal·lats, per les ofertes Avaluar el riscs exemple: 4 a) El personal de suport al maquinari i al programari requereix accés en el nivell del sistema o de les funcionalitats de baix nivell No de les aplicacions. Cal aplicar b) Els associats o partícips en el negoci controls? 6 que han d’intercanviar informació, accedir 8. Contracte als sistemes d’informació o compartir bases signat Sí de dades. Identificar els controls que cal aplicar 7 Implantar els controls 8 9. Contracte tipus Accedir a la informació 9
    • 3.4 Gestió d’accessos, privilegis i contrasenyes d’usuaris Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 de 2 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Tot el pesonal Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar 2. L’àlies de l’usuari es construeix utilitzant Necessitat de gestionar els criteris següents: altes i modificacions 1 d’accessos, privilegis i/o Grandària mínima: 3 caràcters. contrasenyes Grandària màxima: 14 caràcters. Primera inicial del nom. Primera inicial del segon nom (si és compost). Modificació Baixa d’usuari Primer cognom complet. 2 Quina gestió és? Els caràcters amb accent són substituïts pel mateix caràcter sense accent. El caràcter ñ A Alta de nou usuari és substituït per la lletra n. No es consideren els enllaços, per exemple, en el nom Maria dels Horts no es té en compte dels. Proporcionar àlies de Eliminar permisos Si dues o més persones tenen el mateix nou usuari d’usuari identificador d’usuari, cal afegir a la segona 4 i 12. Gestió de 3 12 persona i següents un dígit diferenciador: drets d’accés 2, 3, 4, etc. d’usuaris Assignar privilegis i anotar-ho en el registre Els conflictes no aclarits per les regles 4 anteriors seran resolts a criteri de la persona que sol·licita el compte o dels serveis infor- Assignar contrasenya màtics. En cas de combinacions que derivin temporal en paraules malsonants, es pot sol·licitar el 5 canvi d’identificador d’usuari. Assignar contrasenya 4. Hi ha diversos tipus de privilegis, els temporal més habituals són el d’administrador per a 6 personal d’IT i usuaris per a tots els altres treballadors i directius. Entregar document de drets d’accés, 6. Se’ls proporciona inicialment una contra- lliurament de contrasenya senya temporal segura que forçosament i compromís de secret hagin de canviar immediatament després. 7 S’ha d’establir un conducte segur per fer arribar les contrasenyes temporals als Signar el justificant de usuaris. S’hauria d’evitar enviar-les mitjançant recepció de drets d’accés, tercers o missatges no xifrats de correu 8 i 16. lliurament de la contrasenya electrònic. Lliurament de i compromís de secret la política, les 8 10. Per mantenir un control efectiu de l’accés contrasenyes i a les dades i als serveis d’informació, s’ha de el compromís fer una revisió periòdica dels drets d’accés de secret Canviar la contrasenya 9 dels usuaris. a) Revisar els drets d’accés dels usuaris a intervals de temps regulars (es recomana cada sis mesos). Modificar el registre de b) Revisar més sovint (es recomana cada drets d’accés tres mesos) les autoritzacions de drets 10 d’accés amb privilegis especials. c) Comprovar les assignacions de privi- legis a intervals de temps regulars per Revisar periòdicament assegurar que no s’han obtingut privilegis no 11 els drets d’accés autoritzats.
    • Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 2 de 2 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Tot el pesonal Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar A Contrasenya De quina Permisos d’accés 12 modificació es tracta? Privilegis Assignar permisos d’accés 13 Assignar privilegis 14 Assignar una contrasenya temporal 15 15. També es proporcionen contrasenyes 17. Gestió de temporals quan un usuari oblida la seva, drets d’accésCanviar la contrasenya Modificar el registre però només després d’haver-ne fet una d’usuaris 16 de drets d’accés identificació positiva. 17 Revisar periòdicament 18 els drets d’accés
    • 3.5 Instal·lació i protecció d’equips Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 36 Instal·lació i protecció d’equips Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anteriorEvitar pèrdues i danys, comprometre els actius o interrompre les activitats, i protegir la integritat del programari i de la informació 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar 1. Manual per 1. L’equip hauria de col·locar-se i protegir-se instal·lar un de manera que es redueixi el risc d’ame- Necessitat de donar ordinador nou naces de l’entorn, així com les oportunitats d’alta un lloc de feina 1 d’accessos no autoritzats. S’haurien de considerar els controls següents: a) Els equips s’haurien de situar on es minimitzin els accessos innecessaris a les Comprovar si els discs durs àrees de feina. tenen particions 2 b) Els equips de tractament i emmagatze- matge d’informació que manegen dades sensibles s’han d’instal·lar on es redueixi el Instal·lar components risc que altres vegin els processos mentre necessaris per al funcionament s’usen. 3 c) Els elements que requereixin protecció especial s’han d’aïllar per reduir el nivell general de protecció requerit. Instal·lar impressores 4 d) S’han d’adoptar mesures per minimitzar els riscs de possibles amenaces, com ara: robatori, incendi, explosius, fum, aigua (o Instal·lar programes fallada de subministrament), pols, vibra- informàtics cions, agents químics, interferències en 5 el subministrament elèctric i radiacions electromagnètiques. Instal·lar el sistema operatiu 5. S’ha d’instal·lar la darrera actualització 5. Llicències 5. Política sobre i les actualitzacions de Windows juntament amb totes les actua- de programari 6 les llicències litzacions de seguretat disponibles en el i copyrights de programari moment en el servidor de Microsoft. (Vegeu i copyrights la política sobre les llicències de programari Instal·lar la xarxa interna i copyrights.) 7 11. La llista de programes que s’instal·len comunament són els que estan descrits en el Fer petició d’entrada de document gestió d’usuraris i privilegis. domini i d’antivirus 8 Tot programari que s’usa a l’empresa per a fins administratius o comercials té llicència. El nombre de llicències es correspon amb el nombre d’usuaris simultanis. És un Sí nou usuari? 9 Per descomptat, pot usar-se en equips programari lliure (Open Source, Freeware, etc.). Activar el PTI-04-INF No de gestió d’accessos, privilegis i contrasenyes d’usuaris 10 Fi del procés 11
    • 3.6 Inventari d’actius, classificació i tractament de la informació Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 37 Inventari d’actius, classificació i tractament de la informació Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 de 2 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Mantenir una protecció adequada sobre els actius i la informació 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Coordinador de l’SGSI de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar 1. S’han categoritzat 6 tipus d’actius: 1. ISO 17799:2005 1. Tangibles-maquinari (actius físics): equip Identificar un possible de tractament (processadors, monitors, actiu de l’organització 1 portàtils, mòdems), equips de comunica- 1. ISO 27.001:2005 cions (routers, centrals digitals, màquines de fax), mitjans magnètics (discs i cintes), etc. 2. Programari: programari d’aplicació, programari del sistema, eines i programes de Asignar un responsable desenvolupament. a aquest actiu 3. Persones: personal de l’organització (tot el 2 personal implicat i proveïdors). 4. Informació: actius de dades i informació, documentació pública, arxius per custodiar. 5. Subministraments (Internet, llum, telefonia, Valorar l’impacte en etc.). l’organització i/o el valor d’ús 6. Altres (reputació, web, etc.). 3 5, 6 i 7. Annex 1 2. La responsabilitat sobre els actius ajuda sobre valoració a assegurar que es manté la protecció d’actius adequada. S’identifiquen els propietaris Valorar el cost de reposició (responsables) de tots els actius importants. de l’actiu 4 Per conèixer els drets d’accés als actius que es refereixen a dades, vegeu: Paper: vegeu el registre de llista de registres. Electrònic: vegeu el registre de gestió de drets d’accés d’usuaris. Calcular la qualificació 5 8. La llista d’actius l’ha de revisar en la reunió 6. Inventari de revisió la direcció. d’actius, classificació i Actius organitzatius: qualsevol element que tractament de representi un valor per a l’empresa. la informació No Es modifica l’avaluació de risc? 6 Sí Activar/revisar el procés PTI-04-INF de gestió i avaluació de riscs 7 Revisar periòdicament 8 la classificació
    • Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 37 Inventari d’actius, classificació i tractament de la informació Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 2 de 2 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Mantenir una protecció adequada sobre els actius i la informació 01 02 / 07 Edició inicialValoració d’actiusSubestat: Impacte en l’organització i/o valor d’ús: d’1 a 5 (de molt baix a molt alt)Subestat: Cost de reposició de l’actiu: d’1 a 5 (de menys de 100 euros a més de 1000.000 euros)A continuació, hi ha una taula amb el resum de les mètriques utilitzades: Cost de reposició (en euros) De 100 De 1.000 De 10.000 <100 >100.000 a 1.000 a 10.000 a 100.000 Escala 1 2 3 4 5 Molt baix 1 1 1 3 4 5 Impacte i/o valor d’ús Baix 2 2 4 6 8 10 Mitjà 3 3 6 9 12 15 Alt 4 4 8 12 16 20 Molt alt 5 5 10 15 20 25Resum i nivell de criticitat final Escala Valor de l’actiu Nivell de criticitat final 1-3 Molt baix 1 4-5 Baix 2 6-10 Mitjà 3 11-19 Alt 4 20-25 Molt alt 5
    • 3.7 Acabament del lloc de feina i eliminació de suports Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 38 Acabament del lloc de feina i eliminació de suports Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anteriorAssegurar que els empleats, contratistes i usuaris de tercera part surtin de l’organització o caviïn de lloc de feina d’una manera ordenada 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Personal Informàtic de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar Acabament o canvi 5. S’han d’utilitzar procediments formals per 1 desfer-se d’una manera segura dels suports d’un lloc de feina (discs durs de PC i portàtils, memòries USB, CD, etc.) i s’ha de tractar de minimitzar el No risc de perdre informació sensible a la qual És una puguin accedir persones no autoritzades. baixa d’usuari? Abans d’eliminar tots els elements de l’equip que continguin mitjans d’emmagatzematge, Sí s’ha de comprovar que totes les dades No sensibles i el programari amb llicència És un acomiadament? s’ha esborrat o sobreescrit. Els dispositius que continguin informació han de ser Sí destruïts físicament o bé la informació ha Activar el PTI-04-INF de de ser destruïda, esborrada o sobreescrita Signar la carta gestió d’accessos, privilegis i contrasenyes d’usuaris mitjançant tècniques que no facin possible d’acomiadament 2 3 recuperar la informació original, en comptes d’utilitzar un esborrat normal o un formatat. Tomar els actius que 6. Lliurament de 6. La llista d’actius per tornar pot incloure: 6. Lliurament de siguin necessaris la política, les Claus d’accés la política, les 4 contrasenyes i Mòbil d’empresa contrasenyes i el compromís Portàtils el compromís de secret Manuals i documentació de secret Emplenar l’imprès Etc. de devolució d’actius i de compromís de secret Nota: Els drets d’accés als actius d’infor- 5 No mació i als recursos de tractament de la Hi ha una baixa d’un informació haurien de ser reduïts o retirats equip? abans d’acabar o canviar la contractació, Sí depenent de l’avaluació de factors de risc, com ara: No Destruir-lo en un Hi ha peces a) Si l’acabament o el canvi és d’iniciativa de punt ecològic reutilitzables? l’empleat, el contractista o l’usuari de tercera 6 part, o d’iniciativa de la direcció, així com la Sí raó de l’acabament. b) Les responsabilitats que té l’empleat, el contractista o qualsevol altre usuari. És un disc per Sí emmagatzemar c) El valor dels actius accessibles en el dades? moment. Formatar el disc No 7 Emmagatzemar les peces 8 Modificar l’inventari 9 Fi del procés 10
    • 3.8 Gestió i avaluació de riscs Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 39 Gestió i avaluació de riscs Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 de 3 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Analitzar, avaluar i tractar els riscs de seguretat de la informació de l’organització 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Comitè de seguretat de la informació Direcció de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar 1. PTI-07-INF 1. S’han identificat 6 categories d’actius: 1. Inventari Identificar els actius 1 d’inventari • Tangibles d’actius d’actius, • Persones Anàlisi del risc classificació i • Serveis • Programari tractament de Identificar les amenaces • Informació dels actius la informació • Altres 2 2. Les amenaces són els esdeveniments que poden desencadenar un incident en l’orga- Identificar les nització i produir danys materials o pèrdues vulnerabilitats 3 immaterials en els seus actius. La conse- d’aquests actius qüència de l’amenaça, si es materialitza, és un incident que modifica l’estat de seguretat dels actius amenaçats. És a dir, fa passar Valorar la probabilitat 4, 5, 6. Annex l’actiu d’un estat inicial anterior conegut a un d’ocurrència 1: Criteris altre de posterior que pot ser no desitjable. 4 Avaluació del risc d’acceptació dels riscs i 3. La vulnerabilitat d’un actiu és la potenci- identificació alitat o la possibilitat que es materialitzi una Valorar l’impacte en amenaça sobre l’actiu. Una vulnerabilitat és dels nivells l’organització una debilitat o un forat en la seguretat de la 5 acceptables informació d’una amenaça. En si mateixa no per al risc causa cap dany, sinó que és una condició o un conjunt de condicions que poden Calcular el nivell de risc permetre que una amenaça afecti un actiu. 6 Es tracta d’una propietat de la relació entre un actiu i una amenaça que si no es gestiona adequadament permet que l’amenaça es materialitzi. El nivell de risc és acceptable? Nota: Per fer l’avaluació, s’ha utilitzat la llista de vulnerabilitats (i amenaces) típiques segons la norma UNE71501-3:2001 IN. Avaluar l’actiu següent 7 Quin tractament 4, 5, 6. Per avaluar el risc, vegeu l’annex 1: de risc aplicam? Criteris d’acceptació dels riscs i identificació Tractament del risc dels nivells acceptables per al risc. 8. Els objectius del control i els controls llistats en l’annex A de la norma ISO 27001 Implantar controls Evitar el risc Transferir el risc Acceptar el risc 11 han de ser seleccionats com a part d’aquest 8 9 10 procés i d’una manera adequada per cobrir els requisits identificats. L’annex A conté una llista dels objectius del control i els controls Planificar controls que en general han estat trobats importants en les organitzacions. 12 11. ISO A 17799:2005
    • Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 39 Gestió i avaluació de riscs Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 2 de 3 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Analitzar, avaluar i tractar els riscs de seguretat de la informació de l’organització 01 02 / 07 Edició inicial Entrades: documents Sortides: resultats Comitè de seguretat informàtica Direcció de referència, dades, Informació complementària / observacions parcials o finals materials, etc. *Registres per archivar A Valorar la probabilitat d’ocurrència 12Tractament del risc Valorar l’impacte en l’organització 13 Calcular el risc residual 14 Aprovar el risc residual 15 17. Formular un pla de tractament del risc que identifiqui les accions de gestió apropiades, els recursos, les responsabilitats i les prioritats per gestionar els riscs de seguretat de la informació. Identificar altres possibles controls per implantar 16 18. Cal mesurar l’eficàcia dels controls per comprovar que s’han complert els requisits de seguretat. Fer/actualitzar el pla de 19. Es farà o s’actualitzarà la declaració 15. Informe de tractament de riscs d’aplicabilitat, que inclou el següent: l’anàlisi del risc 17 a) Els objectius de control i els controls seleccionats i les raons d’aquesta selecció. 16. Pla de b) Els objectius de control i els controls Planificar els tractament indicadors per implantats en el seu moment. de riscsRevisió del risc mesurar els controls 18 c) L’exclusió de qualsevol control objectiu del control i de qualsevol control, i la justificació de l’exclusió. 20. Selecció de controls ISO Fer/actualitzar el 20. Cal revisar les anàlisis del risc i els riscs 27.001 (SOA) document d’aplicació residuals així com els nivells acceptables del de controls 19 risc en la revisió anual del sistema, tenint en compte canvis en: a) L’organització b) La tecnologia c) Els objectius i els processos del negoci Fer revisions d) Les amenaces identificades periòdiques 20 e) L’eficàcia dels controls implantats
    • Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina PG 39 Gestió i avaluació de riscs Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 3 de 3 Comitè de l’SGSI i Informàtica i Informàtica i Informàtica Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior Analitzar, avaluar i tractar els riscs de seguretat de la informació de l’organització 01 02 / 07 Edició inicial ANNEX 1: Criteris d’acceptació dels riscs i identificació dels nivells acceptables per al risca) Mètrica de probabilitat c) Nivells de risc acceptablesCal tenir en compte dos tipus de repeticions, quan es manifestal’amenaça i quan l’amenaça pot aprofitar una vulnerabilitat. 1-5 Tolerable No fa falta aplicar-hi tractament n fer-ne un seguiment Tolerable Probabilitat Repetició Puntuació 6-10 amb reserves Cal aplicar-hi tractament Ínfima Un cop en la vida 1 11-25 Intolerable Cal aplicar-hi tractament de risc i fer-ne un seguiment Poc probable Cada any 2 d) Tractament del risc Probable Cada mes 3 • Implantar controls • Evitar el risc Bastant probable Cada setmana 4 • Transferir el risc • Acceptar el risc Molt probable Cada dia 5 e) Resum de la valoració del riscb) Mètrica de l’impacteEn té en compte intrínsicament la valoració del temps de reposició, Probabilitatpèrdua de reputació, etc. ïnfima Poc Bastant Probable Molt probable probable probable Impacte i/o valor d’ús Cost de reposició Puntuació 1 2 3 4 5 Molt baix Menys de 100 € 1 Impacte Molt baix 1 1 1 3 4 5 Baix Entre 100 € i 1.000 € 2 Baix 2 2 4 6 8 10 Mitjà Entre 1.000 € i 10.000 € 3 Mitjà 3 3 6 9 12 15 Alt Entre 10.000 € i 100.000 € 4 Alt 4 4 8 12 16 20 Molt alt Més de 100.000 € 5 Molt alt 5 5 10 15 20 25
    • 4. EXEMPLES PRÀCTICS DE DOCUMENTACIÓ4.1 Exemple d’un índex de polítiques de seguretat de la informació Les polítiques de seguretat de la informació són una sèrie de normes i recomanacions que pretenen regular el bon ús, la disponibilitat i el nivell de servei dels recursos informàtics d’una organització. S’apliquen a totes les persones que hi estan vinculades, tant si és personal de suport, personal d’administració, equip directiu, becaris, etc., com si és qualsevol altra entitat externa que utilitzi els recursos de l’empresa (proveïdors informàtics, consultors, auditors, etc.). S’haurien d’entregar a totes aquestes persones, que les haurien de signar com a prova que n’accepten el contingut. A continuació, hi ha un exemple d’un índex típic de polítiques de seguretat de la informació. 1 Índex 2 Objectiu 3 Àmbit d’aplicació 3.1 Agents als quals s’aplica aquesta política 3.2 Recursos als quals es refereix aquesta política 3.3 Aspectes normatius i reglamentaris 4 Justificació 4.1 Què és la seguretat de la informació? 4.2 Per què és necessària la seguretat de la informació? 5 Polítiques de bones pràctiques de seguretat de la informació 5.1 Procés d’autorització de recursos per al tractament de la informació (6.1.4) 5.2 Ús acceptable dels actius (7.1.3) 5.3 Extracció de pertinences (9.2.7) 5.4 Drets de propietat intel·lectual (IPR) (15.1.2) 45
    • 5.5 Controls contra el codi maliciós (10.4) 5.6 Correu electrònic i enviament de missatges (10.8.4) 5.7 Sistemes d’informació del negoci (10.8.5) 5.8 Política de pantalles i taules d’escriptori netes o «sense papers» (11.3.3) 5.9 Política d’ús dels serveis de xarxa (11.4.1) 5.10 Sistema de gestió de contrasenyes (11.5.3) 5.11 Ordinadors i comunicacions mòbils (11.7.1) 5.12 Teletreball (11.7.2) 5.13 Procés disciplinari (8.2.3) 5.14 Seguretat dels equips fora dels locals de l’organització (9.2.5) 6 Altres polítiques de seguretat de la informació (16.1.1)4.2 Exemple d’un índex de manual de seguretat física i de l’entorn L’objectiu del manual és evitar accessos no autoritzats, danys i interferències contra els locals i la informació de l’organització Es tracta de complir, entre d’altres, els dominis de control A.9.1 Àrees segures, A.9.2 Seguretat dels equips i altres controls derivats del Codi de bones pràctiques per a la gestió de la seguretat de la informació (ISO 27002) El manual de seguretat física i de l’entorn és un tutorial dedicat a la seguretat física de sistemes que intenta aclarir termes i tècniques en aquesta àrea de la seguretat informàtica i de la informació. El manual tracta de la seguretat física dels sistemes informàtics (ordinadors, maquinari de xarxa, dispositius electrònics, etc.), de tot l’entorn que els envolta al lloc on es troben ubicats (edifici, sistemes elèctrics, seguretat dels panys, etc.) i de les persones que estan 46
    • encarregades de vigilar-los o de vigilar l’accés a aquests sistemes informàtics (administradors,personal extern, vigilants, etc.). Tot aquest entorn configura la seguretat física.S’han posat entre parèntesis els punts de la norma ISO 27002. 1 Índex 2 Objectiu 3 Abast 3.1 Introducció 3.1.1 Descripció de l’edifici 3.1.2 Descripció de la xarxa i dels sistemes 4 Àrees segures (9.1) 4.1 Perímetre de seguretat física (9.1.1) 4.1.1 Accessos físics a la nau 4.2 Controls físics d’entrada (9.1.2) 4.2.1 Càmeres de vigilància 4.2.2 Instal·lació i control de recepció d’alarmes 4.3 Seguretat de les oficines, els despatxos i els recursos (9.1.3) 4.3.1 Accés al magatzem 4.4 Protecció contra les amenaces externes i de l’entorn (9.1.4) 4.4.1 Seguretat contra incendis 4.4.2 Plans d’emergència i evacuació del personal 4.5 Treball en àrees segures (9.1.5) 4.6 Àrees d’accés públic, de càrrega i descàrrega (9.1.6) 5 Seguretats dels equips (9.2) 5.1 Instal·lació i protecció d’equips (9.2.1) 5.1.1 Condicions ambientals 47
    • 5.1.2 Accés als servidors 5.2 Instal·lacions de subministrament (9.2.2) 5.2.1 Subministraments d’energia de l’edifici 5.2.2 Sistema d’alimentació ininterrompuda (SAI) 5.3 Seguretat del cablejat (9.2.3) 6 Altres controls voluntaris (16.1) 6.1 Assegurances (16.2.1) 7 Annex 1 (plànols de les oficines)4.3 Pla de continuïtat del negoci L’objectiu del pla de continuïtat del negoci és reaccionar a la interrupció de les activitats empresarials i protegir els processos crítics de negoci dels efectes de catàstrofes o de fallades importants dels sistemes d’informació, així com garantir-ne la represa. S’implanta un procés de gestió de la continuïtat del negoci per minimitzar els efectes sobre l’organització i poder recuperar-se de pèrdues d’actius d’informació (com a resultat, per exemple, de catàstrofes naturals, accidents, fallades dels equips i accions intencionades) fins a un nivell acceptable mitjançant una combinació de controls preventius i de recuperació. El procés ha d’identificar els processos crítics de negoci i integrar els requisits de gestió de seguretat de la informació per a la continuïtat del negoci amb altres requisits de continuïtat relacionats amb aspectes com ara les activitats, el personal, els materials, el transport i les instal·lacions. La gestió de la continuïtat del negoci inclou controls preventius per identificar i reduir els riscs, a més del procés general d’avaluació de riscs; limitar les conseqüències d’incidents danyosos, i garantir que la informació necessària per als processos empresarials estigui disponible. 48
    • Estructura i explicació Camp Explicació 1 Succés Nom del succés o esdeveniment Responsable de la documentació, implantació, 2 Propietari de gestió del pla revisió i millora del pla Criteris que determinaran quan és apropiat 3 Condicions per activar-lo posar en funcionament el pla o procediment de recuperació Controls tècnics o organitzatius o mitjans humans 4 Controls preventius que s’hi destinaran per evitar que es produeixi el succés o per pal·liar-ne les conseqüències. Procediments que permeten la recuperació i la represa de les activitats empresarials, i també 5 Pla de contingències la disponibilitat de la informació en les escales temporals requerides. Vegeu l’apartat «Proves, manteniment 6 Elements que cal comprovar i reavaluació dels plans».Proves, manteniment i reavaluació dels plansEls plans de continuïtat del negoci han de provar-se i actualitzar-se periòdicament per garantirque estan al dia i que són efectius.Els plans de continuïtat del negoci han de garantir que tots els membres de l’equip de recuperació,així com qualsevol altra persona rellevant, coneixen els plans i la seva responsabilitat per a lacontinuïtat del negoci i la seguretat de la informació, i que coneixen les seves funcions quan esrecorre a un pla. 49
    • La programació de les proves del pla o els plans de continuïtat del negoci indiquen quan i com ha de provar-se cada element del pla. Tots els elements del pla o els plans han de provar-se amb la freqüència estipulada. Prova d’escenari núm. 4 sobre talls de subministrament elèctric Què cal comprovar Com Qui Quan Pitjar el botó de «Tester» del quadre elèctric. Comprovar que el SAIS i els equips funcionen. Comprovar quins elements Responsable Simulacres de talls estan connectats als de Semestral de subministrament endolls vermells. manteniment Comprovar que les centraletes de telèfon i d’alarma continuen actives. Comprovar els llums d’emergència. Data Resultats Firma Observacions4.4 Exemple d’inventari d’actius, classificació i tractament Segons s’estableix en el punt 4.2.1 d) (1) de la norma ISO 27001 i el punt 7 de la norma 27002, a continuació es presenta un exemple d’inventari dels actius d’una organització. A cada un s’ha assignat un responsable i un valor de la manera següent: Subestat «Valor d’ús»: d’1 a 5 (de molt baix a molt alt) 50
