viernes, 26 de febrero de 2010

ESTANDARIZACION Y CERTIFICACION EN SEGURIDAD INFORMATICA

ESTANDARIZACION Y CERTIFICACION EN SEGURIDAD INFORMATICA

Estándares de Seguridad

Propósito de los Estándares:

En general, los estándares cumplen hoy en día un importante papel en la sociedad y en desarrollo de muchas actividades empresariales, sobre todo a raíz de la implantación de las técnicas de gestión de la calidad y la homologación y certificación de productos en numerosos sectores.

Podemos considerar que en el caso concreto de los estándares de seguridad existen al menos tres razones que justifican su desarrollo e implantación:
  1. Suministrar normas de seguridad a los fabricantes de productos.
  2. Definir métricas de evaluación, de certificación y de acreditación
  3. Transmitir la confianza necesaria a los usuarios y consumidores
Propósito de los Estándares:

1.- Suministrar normas de seguridad a los fabricantes de productos:
Los estándares permiten establecer una serie de orientaciones para el desarrollo de nuevos producto. Para cumplir de forma adecuada con este principio, los fabricantes de productos certificados deben ofrecer una documentación exhaustiva sobre la seguridad de estos productos.

Propósito de los Estándares:

2. - Definir métricas de evaluación, de certificación y de acreditación: Aplicadas tanto a procesos como a técnicas de gestión y al desarrollo y comercialización de productos y servicios. Las evaluaciones y certificaciones no pueden ser realizadas por el mismo fabricante vendedor, sino que correspondería este papel a organismos independientes acreditados para llevar a cabo estas tareas.

Propósito de los Estándares

3. Transmitir la confianza necesaria a lo usuarios y consumidores:
De tal manera que los usuarios puedan comparar sus requerimientos específicos de seguridad frente a lo establecido en distintos estándares para poder determinar cual es el nivel de seguridad que necesitan, y en consecuencia, que características o atributos, deberían exigir a los productos o servicios que vayan a adquirir. Por otra parte, gracias a los estándares los usuarios y consumidores pueden más fácilmente cuándo un producto o servicio cumple una serie de requisitos.

Propósito de los Estándares:

Se suele hablar de criterios cuando nos referimos a unas escalas utilizadas para poder medir la seguridad de los sistemas y productos tecnológicos. Las metodologías definen cómo debe realizarse la evaluación de acuerdo con los criterios utilizados. Por su parte los esquemas nacionales e internacionales permiten establecer el marco y los procedimientos de actuación para la evaluación y certificación de la seguridad de los productos tecnológicos.

La evaluación consiste en el análisis de la capacidad de un determinado producto para proteger la información de acuerdo a unos criterios establecidos.

La evaluación se lleva a cabo siguiendo una determinada metodología y tiene por objeto determinar si el producto puede ser certificado. La credibilidad de este proceso dependerá de los métodos utilizados y del rigor y nivel de detalle del análisis del producto: ¿Qué aspectos de la seguridad se evalúan?, ¿Cómo se evalúan?, ¿Quién se encarga de llevar a cabo esta evaluación y que confianza nos merece?

La certificación es el proceso que permite determinar la capacidad de un determinado producto para proteger la información de acuerdo a unos criterios establecidos.

Mediante el proceso de certificación se puede confirmar de forma independientemente la validez de los resultados y conclusiones de la evaluación previa, y si esta evaluación se ha llevado a cabo de acuerdo con el procedimiento establecido.

De acuerdo con algunos expertos se pueden distinguir cuatro tipos de certificaciones:

  • Certificación de la Seguridad de las Tecnologías de la Información.
  • Certificación de la Seguridad Criptológica.
  • Certificación de la Seguridad Física.
  • Certificación de la Seguridad de Emanaciones Radioeléctricas (según la normativa TEMPEST).

La Acreditación permite valorar la capacidad de los sistemas informáticos para resistir, hasta un determinado nivel de confianza, accidentes o acciones maliciosas que puedan comprometer la confidencialidad, integridad, autenticidad y disponibilidad de la información que manejan.

