Ir al contenido principal

Sesión 6 - Salvaguardias y medidas de la seguridad de la información

 La ISO/IEC 27002 fue actualizada por última vez en 2003, aunque tiene antecedentes, y fue publicada por la Comisión Electrotécnica Internacional y la Organización Internacional de Normalización con el objetivo de crear una normativa que se ha de seguir de cara a organizar la seguridad de la información. Podemos decir que consta de 14 medidas o dominios de seguridad que son necesarios para proteger la información, además de 38 objetivos de control y 114 controles. Los 14 dominios que se desarrollan son: 

1- Las políticas de seguridad necesarias para la seguridad de la información. 

2- La organización de la seguridad de la información (asignar y segmentar las funciones y responsabilidades, gestión de proyectos y contacto con grupo de interés…)

3- La seguridad de los Recursos Humanos (contratación, despido, asignación de tareas de los trabajadores…)

4- La gestión de los activos (de información, de servicios de TI, humanos y físicos). 

5- El control de accesos (asignar a los usuarios que tengan acceso a determinada información las contraseñas necesarias para acceder, advertirles de su responsabilidad…).

6- El cifrado y la gestión de claves para asegurar la información. 

7- La seguridad física y ambiental, para garantizar la seguridad a nivel físico de todos los miembros de un negocio o ámbito, de los equipos y en general de los activos. 

8- La seguridad de las operaciones (para asegurar la integridad y protección de los datos en las redes informáticas). 

9- La seguridad de las comunicaciones (asegurar la red y garantizar el buen funcionamiento del traspaso de la información). 

10- La adquisición de sistemas, desarrollo y mantenimiento, para garantizar la seguridad durante el proceso de desarrollo y soporte. 

11- Las relaciones con los proveedores (para la seguridad de la información de la relación existente y la gestión de la entrega de los servicios).

12- La gestión de incidencias que afectan a la seguridad de la información.

13- Los aspectos de seguridad de la información para la gestión de la continuidad del negocio para garantizar que la seguridad se da de manera continua. 

14- La conformidad con la ley y los requisitos contractuales así como la revisión de la seguridad de la información. 



En cuanto a las diferencias entre la normativa ISO 27002 de 2005 y la de 2013, podemos señalar que la primera de estas tiene 11 medidas o dominios principales mientras que la segunda tiene 14, y aunque puede parecer que el segundo es más extenso que el primero, la realidad es que es más acotado ya que se centra en los asuntos principales. Además, hay algunas secciones que han sido abandonadas en esta última actualización ya que ya son cubiertas por otras normativas de forma más completa, como es el caso de la gestión del riesgo, que ya viene elaborada en la normativa ISO 27005. Se han añadido además algunos nuevos subapartados dentro de algunos dominios, como es el caso de la seguridad de gestión de proyectos (6.1.5), la seguridad del proveedor (15.1) o la planificación, la implementación y la verificación de la continuidad de la seguridad de la información (17.1), por mencionar algunos puntos. Cabe señalar además que la normativa de 2005 cuenta con 39 objetivos de control y 133 controles, a diferencia de la de 2013, que consta de 35 dominios de 38 objetivos de control y 144 controles. Por último, cabe señalar que algunos de los asuntos que se trataban en unos dominios en la ISO de 2005, se tratan en otros puntos de la de 2013, con lo que podemos destacar cierto cambio en la estructura y la organización de la normativa. A continuación adjunto ambas normativas para que se pueda entender visualmente de manera más sencilla. 






A continuación, hemos realizado una hoja de cálculo en la que hemos expuesto cada uno de los dominios de seguridad de la normativa ISO 27002 de 2013, y hemos hecho un análisis sobre la ponderación que tiene cada uno de ellos (porcentaje, está sobre 100), sobre el nivel de amenaza que pensamos que puede generar cada uno de estos dominios (entre 0 y 10), la probabilidad que tenemos de acertar en las medidas elegidas para proteger la información (entre 0 y 1) y por último, cuál es el riesgo cubierto del dominio. 




También hemos investigados cuáles son los distintos subapartados o medidas englobadas dentro de cada uno de los dominios, y hemos desarrollado un diagrama de sectores en el que aquellos dominios que tienen más medidas ocupan más espacio y viceversa. 














      

Hemos tomado como ejemplo el dominio número 3, que habla de la seguridad de los Recursos Humanos, y hemos desarrollado de nuevo una hoja de cálculo teniendo en cuenta las medidas englobadas dentro de esta categoría o dominio, y hemos considerado de nuevo sus ponderaciones, la amenaza estimada cubierta, la probabilidad de acierto en la protección y el riesgo cubierto de este dominio, total y como lo hemos hecho anteriormente. 