    • Subestat «Cost de reposició de l’actiu»: d’1 a 5 (de menys de 100 euros a més de 100.000 euros)A continuació, hi ha una taula amb el resum de les mètriques utilitzades: Cost de reposició (en euros) De 100 De 1.000 De 10.000 <100 >100.000 a 1.000 a 10.000 a 100.000 Escala 1 2 3 4 5 Molt baix 1 1 1 3 4 5 Baix 2 2 4 6 8 10 Valor d’ús Mitjà 3 3 6 9 12 15 Alt 4 4 8 12 16 20 Molt alt 5 5 10 15 20 25Com a actiu, s’entén qualsevol cosa que té valor per a l’organització (ISO/IEC 13335-1:2004). Elshem classificat en sis grups: 1. Tangibles-maquinari, 2. Programari, 3. Persones, 4. Informació,5. Subministraments i 6. Altres.Abreviatures utilitzades Impacte l’organització i/o valor d’ús IO Cost de reposició de l’actiu CR Qualificació QA 51
    • 1. Inventari d’informacióRev. N Nom de l’actiu Responsable IO CR QA Observacions 01 l1 Documents 5 4 20 01 l2 Documentació pública 2 2 4 01 l3 Documentació reservada i confidencial (paper) 3 3 9 01 l4 Documentació reservada i confidencial (digital) 4 3 122. Inventari de subministramentRev. N Nom de l’actiu Responsable Temps de IO CR QA Observacions reposició 01 S1 Telefonia mòbil 2 1 2 01 S2 Telefonia fixa 2 1 2 01 S3 Accés a xarxa privada virtual (VPN) 2 2 4 01 S4 ADSL 2 2 4 01 S5 Subministrament elèctric 4 2 83. Inventari de personesRev. N Nom de l’actiu Departament IO CR QA Observacions 01 P1 Persona 1 Departament 1 4 3 12 01 P2 Persona 2 Departament 2 3 3 9 01 P3 Persona 3 Departament 3 4 3 12 01 P4 Persona 4 Departament 4 3 3 9 52
    • 4. Inventari de tangibles-maquinariRev. N Nom de Cost Responsable Quantitat unitari Cost Temps de IO CR QA Observacions l’actiu total reposició 01 T1 Servidor 5 3 15 01 T2 Servidor 5 3 15 Equip de 01 T3 3 2 6 lloc de feina 02 T4 Portàtil 2 2 4 01 T5 PDAS 1 1 15. Inventari de programariRev. N Nom de l’actiu Responsable Proveïdor IO CR QA Observacions de departament Programari d’aplicació 01 S1 4 2 8 de servidor 01 S2 Antivirus 5 3 15 01 S3 Opera 5 3 15 01 S4 Paquet ofimàtic 3 2 66. Inventari d’altresRev. N Nom de l’actiu Responsable IO CR QA Observacions 01 O1 Marca i reputació 5 3 15 01 O2 Pàgina web 4 3 12 53
    • 4.5 Selecció de controls (declaració d’aplicabilitat) La declaració d’aplicabilitat o selecció de controls és una declaració documentada que descriu els objectius del control i els controls que són rellevants i aplicables a l’SGSI de l’organització. L’organització ha de seleccionar els objectius dels controls i els controls per al tractament dels riscs. Els objectius dels controls i els controls han de ser seleccionats i implantats per complir els requisits identificats per l’anàlisi de risc i el procés de tractament del risc. Aquesta selecció ha de tenir en compte el criteri d’acceptació de riscs, així com els requisits legals, regulatoris i contractuals. Els objectius del control i els controls llistats han de ser seleccionats com a part d’aquest procés i d’una manera adequada per cobrir els requisits identificats. Els objectius del control i els controls llistats no tenen caràcter exhaustiu, i es poden seleccionar també altres objectius del control i altres controls. S’ha afegit un camp al costat de cada control («estat») per conèixer-ne el grau d’implantació. Hi ha quatre estats per a la implantació: 1 Implantat 2 Programat 3 No programat 4 No aplicat En el cas de controls en què l’estat és «programat», cal planificar-ne la implantació en el document del pla de tractament del risc, en el qual s’especifiquen els recursos, les responsabilitat i les prioritats per gestionar els riscs de seguretat de la informació. 54
    • Selecció de controls A.5 Política de seguretat A.5.1 Política de seguretat de la informació OBJECTIU: Dirigir i donar suport a la gestió de la seguretat de la informació d’acord amb els requisits del negoci i amb la legislació i la regulació aplicables. APLICAT Document de referència Control o justificació Estat SI / NO Document de política de A.5.1.1 Un document de política de seguretat de la informació seguretat de la informació Polítiques de seguretat ha de ser aprovat per la direcció i ha de ser publicat i Sí Implantat comunicat a tots els empleats i a terceres parts. de la informació APLICAT Document de referència Control Estat SI / NO o justificació Revisió de la política de A.5.1.2 La política de seguretat de la informació s’ha de seguretat de la informació revisar a intervals planificats o si s’hi produeixen canvis significatius, a fi d’assegurar-ne la idoneitat, l’adequació Sí Revisió de la direcció Implantat i l’eficàcia de la continuïtat. A.6 Organització de la seguretat de la informació A.6.1 Organització interna Objectiu: Gestionar la seguretat de la informació dins l’organització. APLICAT Document de referència Control Estat SI / NO o justificació Comissió de gestió de la La direcció ha de donar un suport actiu a la A.6.1.1 seguretat dins l’organització mitjançant directrius seguretat de la informació Hi ha una acta de constitució i clares, compromís demostrat, assignació explícita Sí Implantat i reconeixement de les responsabilitats de la regles d’actuació del comitè seguretat de la informació. APLICAT Document de referència Control o justificació Estat SI / NO Coordinació de la seguretat A.6.1.2 Les activitats relatives a la seguretat de la infor- de la informació mació han de ser coordinades per representants de Perfils dels llocs les diferents parts de l’organització amb els rols i les Sí Implantat de feina funcions de treball corresponents. APLICAT Document de referència Control o justificació Estat SI / NO Assignació de responsabilitat A.6.1.3 sobre la seguretat de la informació Cal definir clarament totes les responsabilitats sobre la Perfils dels llocs Sí Implantat seguretat de la informació. de feina APLICAT Document de referència Control Estat SI / NO o justificació Procés d’autorització de recursos A.6.1.4 Cal definir i implantar un procés d’autorització per per al tractament de la informació Segons el lloc de feina es tenen gestionar cada nou recurs de tractament de la infor- Sí Implantat mació. definits els recursos necessaris. APLICAT Document de referència Control Estat SI / NO o justificació A.6.1.5 Acords de confidencialitat Cal identificar i revisar d’una manera regular els requisits dels acords de confidencialitat o de Acords de confidencialitat en no-revelació que reflecteixin les necessitats de l’orga- Sí Implantat els contractes de treball nització respecte a la protecció de la informació. APLICAT Document de referència Control o justificació Estat SI / NO A.6.1.6 Contacte amb les autoritats Directori de telèfons i adreces Cal mantenir contactes adequats amb les autoritats que Sí d’emergències Implantat corresponguin (pla de continuïtat del negoci)
    • 4.6 Informe d’anàlisi de riscs En aquest exemple s’ha optat per una metodologia pròpia d’avaluació de riscs, fruit de recollir algunes tècniques d’altres metodologies de prestigi reconegut (MAGERIT, etc.). A més, per fer l’avaluació, s’ha utilitzat la llista de vulnerabilitats (i amenaces) típiques segons la norma UNE71501-3:2001 IN. Per conèixer-la amb profunditat, vegeu el procediment «Avaluació de riscs de seguretat de la informació» descrit anteriorment. Exemple d’avaluació de riscs de la informació del grup «Informació»: Documents Valor Amenaça (Què) Vulnerabilitat (per què) P I VR Tractament Controls P I residual ObservacionsRobatori personalintern mal Personal internintencionat mal intencionat 2 4 8 Implantar controls Assegurances 2 3 6(confidencialitat)Robatori personalextern mal Emmagatzematge 9.1.2 Controlsintencionat no protegit 2 4 8 Implantar controls físics d’entrada 1 4 4(confidencialitat)Accés de persones Eliminació a la Eliminació insuficient paperera deno autoritzades de la documentació 2 5 10 Implantar controls documentació 1 4 4(confidencialitat) confidencialAccés de persones Personal intern 6.1.5 Acords deno autoritzades mal intencionat 2 4 8 Implantar controls confidencialitat 1 4 4(confidencialitat)
