Trabajo de grado (2014):
viernes, 21 de noviembre de 2014
Políticas de Seguridad - Controles administrativos
Una política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. En este documento elaborado como una de las actividades para el curso de SGSI se presenta una buena ilustración sobre el tema, y es relevante para el desarrollo del trabajo de grado propuesto.
Cambios desde el estándar ISO27001:2005
Algunos cambios en el estándar 27001:2013:
"La nueva norma pone más énfasis en la medición y evaluación de qué tan bien se está desempeñando un SGSI y hay una nueva sección sobre tercerización, la cual refleja el hecho de que muchas organizaciones dependen de terceros para proporcionar algunos aspectos de TI. La 27001:2013 ya no hace énfasis en el ciclo Planificar-Hacer-Verificar-Actuar como lo hacía 27001:2005."
En cuanto a controles, ahora se tienen 114 controles en 14 grupos; el estándar anterior tenía 133 controles en 11grupos. De igual manera se especifica que los controles y objetivos de control no necesariamente deben corresponder a los incluidos en el Anexo A de la nueva versión del estándar (27001:2013) sino que pueden tomarse de cualquier otra fuente.
William Hálaby presenta un buen análisis de los cambios de la nueva versión del estándar 27001:2013.
"La nueva norma pone más énfasis en la medición y evaluación de qué tan bien se está desempeñando un SGSI y hay una nueva sección sobre tercerización, la cual refleja el hecho de que muchas organizaciones dependen de terceros para proporcionar algunos aspectos de TI. La 27001:2013 ya no hace énfasis en el ciclo Planificar-Hacer-Verificar-Actuar como lo hacía 27001:2005."
En cuanto a controles, ahora se tienen 114 controles en 14 grupos; el estándar anterior tenía 133 controles en 11grupos. De igual manera se especifica que los controles y objetivos de control no necesariamente deben corresponder a los incluidos en el Anexo A de la nueva versión del estándar (27001:2013) sino que pueden tomarse de cualquier otra fuente.
William Hálaby presenta un buen análisis de los cambios de la nueva versión del estándar 27001:2013.
Controles acorde a su naturaleza
Los controles de seguridad también se pueden clasificar de acuerdo a su naturaleza, por ejemplo:
- "Controles físicos por ejemplo puertas, cerraduras, extintores de incendios;
- Controles procedurales por ejemplo, procesos de respuesta a incidentes, supervisión de la gestión, concienciación y entrenamiento en seguridad;
- Controles técnicos por ejemplo, autenticación de usuarios (login) y controles lógicos de acceso, software antivirus, firewalls;
- Control legales o regulatorios por ejemplo, cumplimiento de las leyes de privacidad y de las políticas de seguridad de una entidad."
O-ISM3 - Un estándar con un enfoque diferente. Elección de Controles
Es interesante el enfoque del estándar O-ISM3 para implementación de sistemas de gestión de la seguridad porque permite tener una óptica diferente a la de ISO27001. O-ISM3 está orientado a procesos. En cuanto a controles de seguridad indica que "cada proceso de control de seguridad retorna métricas para indicar qué tan bien ese proceso está contribuyendo al logro de los objetivos de seguridad del negocio"[1]. Aquí un resumen muy bueno.
O-ISM3 no propone una técnica en particular de análisis de riesgos e indica que utilizar cualquier técnica de protección “es adecuado para alcanzar los objetivos del proceso y sus salidas.
O-ISM3 no propone una técnica en particular de análisis de riesgos e indica que utilizar cualquier técnica de protección “es adecuado para alcanzar los objetivos del proceso y sus salidas.
Volviendo a los controles se plantea como una de las características claves de O-ISM3 que
“mientras muchos enfoques de gestión de seguridad de información consideran evaluación del riesgo como una primera etapa necesaria y como tal O-ISM3 puede utilizarse así como cualquier otra norma en este campo, no exige un enfoque basado en la evaluación de riesgo. En algunos casos, una empresa puede decidir que no es necesario hacer una evaluación del riesgo para encontrar que necesita un control de seguridad. Por ejemplo, los controles pueden elegirse en función de:Lo anterior es un acierto, ya que no tiene sentido que necesariamente se tenga que cumplir con todo un proceso desgastante de análisis de riesgos para aplicar controles, ya que hay controles que no dan espera, por ejemplo, habilitar el firewall de un equipo que por alguna no lo tiene habilitado, o cerrar un puerto de un servicio que solo se necesita localmente (por ejemplo, usualmente MySQL), o crear una política de un servicio que no tiene unos términos asociados a ese servicio. Son esas pequeñas mejoras las que pueden marcar la diferencia.
El enfoque de O-ISM3 ofrece a las organizaciones la flexibilidad de elegir cualquier
- Sentido común.
- Mejores prácticas (contraseñas)
- Aprendiendo de incidentes (tal vez un mejor firewall o antivirus)
- Un análisis centrado específicamente en vulnerabilidad o amenazas.
- Requisitos de cliente (No deseo que los usuarios del proyecto A tengan acceso a datos pertenecientes a mi proyecto).
subconjunto de sus procesos de seguridad de la información basada en varios criterios.” (pág. 77).
lunes, 10 de noviembre de 2014
Importancia de implementar controles efectivos
Craig S Wright comenta sobre la importancia de implementar controles efectivos:
"Los controles son los mecanismos mediante los cuales alcanzamos nuestros objetivos, pero ¿qué son los controles?
Cómo diseñamos y auditamos los controles y por consiguiente cómo medimos la efectividad del control es lo más importante del proceso de aseguramiento.
Los controles no tienen ningún valor si no son efectivos, de manera que surge el interrogante: ¿Cómo nos aseguramos que cualquier control que se implemente sea efectivo y se pueda justificar su costo?"
"Controls are the mechanisms through which we reach our goals, but what are controls?
How we design and audit controls and thus how to measure the effectiveness of the control is at the heart of the assurance process.
Controls are useless if they are not effective so how do we ensure that any control is effective and may be justified in cost terms?" (Pág. 26)
Controles de seguridad según el momento de aplicación
Los controles de seguridad son salvaguardas o contramedidas para evitar, contrarrestar o minimizar los riesgos de seguridad relacionados con la propiedad personal, o cualquier propiedad de una empresa.
Para ayudar a la revisión o diseño de controles de seguridad, los controles pueden clasificarse de acuerdo a varios criterios, por ejemplo, según el momento en que se aplican, en relación con un incidente de seguridad:
Para ayudar a la revisión o diseño de controles de seguridad, los controles pueden clasificarse de acuerdo a varios criterios, por ejemplo, según el momento en que se aplican, en relación con un incidente de seguridad:
- Antes del evento: preventivos. Su objetivo es prevenir que un incidente ocurra. Por ejemplo, agregar una regla de firewall para restringuir el acceso al puerto SSH solamente para direcciones IP autorizadas;
- Durante el evento: detectivos. Su objetivo es identificar y caracterizar un incidente en curso. Por ejemplo, revisar el log de servicios de seguridad del sistema o los archivos log del servidor web Apache para identificar intentos de acceso no autorizados o intentos de acceso anormales.
- Después del evento: correctivos. Su objetivo es evitar o minimizar la probabilidad de que un incidente se vuelva a presentar. Un ejemplo de un control correctivo es la actualización de software vulnerable para evitar un nuevo ataque. La diferencia entre un control preventivo y uno correctivo se reduce a la ocurrencia de un ataque.
Suscribirse a:
Entradas (Atom)