Libros de Seguridad de la Información

sábado, 14 de julio de 2007

Riesgo: Términos y Definiciones

A continuación vamos a listar los términos y definiciones más importantes en el mundo de Gestión y Análisis de Riesgo.
  1. Riesgo: es la combinación de la probabilidad de un evento y su consecuencia.
  2. Evento de Seguridad de la Información: es un estado que señala la ocurrencia identificada en un sistema, servicio o red; la cual indica una posible brecha en la política de seguridad de la información o una falla de la contramedida; o una situación previamente desconocida la cual pudiere ser relevante en materia de seguridad.
  3. Incidente de Seguridad de la Información: es indicado o por una simple o por una serie de indeseables e inesperados eventos de seguridad de la información que tienen una probabilidad significante de comprometer las operaciones del negocio y amenazar la seguridad de la información.
  4. Amenaza: causa potencial de un incidente, que pudiera resultar en daño a los sistemas o a la organización.
  5. Vulnerabilidad: es una debilidad en un activo o grupo de activos que pueden ser explotados por una o más amenazas.
  6. Control del Riesgo: acción de implementar las decisiones en la administración de los riesgos. Pudiera ser el monitoreo, la re-evaluación o cumplimiento de las decisiones. También es conocido como contramedidas.
  7. Análisis de Riesgo: es el uso sistemático de la información para identificar y estimar el riesgo.
  8. Evaluación de Riesgo: es el proceso completo de analizar y valorar el riesgo.
  9. Criterio del Riesgo: termino de referencia por el cual la importancia del riesgo es valorado. Incluye los costos-beneficios asociados, requerimientos legales y estatutarios, aspectos socio-económicos y ambientales, todo lo concerniente con los actores interesados (stakeholder), prioridades y otras entradas en la evaluación.
  10. Valoración de Riesgo: proceso de comparar el riesgo estimado contra el criterio de riesgo resultante para determinar la importancia del riesgo.
  11. Tratamiento del Riesgo: proceso de seleccionar e implementar las medidas para modificar el riesgo.
  12. Administración del Riesgo: es la coordinación de las actividades para dirigir y controlar una organización en referencia al riesgo.
  13. Sistema de Administración de Riesgo: conjunto de elementos que componen el sistema de gestión de una organización con respecto a administración del riesgo. Por ejemplo: el plan estratégico y la toma de decisiones.
  14. Comunicación del Riesgo: intercambio o distribución de la información acerca del riesgo entre quien toma las decisiones y otras actores interesados (stakeholder).
  15. Aceptación del Riesgo: es la decisión de aceptar el riesgo.
  16. Anulación del Riesgo: decisión de no estar envuelto o acción de retirarse de un situación de riesgo.
  17. Reducción del Riesgo: es la acción tomada para disminuir la probabilidad de ocurrencia, consecuencias negativas, o ambas, asociadas con un riesgo.
  18. Transferencia del Riesgo: compartir con otro grupo la carga de la pérdida o ganancia por un riesgo.
  19. Riesgo Residual: es el riesgo que queda luego de haber tratado el riesgo.
La relación de los conceptos de riesgo puede ser entendida con el siguiente modelo:



Este modelo y parte de los conceptos listados fueron basados en el ISO 13335, ISO Guide 73 y BS7799-3.

lunes, 11 de junio de 2007

ISO 13335: Guía para la gestión de seguridad TI

ISO 13335 es un compendio de 5 documentos que de forma práctica aborda la seguridad de las Tecnologías de la Información y orienta sobre los aspectos de su gestión. Estos documentos son:

  • Parte 1: Conceptos y modelos para la seguridad TI
  • Parte 2: Gestión y planificación de la seguridad de TI
  • Parte 3: Técnicas para la gestión de la seguridad TI
  • Parte 4: Selección de Salvaguardas
  • Parte 5: Guía para la gestión de Seguridad en Redes