Organismos responsables de la estandarización:

Los principales organismos responsables de la elaboración de estándares a nivel internacional son:
La Comisión Electrotécnica Internacional ( IEC ): responsable de la elaboración de normas sobre electrotecnia y electrónica.

La Organización Internacional de Normalización ( ISO ): responsable de la estandarización en el resto de los sectores de actividad. Tanto ISO como IEC comparten la responsabilidad de la elaboración de normas relativas a las Tecnologías de la Información y la Comunicación ( TICs ).


ORGANIZACIÓN INTERNACIONAL DE NORMALIZACION (ISO)

ES UNA FEDERACIÓN MUNDIAL DE ORGANISMOS DE NORMALIZACION DE 138 PAISES
MISIÓN
PROMOVER EL DESARROLLO DE LA NORMALIZACIÓN EN EL MUNDO Y DE LAS ACTIVIDADES CON ELLA RELACIONADAS, CON VISTAS A FACILITAR EL INTERCAMBIO INTERNACIONAL DE BIENES Y SERVICIOS Y DESARROLLAR LA COOPERACIÓN EN EL CAMPO DE LA ACTIVIDAD INTELECTUAL, CIENTÍFICA Y ECONÓMICA

A nivel europeo conviene destacar el papel de los siguientes:

  • El Comité Europeo de Normalización (CEN)
  • El Instituto Europeo de Normalización de las Telecomunicaciones (CENELEC)
  • La Asociación Española de Normalización y Certificación ( AENOR )

Estándares Estadounidenses:

Se presenta de forma resumida los principales estándares en materia de Gestión de la Seguridad de la Información que se han desarrollado en Estados Unidos:

TCSEC: Trusted Computer System Evaluation Criteria

Los ” Criterios de Evaluación de Sistemas de Confianza ”, fueron desarrollados en 1985 por el Centro de Seguridad Informática Nacional de Estados Unidos, un organismo dependiente de la Agencia de Seguridad (NSA) responsable de la fiabilidad de los sistemas informáticos del gobierno de los Estados Unidos.

También conocido como el “libro naranja”, por el color de las tapas de su publicación, y definen varias clases de sistemas en función de su nivel de seguridad: D, C1, C2, B1, B2, B3 y A.

Clase D (Sin Seguridad); se otorga a aquellos sistemas que no cumplen ninguna especificación de seguridad, es decir, no se dispone de protección para el hardware, el sistema operativo es inestable y no existe autenticación con respecto a los usuarios y sus derechos en el acceso a la información. Como ejemplos podríamos citar los sistemas operativos utilizados en los PCs


Clase C1 (Control de Acceso Discrecional); el sistema informático distingue varios tipos de usuarios, disponiendo además de mecanismos fiables de autenticación y de control de acceso a la información por parte de cada usuario. El administrador del sistema es un usuario especial con control total de acceso.

Clase C2 (Protección de Acceso Controlado); además de las características ya prevista para la clase o nivel C1, en estos sistemas se debe implementar un mecanismo de auditoria de accesos e intentos fallidos de acceso a los objetos protegidos. Poseen la capacidad de definir un mayor número y tipo de restricciones sobre los usuarios del sistema: que comandos y aplicaciones pueden ejecutar, limitación de acceso a determinados archivos o servicios. Como ejemplos podríamos citar los sistemas operativos Windows NT, Windows2000, UNIX, etc.


Clase B1 (Seguridad Etiquetada); estos sistemas soportan la seguridad multinivel, mediante la cual a cada objeto del sistema (ya sea este un usuario, dato, fichero u otro recurso) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas determinadas categorías (contabilidad, ventas, personal…) de modo que cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo, es decir se establecen controles para limitar la propagación o modificación de los permisos de acceso a los distintos objetos del sistema.