    • 5. CERTIFICACIÓLa norma ISO 27001, igual que la seva antecessora BS 7799-2, és certificable. Això vol dir quel’organització que tingui implantat un SGSI pot sol·licitar una auditoria a una entitat certificadoraacreditada i, si la supera amb èxit, pot obtenir un certificat del sistema segons la norma ISO 27001.En les seccions següents, s’aborden diferents temes relacionats amb la certificació.5.1 Auditoria i certificació Una vegada implantat l’SGSI en l’organització, i amb un historial demostrable de com a mínim 3 mesos, es pot passar a la fase d’auditoria i certificació, que es desenvolupa de la manera següent: • Sol·licitud de l’auditoria per part de l’entitat interessada a l’entitat de certificació i presa de dades per part d’aquesta darrera. • Resposta en forma d’oferta per part de l’entitat certificadora. • Compromís. • Designació d’auditors, determinació de dates i establiment conjunt del pla d’auditoria. • Preauditoria: opcionalment, pot fer-se una auditoria prèvia que aporti informació sobre la situació actual i orienti millor sobre les possibilitats de superar l’auditoria real. • Fase 1 de l’auditoria: no necessàriament ha de ser in situ, ja que es tracta que l’auditor en cap analitzi la documentació i prepari l’informe de la documentació bàsica de l’SGSI del client en què destaqui els possibles incompliments de la norma que es verificaran en la fase 2. Aquest informe s’envia al client juntament amb el pla d’auditoria. El període màxim entre la fase 1 i fase 2 és de 6 mesos. 57
    • • Fase 2 de l’auditoria: és la fase de detall de l’auditoria, en la qual es revisen in situ les polítiques, la implantació dels controls de seguretat i l’eficàcia del sistema en conjunt. S’inicia amb una reunió d’obertura en què es revisa l’objecte, l’abast, el procés, el personal, les instal·lacions i els recursos necessaris, així com possibles canvis d’última hora. Es fa una revisió de les exclusions segons la declaració d’aplicabilitat (document SOA), de les troballes de la fase 1, de la implantació de polítiques, procediments i controls, i de tots els punts que l’auditor consideri d’interès. Acaba amb una reunió de tancament en què es presenta l’informe d’auditoria.• Certificació: en el cas que es descobreixin durant l’auditoria no-conformitats greus, l’organització haurà d’implantar accions correctives; una vegada verificada aquesta implantació o, directament, en el cas de no haver-hi hagut no-conformitats, l’auditor podrà emetre un informe favorable i l’SGSI d’organització serà certificat segons la norma ISO 27001.• Auditoria de seguiment: semestralment o, almenys, anualment, ha de fer-se una auditoria de manteniment; aquesta auditoria se centra, generalment, en parts del sistema, atès que dura menys, i té com a objectiu comprovar l’ús de l’SGSI i fomentar i verificar la millora contínua.• Auditoria de recertificació: cada tres anys, és necessari superar una auditoria de certificació formal completa com la que s’ha descrit. Les organitzacions certificades en l’àmbit mundial en la norma ISO 27001 (o, anteriorment, la norma BS 7799-2) per entitats acreditades figuren en la llista que es pot trobar a http://www. iso27001certificates.com. Hi ha organitzacions que també han autoritzat que es publiqui l’abast de la certificació. Naturalment, l’organització que implanta un SGSI no té l’obligació de certificar-ho. Això no obstant, sí que és recomanable posar-se com a objectiu la certificació, perquè suposa l’oportunitat de rebre la confirmació per part d’un expert aliè a l’empresa que s’està gestionant 58
    • correctament la seguretat de la informació, afegeix un factor de tensió i de concentració en una meta a tots els membres del projecte i a l’organització en general i envia un senyal al mercat que es pot confiar en l’empresa i que és gestionada de manera transparent.5.2 L’entitat de certificació Les entitats de certificació són organismes d’avaluació de la conformitat encarregats d’avaluar i fer una declaració objectiva sobre el fet que els serveis i els productes compleixen uns requisits específics. En el cas de la norma ISO 27001, certifiquen, mitjançant l’auditoria, que l’SGSI d’una organització s’ha dissenyat, implantat, verificat i millorat de conformitat amb allò que estableix la norma. Hi ha nombroses entitats de certificació a cada país, ja que es tracta d’una activitat empresarial privada amb un gran auge en les dues darreres dècades per l’estandardització creixent i l’homologació de productes i sistemes a tot el món. L’organització que vulgui rebre el certificat pot posar-se en contacte amb diverses entitats certificadores i sol·licitar un pressupost per comparar-los i decidir quina entitat és més convenient, com es fa amb qualsevol altre producte o servei. Perquè les entitats de certificació puguin emetre certificats reconeguts, han d’estar acreditades. Això vol dir que un tercer, anomenat organisme d’acreditació, comprova, mitjançant avaluacions independents i imparcials, la competència de les entitats de certificació per a l’activitat objecte d’acreditació. A cada país hi sol haver una sola entitat d’acreditació (en alguns, n’hi ha més d’una) a la qual l’Administració encarrega aquesta tasca. A Espanya, és l’ENAC (Entitat Nacional d’Acreditació). 59
    • 5.3 L’auditor L’auditor és la persona que comprova que l’SGSI d’una organització s’ha dissenyat, implantat, verificat i millorat de conformitat amb allò que estableix la norma. En general, es distingeixen tres classes d’auditors: • De primera part: auditor intern, que audita l’organització en nom de si mateixa, normalment amb l’objectiu de mantenir el sistema de gestió i de preparar l’auditoria de certificació. • De segona part: auditor de client, és a dir, que audita una organització en nom d’un client seu; per exemple, una empresa que audita el seu proveïdor subcontractat (outsourcing). • De tercera part: auditor independent, que audita una organització com a tercera part imparcial, normalment perquè l’organització té la intenció d’aconseguir el certificat i contracta els serveis d’una entitat de certificació. L’auditor, sobretot si actua com a auditor de tercera part, ha de disposar també d’un certificat personal. Això vol dir que un tercer certifica que té les competències professionals i personals necessàries per exercir la labor d’auditoria de la matèria per a la qual està certificat. En aquest punt, hi ha petites diferències entre les entitats certificadores, que poden formular requisits distints per homologar els seus auditors. Però, en general, la certificació d’auditors se cenyeix a la norma ISO 19011 de directrius per a l’auditoria de sistemes de gestió, que dedica el seu punt 7 a la competència i l’avaluació dels auditors. A l’auditor se li exigeixen una sèrie d’atributs personals, coneixements, habilitats, educació formal, experiència laboral i formació com a auditor. Hi ha diverses organitzacions internacionals de certificació d’auditors, a fi de facilitar l’estandardització de requeriments i garantir un alt nivell de professionalitat dels auditors, a més d’homologar les institucions que ofereixen cursos de formació d’auditor. Algunes d’aquestes organitzacions són IRCA, RABQSA o IATCA. 60
    • IRCA (International Register of Certificated Auditors) és l’organisme mundial més gran de certificació d’auditors de sistemes de gestió. Té la seu al Regne Unit i, per això —a causa de l’origen anglès de la norma BS 7799-2 i, per tant, de la norma ISO 27001—, té ja des de fa anys un programa de certificació d’auditors de sistemes de gestió de seguretat de la informació. El seu web, també en espanyol, és una bona font de consulta dels requisits i els graus d’auditor. Quant a la pràctica de l’auditoria, a l’auditor se li exigeix que es mostri ètic, amb mentalitat oberta, diplomàtic, observador, perceptiu, versàtil, tenaç, decidit i segur de si mateix. Aquestes actituds són les que haurien de crear un clima de confiança i col·laboració entre auditor i auditat. L’auditat ha de considerar el procés d’auditoria sempre des d’un punt de vista constructiu i de millora contínua, i no de fiscalització de les seves activitats. Per això, l’auditor ha de fomentar en tot moment un ambient de tranquil·litat, col·laboració, informació i treball conjunt.6. EINESAquesta secció inclou enllaços a diferents eines i recursos relacionats amb sistemes de gestió deseguretat de la informació. Alguns estan en espanyol i d’altres en anglès. Una bona part són gratuïts.6.1 Normes, guies i bones pràctiques generals www.iso27001certificates.com Base de dades amb totes les empreses certificades segons les normes BS 7799-2 i ISO 27001. www.iso.org Normes ISO de descàrrega gratuïta relatives a tecnologies de la informació. www.aenor.es Compra de normes UNE/ISO. 61