La primera parte discute las definiciones clásicas de Seguridad de la Información y el riesgo de los activos de información. Nos muestra los principales macro procesos involucrados en la gestión de la seguridad de la información como son: la gestión de la configuración, la gestión del cambio, gestión del riesgo, análisis de riesgo, contabilidad y responsabilidad (desde una perspectiva de seguridad), concienciación de seguridad, monitoreo, planificación de la contingencia y recuperación de desastres. También muestra diferentes modelos útiles para entender las interrelaciones entre los elementos de seguridad definidos conceptualmente y la gestión de riesgo. En resumen esta parte del documento define y establece los conceptos necesarios para poder entender la gestión de la seguridad de la información y todo el resto del documento.
La segunda parte de la ISO 13335 describe las estrategias para poner en practica todos los procesos de seguridad, también menciona los diferentes roles y responsabilidades a nivel organizacional, así como un modelo de gobernabilidad de seguridad de la información amparado por la gobernabilidad de Tecnología de la Información o enfocado totalmente a los aspectos de tecnología de la información. Esto a mi parecer es muy limitado, ya que el rol de la seguridad de la información debe ser visto desde la perspectiva del negocio y no de forma parcial solo para involucrarse cuando hay tecnología en el proceso de negocio (por ejemplo un documento en papel puede tener los mismos los mismos impactos a la confidencialidad, integridad y disponibilidad).
A partir de la tercera parte el documento se torna menos estratégico y comienza a definir las actividades desde un punto de vista pragmático.
El ISO 13335 a mi parecer es un documento de gran importancia para la seguridad de la información, pero también es el menos leído. Esta especulación sale de la gran divergencia de procesos que una unidad de seguridad de la información tiene en cada organización, muchas veces con actividades que le corresponde a un administrador de red, de base de datos o de sistemas. Otra parte donde se puede observar esta carencia de conocimiento en la ISO13335 es en las descripciones de las ofertas de trabajo, en su mayoría carentes de una especialización, donde se pide que al especialista de seguridad que sea experto en todos los rubros tecnológicos aparte que debe ser bueno redactando una política, obviando además la gestión de riesgo y la concienciación. La enseñanza de la seguridad de la información en la mayoría de las instituciones se enfoca en los aspectos de tecnología de la información (administración de firewall, arquitectura de seguridad, etc.) y carece del contenido estratégico o de la gestión de riesgo.

jueves, 24 de mayo de 2007

ISO 27001: Antes de iniciar

Un Sistema de Gestión de Seguridad de la información (SGSI) es un Sistema de Gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la Gestión de la Seguridad de la Información. El ISO 27001 es una norma certificable que establece los requisitos para el establecimiento, implantación, monitoreo y la mejora continua de un SGSI.
Inicialmente el establecimiento de un SGSI según ISO27001 requiere de una fase de planificación y diseño el cual debe definir la política de seguridad, el alcance, análisis de riesgo, selección de controles de la ISO17799:2005 relacionados con su respectivo riesgo residual. Todos estos requisitos deben estar revisados y aprobados por la Dirección.
Esto nos lleva a la necesidad de una fase de preparación de los requisitos anteriores la cual es aconsejable que cubra los siguientes puntos:

  1. Seleccione a la persona adecuada para llevar a cabo este proyecto, esta debe conocer el estándar ISO27001, debe poseer experiencia en análisis y gestión de Riesgo, experiencia en continuidad del negocio, y conocimientos técnicos de seguridad. Debe ser un buen comunicador de ideas, analítico, tener buena redacción y experiencia en la gestión de proyectos.
  2. un asunto crítico es buscar un patrocinante en la Dirección que apoye las iniciativas para mejorar la Seguridad de la Información. Esto puede llegar a ser extremadamente difícil si la propuesta es desde una simple gerencia hacia toda la organización (Bottom-Up). Esta es una labor de venta que debería concluir en un esquema de gobernabilidad de Seguridad de la información que se busque una alineación con las estrategias y objetivos del negocio. La meta de este punto es establecer un canal de comunicación directo de forma de abiertamente hacer propuestas, de establecer un mandato directivo y de buscar fondos o recursos (Top-Down). Este canal de comunicación va a ser importante a la hora de requerir la aprobación de las políticas de seguridad o de clasificar la información.
  3. Documentar las Políticas de Seguridad, inicie con la revisión de los documentos existentes e indique cual está aprobada y cual no. También se requiere de establecer un proceso de revisión y aprobación. La recomendación es hacer la Política de Seguridad basada en los riesgos, pero inicie con aquellos temas que son comunes a todas las organizaciones.
  4. Establezca la estrategia de Gestión de riesgo, defina la metodología e inicie con la clasificación de la información. Simplifique todo lo que pueda, de esta forma tendrá los resultados a tiempo. En caso de no tener nada acerca de la gestión de riesgo, Mehari es un excelente método para comenzar.
  5. Revise los procesos de Seguridad de la información. El ISO13335: Guía para la Administración de Seguridad TI, es una buena guía de lo que se tiene que hacer para lograr una buena Seguridad de la Información. A nivel de los procesos puede hacer un Análisis Diferencial (GAP Analisys) con respecto a los procesos descritos en el estándar de ISM3: Information Security Management Maturity Model y valorarlo de forma apreciativa según su escala de madures.
  6. Pregúntese cuales son las mayores preocupaciones en cuanto a Seguridad de la Información, esta misma pregunta hágala a diferentes gerentes y algún directivo. Recuerde incluir las mayores de estas preocupaciones como alcance del SGSI. Pero tenga en cuenta comenzar en pequeño, de forma que luego de esta primera experiencia pueda escalar rápidamente a otras metas, así obtendrá resultados rápidos y puede ganar confianza en el proceso.