Clase B2 (Protección Estructurada); se aplica a los sistemas que permiten establecer una jerarquía de objetos a la hora de definir las etiquetas de seguridad, facilitando además la comunicación entre objetos de un novel superior con otros de un nivel inferior; el sistema será capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad han sido modificadas.

Clase B3 (Dominios de Seguridad); el sistema informático contempla la implantación de “Dominios de Seguridad”, reforzados mediante hardware especifico para facilitar la aplicación de las políticas de acceso que se hayan definido.

Clase A (Protección Verificada); se reserva para aquellos casos en los que se han utilizado métodos formales (técnicas matemáticas de verificación formal) en el proceso de diseño y verificación del sistema. El hardware y el Software son protegidos para evitar infiltraciones ante traslados de los equipos informáticos.

Federal Criteria

Se trata de una evolución de TCSEC presentada en el año 1992.

FISCAM: Federal Information System Controls Audit Manual

Estándar de auditoria y control de la seguridad de los Sistemas de Información Federales desarrollado de la Oficina de Contabilidad General de Estados Unidos.

NIST SP 800

Estándar para la certificación de sistemas basados en las Tecnologías de la Información, que ha sido desarrollados por el NIST (Instituto Nacional de estándares y Tecnología), un organismo que depende del Departamento de Comercio de Estados Unidos.

Estándares Europeos:

A nivel europeo podemos destacar los siguientes estándares y actuaciones destacadas en materia de Gestión de la Seguridad de la Información (propuestos en algunos casos como una evolución y adaptación de los estándares de estados Unidos):

ITSEC: Information Technology Security Evaluation Criteria
Los Criterios de Evaluación de la Seguridad de las Tecnologías de la Información fueron desarrollados conjuntamente por Francia, Alemania, Holanda y el Reino Unido en el año 1,991, tomando como referencia el trabajo llevado a cabo previamente por el estándar TCSEC en Estados Unidos.


ITSEM: Information Technology Security Evaluation Methodology
Se trata de la metodología de evaluación que se ha definido correspondiente a los criterios ITSEC.

Agencia Europea de Seguridad de la Información y las Redes

En Marzo del 2003 la Comisión Europea decidió crear la Agencia Europea de Seguridad de la Información y las Redes Informáticos (ENISA), con los siguientes objetivos:

Obtener un consenso en materia de seguridad informática en Europa que permita mantener permita mantener la disponibilidad y seguridad necesarias en las redes y sistemas de información de las distintas organizaciones.

Proveer asistencia para la aplicación de nuevas normativas en este campo.

Dirigir el desarrollo en estas materias.

Avisar y coordinar acerca de la información recopilada y analizada.

Dar soporte a la certificación y estandarización del mercado.

Facilitar el contacto con terceros países.

Estándares Internacionales:

Los principales estándares relacionados con la seguridad de la información y la certificación de los productos tecnológicos han sido desarrollados por la ISO y el IEC. Los estándares mas conocidos a nivel internacional son los siguientes:

ISO / IEC 13335: Guidelines for Management of Information Technologies Security (Directrices para la Gestión de la Seguridad)
Es un estándar que define un marco de referencia para las técnicas de gestión de riesgos y los criterios de selección de medidas de seguridad o salvaguardas en los sistemas y redes informáticas.

ISO / IEC 15408: Common Criteria, Criterios Comunes
Criterios Comunes para la evaluación de determinados productos de seguridad, facilitando de este modo el proceso de certificación de los noveles y servicios de seguridad que pueden proporcionar estos productos.

ISO / IEC 21827: Systems Security Engineering (Ingeniería de la Seguridad de los Sistemas)
Se ha propuesto para facilitar la evaluación del nivel de madurez de los procesos relacionados con la Gestión de la Seguridad de la Información.

ISO / IEC 17799 (BS-7799): Information Security Management (Gestión de la Seguridad de la Información)

Estándar que define un código de buenas practicas mediante un conjunto de controles que se pueden aplicar para mejorar la Gestión de la Seguridad de la Información en una organización.