    • www.iso27000.es/download/ControlesISO27002-2005.pdfLlista en espanyol dels controls de la norma ISO 27002:2005.www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001-V2.pdfNorma tècnica peruana NTP-ISO/IEC 17799:2007, traducció a l’espanyol de la norma ISO/IEC 27002:2005.www.praxiom.com/iso-17799-objectives.htmResum en anglès dels objectius de control de la norma ISO 27002:2005.www.bsigroup.com/upload/Standards%20&%20Publications/shop.htmlCompra de normes de la British Standards Institution.www.oecd.org/dataoecd/15/29/34912912.pdfDirectrius de l’OCDE per a la seguretat de sistemes i xarxes d’informació: cap a una culturade la seguretat. En espanyol.www.ism3.comISM3 (ISM Cubo) és un estàndard de maduresa de la seguretat de la informació compatibleamb la implantació de la norma ISO 27001, CobiT, ITIL i ISO 9001 desenvolupat perl’espanyol Vicente Aceituno.www.bsi.de/english/gshb/guidelines/guidelines.pdfGuia en anglès de bones pràctiques en la seguretat de la informació del Bundesamt fürSicherheit in der Informationstechnik d’Alemanya.www.bsi.de/english/gshb/manual/index.htmIT-Grundschutz: manual de més de 2.300 pàgines sobre gestió de la seguretat de lainformació editat pel Bundesamt für Sicherheit in der Informationstechnik d’Alemanya.Harmonitzat amb la norma ISO 27001, entre altres normes.www.isfsecuritystandard.comEstàndard de seguretat de la informació: Information Security Forum.www.isaca.org/cobitCobiT (Control Objectives for Information and Related Technology): marc per al bon governde les tecnologies de la informació. Versions en diversos idiomes, inclòs l’espanyol. 62
    • 7. GLOSSARILlista de termes relacionats amb la sèrie ISO 27000 i la seguretat de la informació definits segonsel context d’aquestes. S’hi inclou el terme corresponent en anglès.AAbast(Anglès: scope). Àmbit de l’organització que queda sotmès a l’SGSI. Ha d’incloure la identificacióclara de les dependències, les interfícies i els límits amb l’entorn, sobretot si només inclou una partde l’organització.Acceptació del risc(Anglès: risk acceptance). Segons la norma ISO/IEC Guia 73:2002, decisió d’acceptar un risc.Acció correctiva(Anglès: corrective action). Mesura de tipus reactiu orientada a eliminar la causa d’una no-conformitatassociada a la implantació i la gestió de l’SGSI a fi de prevenir-ne la repetició.Acció preventiva(Anglès: preventive action). Mesura de tipus proactiu orientada a prevenir potencials no-conformitatsassociades a la implantació i la gestió de l’SGSI.Accreditation bodyVegeu: entitat d’acreditació.Actiu(Anglès: asset). En relació amb la seguretat de la informació, es refereix a qualsevol informació osistema relacionat amb el tractament d’aquesta que tingui valor per a l’organització. Segons la normaISO/IEC 13335-1:2004: qualsevol cosa que té valor per a l’organització.AlertVegeu: alerta. 63
    • Alerta(Anglès: alert). Una notificació formal que s’ha produït un incident relacionat amb la seguretat de lainformació que pot evolucionar fins a convertir-se en catàstrofe.Amenaça(Anglès: threat). Segons la norma ISO/IEC 13335-1:2004, causa potencial d’un incident no desitjatque pot causar el dany a un sistema o a l’organització.Anàlisi de riscs(Anglès: risk analysis). Segons la norma ISO/IEC Guia 73:2002, ús sistemàtic de la informació peridentificar fonts i estimar el risc.Anàlisi qualitativa de riscs(Anglès: qualitative risk analysis). Anàlisi de riscs en què s’usa una escala de puntuacions per definirla gravetat de l’impacte.Anàlisi quantitativa de riscs(Anglès: quantitative risk analysis). Anàlisi de riscs segons les pèrdues financeres que causarial’impacte.AssetVegeu: actiu.Assets inventoryVegeu: inventari d’actius.AuditVegeu: auditoria.Auditor(Anglès: auditor). Persona encarregada de comprovar, de manera independent, la qualitat i laintegritat del treball que s’ha fet en una àrea particular.Auditor de primera part(Anglès: first party auditor). Auditor intern, és a dir que audita l’organització en nom de si mateixa. 64
    • En general, es fa com a manteniment del sistema de gestió i com a preparació per a l’auditoria decertificació.Auditor de segona part(Anglès: second party auditor). Auditor de client, és a dir que audita una organització en nomd’un client d’aquesta. Per exemple, una empresa que audita el seu proveïdor de subcontractes(outsourcing).Auditor de tercera part(Anglès: third party auditor). Auditor independent, és a dir que audita una organització com a tercerapart independent, normalment perquè l’organització té la intenció d’aconseguir la certificació.Auditor en cap(Anglès: lead auditor). Auditor responsable d’assegurar la conducció i la realització eficient i efectivade l’auditoria segons l’abast i el pla d’auditoria aprovat pel client.Auditoria(Anglès: audit). Procés planificat i sistemàtic en el qual un auditor obté evidències objectives que lipermeten emetre un judici informat sobre l’estat i l’efectivitat de l’SGSI d’una organització.Autenticació(Anglès: authentication). Procés que té per objectiu assegurar la identificació d’una persona osistema.AuthenticationVegeu: autenticació.AvailabilityVegeu: disponibilitat.Avaluació de riscs(Anglès: risk evaluation). Segons la norma ISO/IEC Guia 73:2002, procés de comparar el risc estimatcontra un criteri de risc amb l’objectiu de determinar la importància del risc. 65
    • BBS 7799Estàndard britànic de seguretat de la informació publicat per primera vegada el 1995. El 1998, en vaser pvublicada la segona part. La primera part és un conjunt de bones pràctiques per gestionar laseguretat de la informació —no és certificable— i la segona part especifica el sistema de gestió deseguretat de la informació —és certificable. La primera part és l’origen de la norma ISO 17799 i lanorma ISO 27002, i la segona part és l’origen de la norma ISO 27001. Com a estàndard, ja ha estatderogat per l’aparició d’aquests darrers.BSIBritish Estàndards Institution. Comparable a l’AENOR espanyol, és l’organització que ha publicat lasèrie de normes BS 7799, a més d’altres milers de normes d’àmbits molt diferents.Business continuity planVegeu: pla de continuïtat del negoci.CCatàstrofe(Anglès: disaster). Qualsevol esdeveniment accidental, natural o malintencionat que interromp lesoperacions o serveis habituals d’una organització durant el temps suficient perquè l’afecti de manerasignificativa.Certification bodyVegeu: entitat de certificació.CIAAcrònim anglès de confidencialitat, integritat i disponibilitat, els paràmetres bàsics de la seguretatde la informació.CIDAcrònim espanyol de confidencialitat, integritat i disponibilitat, els paràmetres bàsics de la seguretatde la informació. 66
    • CISACertified Information Systems Auditor. És una acreditació oferida per la ISACA.CISMCertified Information Systems Manager. És una acreditació oferida per la ISACA.CISSPCertified Information Systems Security Professional. És una acreditació oferida per l’ISC2.CCEBCriteri comú per a la seguretat de tecnologia d’informació.ChecklistVegeu: llista de control.Clear desk policyVegeu: política d’escriptori net o «sense papers».COBITControl Objectives for Information and Related Technology. Publicats i mantinguts per la ISACA, lamissió que tenen és investigar, desenvolupar, publicar i promoure un conjunt d’objectius de controlde la tecnologia de la informació rectors, actualitzats, internacionals i generalment acceptats per seremprats per gerents d’empreses i auditors.Compromís de la direcció(Anglès: management commitment). Alineament ferm de la direcció de l’organització ambl’establiment, la implantació, la gestió, el monitoratge, la revisió, el manteniment i la millora de l’SGSI.Confidencialitat(Anglès: confidenciality). Accés a la informació per part únicament dels qui hi estan autoritzats.Segons la norma ISO/IEC 13335-1:2004, característica o propietat per la qual la informació no estàdisponible o no és revelada a individus, entitats o processos no autoritzats.ConfidencialityVegeu: confidencialitat. 67
    • Contramesura(Anglès: countermeasure). Vegeu: control.ControlLes polítiques, els procediments, les pràctiques i les estructures organitzatives concebudes permantenir els riscs de seguretat de la informació per sota del nivell de risc assumit. (Nota: el termecontrol també és utilitzat com a sinònim de salvaguarda o contramesura.)Control correctiu(Anglès: corrective control). Control que corregeix un risc, un error, una omissió o un acte deliberatabans que produeixi pèrdues. Suposa que l’amenaça ja s’ha materialitzat, però es corregeix.Control detector(Anglès: detective control). Control que detecta l’aparició d’un risc, un error, una omissió o un actedeliberat. Suposa que l’amenaça ja s’ha materialitzat, però per si mateix no la corregeix.Control dissuasori(Anglès: deterrent control). Control que redueix la possibilitat que es materialitzi una amenaça, perexemple, amb avisos dissuasoris.Control preventiu(Anglès: preventive control). Control que evita que es produeixi un risc, un error, una omissió o unacte deliberat. Impedeix que una amenaça arribi ni tan sols a materialitzar-se.Control selectionVegeu: selecció de controls.Corrective actionVegeu: acció correctiva.Corrective controlVegeu: control correctiu. 68