Adicionalmente en caso de querer certificarse es bueno contratar un consultor que ayude con la definición de los pasos a seguir y valide los requisitos fundamentales.

Lecturas recomendadas:

  • ISO 27001 Specifications for information Security Management Systems (ISMS)
  • ISO 13335 Guía para la Administración de Seguridad TI
  • ISM3 Information Security Management Maturity Model

jueves, 19 de abril de 2007

Gestión de Riesgo en Seguridad de la Información

Nada mejor que iniciar este blog hablando de la Gestión de Riesgo, a mi parecer una de la piezas principales en la Gestión de la Seguridad de la Información, aunque lamentablemente la menos tomada en cuenta.
La Gestión del Riesgo de Seguridad es la coordinación de las actividades para dirigir y controlar una organización en torno al riesgo de seguridad (ISO Guide 73:2002). Estas actividades se conforman por un proceso continuo de evaluación del riesgo, tratamiento del riesgo, monitoreo continuo, revisión y reevaluación del riesgo. Existen cuatro tipos de enfoque de gestión de riesgo que pudiera determinar la estrategia a seguir:

  1. Línea Base: consiste en aplicar una línea base de seguridad a todos los activos al seleccionar un estándar de contra-medidas. una ventaja es que disminuye el tiempo y esfuerzo en la selección de las contra-medidas. En caso que el nivel de la línea base sea muy alto pudiera haber un nivel de seguridad excesiva en activos que no lo requieran, pero por el contrario, si el nivel de la línea base es muy bajo pudiera haber una falta de seguridad en determinados activos, teniendo como resultado un alto nivel de exposición.
  2. Informal: conduce un análisis de riesgo en algunos casos carente de una estructura metodológica, se basa principalmente en el conocimiento y experiencia de los individuos que lo ejecutan. Se aplica en los momentos que se perciba una exposición de seguridad en algunos de los activos. Con este tipo de enfoque se pueden perder detalles en el análisis por carecer de un checklist o puntos de revisión, se hace difícil justificar una contramedida sugerida, pudiera ser introducido un grado de subjetividad en el análisis ya que prejuicios individuales en los revisores pudieran influenciar los resultados.
  3. Detallado: comienza con la identificación y la valoración de los activos, evaluación de las amenazas y vulnerabilidades de los activos identificados. El resultado de estas evaluaciones sirven para valorar los riesgos y seleccionar los controles y contramedidas. Esta opción requiere de mucho tiempo, esfuerzo y experticia para conseguir resultados. Cabe la posibilidad de determinar las necesidades de seguridad de un activo crítico de forma muy tardía, por lo que no se aconseja aplicar este enfoque en todos los activos.
  4. Combinado: consiste en conducir un análisis de riesgo de alto nivel en toda la organización, enfocándose en el valor para el negocio y en la severidad del riesgo para el cual es expuesto. Para aquellos activos que sean de gran valor para el negocio o que sean de alto riesgo se les debe aplicar un enfoque detallado en orden de prioridad. Para el resto se aplica la línea base de seguridad. De esta forma se logra un balance entre las necesidades de seguridad, tiempo, esfuerzo y costo.

La adopción del enfoque depende del tipo de organización, recursos, conocimiento y experiencia con el que se cuente, ya establecida la estrategia la próxima decisión es las Metodologías de Análisis de Riesgo a utilizar, la cual debe estar acorde a la estrategia adoptada. (Las metodologías serán discutidas en artículos posteriores)

Lecturas recomendadas:

  • ISO 13335 Guía para la Administración de Seguridad TI (específicamente la parte 3). Si lo prefieren en español la UNE 71501 (AENOR).
  • ISO Guide 73.
  • BS7799-3:2006 Guía para la Gestión de Riesgo de Seguridad de la Información. En espera de la ISO 27005.
Google