ISO / IEC 27001: Information Security Management Systems Requirements (Requisitos para los Sistemas de Gestión de Seguridad de la Información)
Norma que permite certificar la implantación de un Sistema de Gestión de Seguridad de la Información en una organización.

ISM3: Information Security Management maturity Model (Modelo de madurez de la Gestión de la Seguridad de la Información)
Nuevo estándar que se estructura en distintos “niveles de madurez” para facilitar su implantación progresiva en las organizaciones, partiendo de los requerimientos básicos de seguridad del negocio o actividad que desarrollan.

COBIT: Information Systems Audit and Control Association (Asociación para el Control y la Auditoria de los Sistemas de Información)
Requerimientos de seguridad establecidos por la ISACA

RFC 2196: Internet Engineering Task Force (Grupo de Trabajo de Ingeniería de Internet)
Que constituye un Manual de Seguridad con una serie de directrices aplicables al desarrollo y explotación de un Website en Internet.

OCTAVE: Operationally Critical Threat, and Vulnerability Evaluation (Evaluación de Vulnerabilidades, Activos y Amenazas Criticas)
Se trata de una metodología propuesta para facilitar la evaluación y la gestión de los riesgos en una organización ( http://www.cert.org/octave/ ).

MAGERIT
Magerit, la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Publicas, fue desarrollada por el Ministerio de Administraciones Publicas y publicada en 1997.

Los objetivos de MAGERIT son cuatro:

  1. Concienciar a los responsables de los Sistemas de Información de la existencia de riesgos y necesidades de adoptar las medidas para limitar su impacto.
  2. Ofrecer un método sistemático para analizar tales riesgos.
  3. Planificar las medidas oportunas para mantener los riesgos identificados bajo control, y
  4. Facilitar los procesos de evaluación, auditoria, certificación o acreditación.

En el mes de Julio del 2005, el Consejo Superior d administración Electrónica hizo publica la versión 2 de MAGERIT.

Proceso de Certificación

El proceso de certificación debe ser realizado por una entidad independiente y competente capaz de determinar si un determinado SGSI (Sistema de Gestión de la Seguridad de la Información) es correcto, y lo confirma mediante el correspondiente certificado por escrito.
La certificación constituye un reconocimiento al trabajo bien hecho, una garantía de “calidad de la seguridad”, que aporta beneficios para la propia organización, sus clientes, inversores y empleados. Sin embargo, la adaptación a la norma no garantiza la inmunidad total de la organización frente a problemas de seguridad, pero permite reducir el riesgo.
La Seguridad Total No Existe

CERTIFICACIÓN
PROCEDIMIENTO POR EL CUAL UNA TERCERA PARTE ASEGURA POR ESCRITO QUE UN PRODUCTO, PROCESO O SERVICIO ES CONFORME CON LOS REQUISITOS ESPECIFICADOS

El proceso de certificación consta de dos grandes etapas:
La Consultoría:

Un equipo de consultores con experiencia en la norma ayuda a la organización a cumplir con los requisitos de certificación: Políticas de seguridad, procedimientos, selección e implantación de controles, etc. En esta etapa será necesario determinar las acciones correctivas (que eliminan la causa de las no conformidades en la implantación, operación y uso del SGSI) y las acciones preventivas (que permiten eliminar la causa de no conformidades potenciales, previniendo su ocurrencia).

La Auditoría:
Un organismo acreditado, en cada país, se encarga de revisar los distintos procesos y procedimientos de gestión de seguridad exigidos por la norma, así como de revisar la implantación de los distintos controles seleccionados. Una de las instituciones de referencia a nivel internacional en auditoria de los Sistemas de Información es ISACA (Information Systems Audit and Control Association – Asociación para el Control y la Auditoria de los Sistemas de Información).