    • COSOCommittee of Sponsoring Organizations of the Treadway Commission. Comitè d’OrganitzacionsPatrocinadores de la Comissió Treadway. Se centra en el control intern, especialment el financer.CountermeasureContramesura. Vegeu: control.DDeclaració d’aplicabilitat(Anglès: statement of applicability - SOA). Document en què s’enumeren els controls aplicats perl’SGSI de l’organització després del resultat dels processos d’avaluació i tractament de riscs, a mésde la justificació tant de la selecció com de l’exclusió de controls inclosos en l’annex A de la norma.Detective controlVegeu: control detector.Deterrent controlVegeu: control dissuasori.Directiva(Anglès: guideline). Segons la norma ISO/IEC 13335-1:2004, una descripció que aclareix què s’ha defer i com, amb el propòsit d’assolir els objectius establerts en les polítiques.DisasterVegeu: catàstrofe.Disponibilitat(Anglès: availability). Accés a la informació i els sistemes de tractament d’aquesta per part delsusuaris autoritzats quan ho requereixin. Segons la norma ISO/IEC 13335-1:2004, característica opropietat d’estar accessible i disponible per usar quan ho requereixi una entitat autoritzada.DRIIInstitut Internacional de Recuperació de Catàstrofes. 69
    • DTISecretaria d’Indústria i Comerç del Regne Unit. Edita moltes guies pràctiques en l’àmbit de laseguretat de la informació.EEDPAFFundació d’Auditors del Processament Electrònic de Dades (actualment, ISACF).ENACEntitat Nacional d’Acreditació. És l’organisme espanyol d’acreditació, patrocinat per l’Administració, queacredita organismes que duen a terme activitats d’avaluació de la conformitat, sigui quin sigui el sectoren què desenvolupin l’activitat. A més de laboratoris, entitats d’inspecció, etc., també acredita les entitatsde certificació, que són les que a més certificaran les empreses segons les diverses normes.Entitat d’acreditació(Anglès: accreditation body). Un organisme oficial que acredita les entitats certificadores com aaptes per certificar segons diverses normes. Sol haver-n’hi una per país. Són exemples d’entitatsd’acreditació: ENAC (Espanya), UKAS (Regne Unit), EMA (Mèxic), OAA (Argentina)...Entitat de certificació(Anglès: certification body). Una empresa o organisme acreditat per una entitat d’acreditació perauditar i certificar segons diverses normes (ISO 27000, ISO 9000, ISO 14000, etc.) empresesusuàries de sistemes de gestió.Esdeveniment(Anglès: event). Segons la norma ISO/IEC TR 18044:2004, succés identificat en un sistema, servei oestat de la xarxa que indica un possible forat de seguretat en la política de seguretat de la informacióo fallada de les salvaguardes, o una situació anterior desconeguda que podria ser rellevant per a laseguretat.ESFFòrum Europeu de Seguretat, en el qual cooperen més de 70 multinacionals fonamentalment 70
    • europees a fi de dur a terme investigacions relatives als problemes comuns de seguretat i control entecnologies de la informació.EventVegeu: esdeveniment.Evidència objectiva(Anglès: objective evidence). Informació, registre o declaració de fets, qualitativa o quantitativa,verificable i basada en una observació, una mesura o un test, sobre aspectes relacionats amb laconfidencialitat, la integritat o la disponibilitat d’un procés o servei o amb l’existència i la implantaciód’un element del sistema de seguretat de la informació.FFase 1 de l’auditoriaFase en què, fonamentalment mitjançant la revisió de documentació, s’analitza l’SGSI en el contextde la política de seguretat de l’organització, els objectius, l’abast, l’avaluació de riscs, la declaraciód’aplicabilitat i els documents principals, i s’estableix un marc per planificar la fase 2.Fase 2 de l’auditoriaFase en què es comprova que l’organització s’ajusta a les seves pròpies polítiques, objectius iprocediments, que l’SGSI compleix els requisits de la norma ISO 27001 i que és efectiu.First party auditorVegeu: Auditor de primera part.GGestió de claus(Anglès: key management). Controls referits a la gestió de claus criptogràfiques.Gestió de riscs(Anglès: risk management). Procés d’identificació, control i minimització o eliminació, a un cost 71
    • acceptable, dels riscs que afecten la informació de l’organització. Inclou la valoració i el tractamentde riscs. Segons la norma ISO/IEC Guia 73:2002, activitats coordinades per dirigir i controlar unaorganització respecte al risc.GuidelineVegeu: directiva.HHumphreys, TedExpert en seguretat de la informació i gestió del risc, considerat el pare de les normes BS 7799 i ISO17799 i, per tant, de les normes ISO 27001 i ISO 27002.II4Institut Internacional per a la Integritat de la Informació. Associació semblant a l’ESF, amb metesanàlogues i amb seu principal als EUA. És manejat per l’Institut d’Investigació de Standford.IBAGGrup Assessor d’Empreses d’Infosec, representants de la indústria que assessoren el comitèd’Infosec. Aquest comitè està integrat per funcionaris dels governs de la Comunitat Europea i ofereixassessorament a la Comissió Europea en assumptes relatius a la seguretat de les tecnologies de lainformació.IECInternational Electrotechnical Commission. Organització internacional que publica estàndardsrelacionats amb tot tipus de tecnologies elèctriques i electròniques.IIAInstitut d’Auditors Interns.Impacte(Anglès: impact). El cost per a l’empresa d’un incident —de l’escala que sigui— que pot ser mesurat 72
    • o no en termes estrictament financer, per exemple, pèrdua de reputació, implicacions legals, etc.ImpactVegeu: impacte.IncidentSegons la norma ISO/IEC TR 18044:2004, esdeveniment únic o sèrie d’esdeveniments de seguretatde la informació inesperats o no desitjats que tenen una probabilitat significativa de comprometre lesoperacions del negoci i amenaçar la seguretat de la informació.Information processing facilitiesVegeu: serveis de tractament de la informació.Information systems management systemVegeu: SGSI.Information securityVegeu: seguretat de la informació.INFOSECComitè assessor en assumptes relatius a la seguretat de les tecnologies de la informació de laComissió Europea.Integritat(Anglès: integrity). Manteniment de l’exactitud i la completesa de la informació i els seus mètodesde procés. Segons la norma ISO/IEC 13335-1:2004, propietat o característica de salvaguardarl’exactitud i la completesa dels actius.IntegrityVegeu: integritat.Inventari d’actius(Anglès: assets inventory). Llista de tots els recursos (físics, informació, programari, documents, 73
    • serveis, persones, reputació de l’organització, etc.) dins l’abast de l’SGSI que tinguin valor per al’organització i necessitin per tant ser protegits de riscs potencials.IRCAInternational Register of Certified Auditors. Acredita els auditors respecte a diverses normes, entreles quals hi ha la norma ISO 27001.ISACAInformation Systems Audit and Control Association. Publica els COBIT i emet diverses acreditacionsen l’àmbit de la seguretat de la informació.ISACFFundació d’Auditoria i Control de Sistemes d’Informació.ISC2Information Systems Security Certification Consortium, Inc. Organització sense ànim de lucre queemet diverses acreditacions en l’àmbit de la seguretat de la informació.ISMSInformation systems management system. Vegeu: SGSI.ISOOrganització Internacional de Normalització, amb seu a Ginebra (Suïssa). És una agrupaciód’organitzacions nacionals de normalització l’objectiu de la qual és establir, promocionar i gestionarestàndards.ISO 17799Codi de bones pràctiques en gestió de la seguretat de la informació adoptat per l’ISO en latranscripció de la primera part de la norma BS 7799. Al seu torn, dóna lloc a la norma ISO 27002 percanvi de nomenclatura l’1 de juliol de 2007. No és certificable.ISO 19011Guidelines for quality and/or environmental management systems auditing. Guia d’utilitat per aldesenvolupament de les funcions d’auditor intern per a un SGSI. 74
    • ISO 27001Estàndard per a sistemes de gestió de la seguretat de la informació adoptat per l’ISO en la transcripcióde la segona part de la norma BS 7799. És certificable. La primera publicació és del 2005.ISO 27002Codi de bones pràctiques en la gestió de la seguretat de la informació (transcripció de la norma ISO17799). No és certificable. L’1 de juliol de 2007, canvi d’oficial de nomenclatura de la norma ISO17799:2005 a la norma ISO 27002:2005.ISO 9000Normes de gestió i garantia de qualitat definides per l’ISO.ISO/IEC TR 13335-3Information technology. Guidelines for the management of it security.techniques for the managementof IT security. Guia d’utilitat en l’aplicació de metodologies d’avaluació del risc.ISO/IEC TR 18044Information technology. Security techniques. Information security incident management. Guia d’utilitatper a la gestió d’incidents de seguretat de la informació.ISSAInformation Systems Security Association.ISSAPInformation Systems Security Architecture Professional. Una acreditació de l’ISC2.ISSEPInformation Systems Security Engineering Professional. Una acreditació de l’ISC2.ISSMPInformation Systems Security Management Professional. Una acreditació de l’ISC2.ITILIT Infrastructure Library. Un marc de gestió dels serveis de tecnologies de la informació. 75