Por último, vamos a elegir uno de los dominios y vamos a desarrollar qué medidas engloba y cómo podríamos aplicarlas en la realidad. El dominio elegido ha sido el número 11, de relación con los suministradores o proveedores. En primer lugar, es necesario hablar de la seguridad de la información en las relaciones con los proveedores; es necesario que se establezca una política de seguridad la información para los proveedores; en un negocio real, es importante que nuestros suministradores sigan la política de seguridad de la empresa para poder garantizar tanto la continuidad de nuestro negocio como del suyo. También es importante llegar a acuerdos con estos mismos para gestionar y tratar el riesgo, en función del servicio que estos nos ofrezcan. Asimismo es necesario establecer una cadena de suministro en tecnologías de la información y comunicaciones; existen redes como el Extranet que puede a ayudarnos a mantener un ambiente seguro de trabajo mientras podemos comunicarnos de manera altamente segura con nuestros proveedores. Por otro lado, también es necesario centrarse en la gestión de la prestación del servicio por parte de los proveedores; es necesario revisar y supervisar el buen funcionamiento y calidad de los servicios que estos nos prestan, así como es importante saber gestionar de manera correcta los cambios en estos servicios (bien sea cambio de producto, de marca o incluso de proveedor). 

























Comentarios

Publicar un comentario

Entradas populares de este blog

Sesión 4 - Modelo de Seguridad CIA

El modelo de seguridad CIA hace referencia a la Confidencialidad (Confidentiality), la Integridad (Integrity) y la Disponibilidad (Availability) de la información. Establece estos tres principios como parte básica de toda gestión de la seguridad de la información, ya que sin estos tres principios nos encontraríamos ante riesgos y amenazas constantes. Si bien es cierto que no existe ningún sistema de seguridad que sea completamente fiable y ajeno a las intrusiones, hemos de conseguir que sea al menos lo menos vulnerable posible.   La confidencialidad es el principio que hace referencia a que la información únicamente puede ser tratada por los usuarios o plataformas que estén autorizadas para hacerlo, para garantizar que estos datos no puedan ser divulgados ni vistos por cualquier persona.  La integridad, por su parte, se refiere a que las personas o sistemas que vayan a tratar con estos datos no van a poder manipularlos, cambiarlos o modificarlos sin tener autorización para ell...
Publicar un comentario
Leer más

Sesión 4 - Creación de Correo Electrónico

  A continuación, voy a exponer los pasos que he seguido para crearme una cuenta de correo electrónico y cuáles han sido los distintos impedimentos que he encontrado en distintas plataformas, así como porqué he elegido la plataforma escogida.   La primera plataforma en la que me he intentado suscribir ha sido Yandex Mail . Sin embargo, nos pide el número de teléfono, y por ello la vamos a descartar. En segundo lugar, lo he intentado con Proton Mail . En esta ocasión, se nos ha pedido un segundo email para poder recuperar la contraseña en caso de que haya algún tipo de fallo, y la cuenta ha sido creada con éxito. No obstante, no es el correo final. Además, cabe resaltar que en esta plataforma se podía acceder con un plan gratuito, pero también había otros de pago. En Zoho Mail , he intentado crear la cuenta pero ninguno de los planes existentes era gratuito, únicamente nos encontramos con una prueba gratuita de 15 días, por lo que vamos a descartar esta plataforma. En el cas...
Publicar un comentario
Leer más

Sesión 11 - eGarante

En la entrada de hoy, vamos a hablar sobre la herramienta web eGarante mail. El objetivo es el de conocer como funcionan los “testigos online”, cuya principal función es la certificación del envío de un correo y de su contenido teniendo en cuenta a los adjuntos, a los destinatarios y la fecha de certificación, entregando al servidor de correo del destinatario una copia exacta del mensaje. Puede ser muy útil en el envío de informes o contratos.   Lo que vamos a hacer para poner a prueba esta plataforma es entrar en dicha web y mandar un mail a nuestro correo personal, utilizando para ello nuestro correo de la universidad, pero incluyendo también a la cuenta de correo de eGarante, que es mailsigned@egarante.com . De este modo, eGarante nos devolverá un segundo correo para certificarlo y asegurar el envío.  A continuación, vamos a llevar a cabo el mismo procedimiento pero utilizando la herramienta eGarante web, que puede servirnos para comprobar si los contenidos de redes socia...
Publicar un comentario
Leer más