Guía para la implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502:2004

Esta guía esta compuesta por 10 etapas o fases necesarias para la implantación de un SGSI y su posterior certificación de acuerdo con la norma UNE 71502:2004, que puede servir de marco de referencia para una organización interesada en obtener dicha certificación:

Definición de las Políticas de Seguridad y del Alcance del SGSI.
Definición de las partes o áreas del negocio que van a ser auditadas bajo la norma.
Especificación del alcance del proyecto identificando los procesos de negocio, los recursos de información afectados, los recursos tecnológicos y organizativos, las personas clave y las relaciones con terceros.

Establecimiento de las Políticas de Seguridad: la Dirección General, junto con los empleados de los departamentos afectados en la implantación, debe definir y desarrollar una Política de seguridad de la Información dentro de la organización

Elaboración de un Documento de seguridad en el que se debe reflejar el compromiso de la Dirección, la definición de la seguridad de la información dentro de su organización, la descripción de los principios fundamentales del sistema de Gestión de Seguridad de la Información, la definición de las responsabilidades de los usuarios, la referencia al soporte documental y el cumplimiento con los requisitos legales y contractuales.

Definición de Responsabilidades y Asignación de Recursos.

Creación de un Comité de Seguridad que se encargara de la revisión y actualización de las Políticas de Seguridad de la Información. Este comité revisara el análisis de riesgos, partiendo de la identificación de los principales activos y recursos a proteger, de sus vulnerabilidades y de las posibles amenazas que les puedan afectar.

Así mismo se debería definir un responsable de la implantación del SGSI, con la misión de apoyar al Comité de Seguridad, dirigir y mantener el SGSI, trabajar con los procesos y departamentos directamente implicados en el SGSI (actuando de interlocutor con los responsables de los activos identificados y de la correcta implantación del sistema en su proceso o área de negocio) y llevar a cabo las auditorias internas que permitan controlar la adecuada implantación del SGSI.

Identificación y Registro de Activos.
Identificación y descripción de todos los activos contemplados dentro del alcance del SGSI, así como de quienes son los responsables de gestionar dichos activos.

Análisis y Gestión de Riesgos.

Identificación de amenazas, vulnerabilidades y probabilidades de impacto en los activos.
Elaboración de un documento donde se refleje el resultado de la evaluación de las vulnerabilidades, los niveles de riesgo y la necesidad de aplicar las distintas medidas y requisitos de seguridad.

Selección e Implantación de Controles de Seguridad.

Elaboración de un Documento de Selección de Controles, documento que, por otra parte, es obligatorio según la norma UNE 71502.
Revisión de la aplicabilidad de los controles seleccionados.
Implantación de forma efectiva de los controles seleccionados.

Establecer un Programa de Mejora de la Seguridad.

Definición de un plan de acción con actuaciones concretas para mejorar la seguridad, siguiendo el modelo “PDCA”.


“Plan” (Planificar): definición y establecimiento del SGSI.
“Do” (Ejecutar): implantación y operación del SGSI.
“Check” (Verificar) comprobación y revisión del SGSI (medir la efectividad de las medidas de seguridad).
“Act” (Actuar): mantenimiento y mejora del SGSI.

Completar la Documentación del SGSI.
Planificación y Diseño del SGSI, incluyendo la definición del alcance.
Políticas de Seguridad de la Información.
Registro de Activos de Información y Valoración de Riesgos.
Documentos de Selección de Controles (DSC).
Procedimientos para la Implantación de los Controles.
Procedimientos para la gestión y operación del SGSI:

Revisión y Auditoria Interna del Proyecto de Implantación del SGSI.
Realización de la Auditoria de Certificación.
Ejecutar las Recomendaciones de la Auditoria.

Sistema de Gestión de la Seguridad de la Información
¿Qué es ISO 17799?
• ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información

• ISO 17799 define la información como un activo.
• La seguridad de la información se define como la preservación de:
– Confidencialidad
– Integridad
– Disponibilidad

¿Qué es ISO 17799? (II)

• La adopción nacional de la norma se denomina ISO/IEC 17799
• Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI)

Historia de la normative