    • ITSECCriteris d’avaluació de la seguretat de la tecnologia d’informació. Es tracta de criteris unificatsadoptats per França, Alemanya, Holanda i el Regne Unit. També tenen el suport de la ComissióEuropea. (Vegeu també TCSEC, l’equivalent als EUA.)JJTC1Joint Technical Committee. Comitè tècnic conjunt de l’ISO i l’IEC específic per a les tecnologies dela informació.KKey managementVegeu: gestió de claus.LLead auditorVegeu: auditor en cap.Llista de control(Anglès: checklist). Llista de suport per a l’auditor amb els punts que ha d’auditar. Ajuda a mantenirclars els objectius de l’auditoria, serveix d’evidència del pla d’auditoria, n’assegura la continuïtat ila profunditat, i redueix els prejudicis de l’auditor i la seva càrrega de treball. Aquest tipus de llistestambé es poden utilitzar durant la implantació de l’SGSI per facilitar-ne el desenvolupament.MMajor nonconformityVegeu: No-conformitat greu. 76
    • Management commitmentVegeu: Compromís de la direcció.NNBSOficina Nacional de Normes dels EUA.NIST(Ex NBS) Institut Nacional de Normes i Tecnologia, amb seu a Washington, DC.No-conformitat(Anglès: nonconformity). Situació aïllada que, basada en evidències objectives, demostral’incompliment d’algun aspecte d’un requeriment de control que permet dubtar de l’adequació deles mesures per preservar la confidencialitat, la integritat o la disponibilitat d’informació sensible, oque representa un risc menor.No-conformitat greu(Anglès: major nonconformity). Absència o fallada d’un o més requeriments de la norma ISO 27001que, basada en evidències objectives, permet dubtar seriosament de l’adequació de les mesuresper preservar la confidencialitat, la integritat o la disponibilitat d’informació sensible, o que representaun risc inacceptable.NonconformityVegeu: no-conformitat.OObjective evidenceVegeu: evidència objectiva.Objectiu(Anglès: objective). Declaració del resultat o fi que es vol aconseguir mitjançant la implantació deprocediments de control en una activitat determinada de tecnologies de la informació. 77
    • OCDEOrganització de Cooperació i Desenvolupament Econòmic. Ha publicat unes guies per a la seguretatde la informació.PPDCAPlan-Do-Check-Act. Model de procés basat en un cicle continu de les activitats per planificar (establirl’SGSI), fer (implantar i gestionar l’SGSI), verificar (monitorar i revisar l’SGSI) i actuar (mantenir imillorar l’SGSI).Pla de continuïtat del negoci(Anglès: bussines continuity plan). Pla orientat a permetre la continuació de les principals funcionsdel negoci en el cas d’un esdeveniment imprevist que les posi en perill.Pla de tractament de riscs(Anglès: risk treatment plan). Document de gestió en què es defineixen les accions per reduir,prevenir, transferir o assumir els riscs de seguretat de la informació inacceptables i implantar elscontrols necessaris per protegir-la.Política de seguretat(Anglès: security policy). Document en què s’estableix el compromís de la direcció i l’enfocament del’organització en la gestió de la seguretat de la informació. Segons la norma ISO/IEC 27002:2005,intenció i direcció general expressada formalment per la direcció.Política d’escriptori net o «sense papers»(Anglès: clear desk policy). La política de l’empresa que indica als empleats que en acabar el diahan de deixar el seu escriptori lliure de qualsevol tipus d’informació susceptible de ser mal usat.Preventive actionVegeu: acció preventiva. 78
    • Preventive controlVegeu: control preventiu.QQualitative risk analysisVegeu: Anàlisi qualitativa de riscs.Quantitative risk analysisVegeu: Anàlisi quantitativa de riscs.RResidual riskVegeu: risc residual.Risc(Anglès: risk). Possibilitat que una amenaça concreta pugui fer esclatar una vulnerabilitat i causi unapèrdua o un dany en un actiu d’informació. Segons la norma ISO Guia 73:2002, combinació de laprobabilitat d’un esdeveniment i les conseqüències que pot implicar.Risc residual(Anglès: residual risk). Segons la norma ISO/IEC Guia 73:2002, el risc que queda després deltractament del risc.RiskVegeu: risc.Risk acceptanceVegeu: acceptació del risc.Risk analysisVegeu: anàlisi de riscs. 79
    • Risk assessmentVegeu: valoració de riscs.Risk evaluationVegeu: avaluació de riscs.Risk managementVegeu: gestió de riscs.Risk treatmentVegeu: tractament de riscs.Risk treatment planVegeu: pla de tractament de riscs.SSafeguardSalvaguarda. Vegeu: control.Salvaguarda(Anglès: safeguard). Vegeu: control.Sarbanes-OxleyLlei de reforma de la comptabilitat de companyies públiques i protecció dels inversors aplicadaals EUA des del 2002. Crea un consell de supervisió independent per supervisar els auditors decompanyies públiques que estableix normes de comptabilitat i investiga i manté la disciplina delscomptables. També obliga els responsables de les empreses a garantir la seguretat de la informaciófinancera.ScopeVegeu: abast. 80
    • Second party auditorVegeu: auditor de segona part.Security policyVegeu: política de seguretat.Segregació de tasques(Anglès: segregation of duties). Repartiment de tasques sensibles entre distints empleats perreduir el risc d’un mal ús deliberat o per negligència dels sistemes i les informacions.Segregation of dutiesVegeu: segregació de tasques.Seguretat de la informació(Anglès: information security). Segons la norma ISO/IEC 27002:2005, preservació de laconfidencialitat, la integritat i la disponibilitat de la informació; a més, altres propietats coml’autenticitat, la responsabilitat, el no-rebuig i la fiabilitat poden ser també considerades.Selecció de controls(Anglès: control selection). Procés d’elecció dels controls que assegurin la reducció dels riscsa un nivell acceptable.SGSI(Anglès: ISMS). Sistema de gestió de la seguretat de la informació. Segons la norma ISO/IEC27001:2005, la part d’un sistema global de gestió que, basat en l’anàlisi de riscs, estableix,implanta, gestiona, monitora, revisa, manté i millora la seguretat de la informació. (Nota: elsistema de gestió inclou una estructura d’organització, polítiques, planificació d’activitats,responsabilitats, procediments, processos i recursos.)Serveis de tractament d’informació(Anglès: information processing facilities). Segons la norma ISO/IEC 27002:2005, qualsevol 81
    • sistema, servei o infraestructura de tractament d’informació o ubicacions físiques utilitzats perallotjar-la.Sistema de gestió de la seguretat de la informació(Anglès: information systems management system). Vegeu: SGSI.SOAStatement of applicability. Vegeu: declaració d’aplicabilitat.SSCPSystems security certified practitioner. Una acreditació de l’ISC2.Statement of applicabilityVegeu: declaració d’aplicabilitat.TTCSECCriteris d’avaluació de la seguretat dels sistemes de computació, coneguts també amb el nomd’Orange Book (Llibre taronja), definits originàriament pel Ministeri de Defensa dels EUA. Vegeutambé: ITSEC, l’equivalent europeu.Third party auditorVegeu: auditor de tercera part.ThreatVegeu: amenaça.TickITGuia per a la construcció i certificació del sistema d’administració de qualitat del programari.Tractament de riscs(Anglès: risk treatment). Segons la norma ISO/IEC Guia 73:2002, procés de selecció i implantació 82
    • de mesures per modificar el risc.UUNE 71502Norma espanyola d’àmbit local que és la versió adaptada de la norma BS 7799-2 (actual ISO27001), que també té relació amb la UNE-ISO/IEC17799 mitjançant l’annex A.VValoració de riscs(Anglès: risk assessment). Segons la norma ISO/IEC Guia 73:2002, procés complet d’anàlisi iavaluació de riscs.Vulnerabilitat(Anglès: vulnerability). Debilitat en la seguretat de la informació d’una organització quepotencialment permet que una amenaça afecti un actiu. Segons la norma ISO/IEC 13335-1:2004,debilitat d’un actiu o conjunt d’actius que pot ser aprofitada per una amenaça.VulnerabilityVegeu: vulnerabilitat.WWG1, WG2, WG3, WG4, WG5WorkGroup 1, 2, 3, 4, 5. Grups de treball del subcomitè SC27 del JTC1 (Joint TechnicalCommittee) de l’ISO i l’IEC. Aquests grups de treball s’encarreguen de desenvolupar estàndardsrelacionats amb tècniques de seguretat de la informació. 83