miércoles, 27 de enero de 2010

Anubis y la ISO/IEC 27001

modulo-cert-iso-27001[1]

Al finalizar la Segunda Guerra Mundial, en el año 1947, fue fundada la Organización Internacional para la Estandarización, también conocida como ISO. Su objetivo era el de promover el desarrollo de normas internacionales para las comunicaciones, el comercio y la fabricación, con la excepción de las ramas dedicadas a la electricidad y la electrónica, para conseguir estandarizar las normas de producción y la seguridad de las organizaciones a nivel internacional.

En Octubre de 2005, fue aprobado y publicado como estándar internacional por ISO y por la comisión International Electrotechnical Commision, también conocida como IEC, el estándar para la seguridad de la información ISO/IEC 27001.

El estándar ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información, también conocido como SGSI. Para ello sigue el Ciclo de Deming: PDCA, acrónimo de Plan, Do, Check, Act, que traducido a castellano significa: Planificar, Hacer, Verificar y Actuar.

El proceso de implantación de ISO/IEC 27001 en una organización es un proyecto largo como el de casi todos los estándares. Se sitúa entre 6 meses y un año, dependiendo del estado de la organización, de su grado de madurez en seguridad de la información y del tamaño de la misma.

El proyecto de implantación debe ir encabezado por la dirección, estará formado por representantes de todas las áreas que formen parte de la implantación del SGSI y por consultores externos especializados en las ramas de protección de datos, sistemas de gestión de la seguridad, seguridad informática y derecho de las nuevas tecnologías.

La certificación de un SGSI es el proceso seguido para verificar que una organización cumple con el estándar ISO/IEC 27001.

La certificación es realizada por una entidad de certificación externa y acreditada para tal fin, que valorará el estado de la organización y emitirá su conformidad con el estándar tras auditar su grado de implantación y eficacia. Concluido el proceso de auditoría la entidad emitirá la correspondiente certificación.

Hasta el año 2005 que surgió el estándar ISO/IEC 27001, las organizaciones interesadas en poseer una certificación de seguridad de la información eran certificadas según el estándar británico BS 7799-2 y al que ahora sustituye.

En el año 2007, se produjo la primera certificación ISO 27001 por parte de una entidad pública, en La Consejería de Agricultura de Murcia, que certificó el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA.

La primera certificación por parte de una entidad financiera se produjo en la Caja Inmaculada, CAI, otorgado por AENOR. La certificación se extiende a los sistemas de información, recursos técnicos y humanos e instalaciones afectas a todos sus procesos de negocio que se realizan en su sede de Independencia, en Zaragoza, y en su red de oficinas. Posteriormente se fue extendiendo la certificación a otros bancos con una alta tradición en banca online como el grupo Bankinter, considerado en la actualidad como el Banco más seguro de internet.

Inteco por su parte fue la primera Sociedad Anónima Estatal que implanta y certifica su Sistema de Gestión de Seguridad de la Información con la ISO 27001. La certificación fue expedida por GMV y Applus+ en 2009 para la sede principal de la entidad pública, así como a su Centro de Respuesta a Incidentes en TI para pymes y en el observatorio de la Seguridad de la Información.

Anubis ha sido desarrollado para colaborar en los procesos de auditoría de seguridad. Además, ha sido diseñado siguiendo el estándar ISO/IEC 27001, para que pueda ser utilizado como una herramienta perfecta para ayudar en los procesos de certificación para la implantación de la ISO/IEC 27001 en las organizaciones.

En las siguientes tablas, se puede ver los Objetivos de Control y Controles de la ISO/IEC 27001 en los que Anubis puede ayudar en su verificación:

 


A.6

Organización de la seguridad de la información

A.6.2.1

Identificación de riesgos relacionados con entidades externas.

A.6.2.2

Tratamiento de la seguridad cuando se trabaja con clientes.

A.9

Seguridad física y ambiental

A.9.1.1

Perímetro de seguridad física

A.9.1.2

Controles de entrada físicos.

A.9.1.6

Áreas de acceso público, entrega y carga.

A.9.2.1

Ubicación y protección del equipo

A.9.2.5

Seguridad del equipo fuera del local.

A.10

Gestión de las comunicaciones y operaciones

A.10.1.4

Separación de los medios de desarrollo y operaciones

A.10.4.1

Controles contra software malicioso

A.10.4.2

Controles contra códigos móviles

A.10.6.1

Controles de red

A.10.7.3

Procedimientos de manejo de la información

A.10.7.4

Seguridad de documentación del sistema

A.10.9.1

Comercio electrónico

A.10.9.3

Información disponible públicamente

A.10.10.1

Registro de auditoría

A.10.10.3

Protección de la información del registro

A.11

Control de acceso

A.11.3.1

Uso de clave

A.11.4.6

Control de conexión de redes.

A.11.5.3

Sistema de gestión de claves

A.11.6.2

Aislamiento del sistema sensible

A.12

Adquisición, desarrollo y mantenimiento de los sistemas de información

A.12.4.3

Control de acceso al código fuente del programa

A.12.5.4

Filtración de Información

A.12.6.1

Control de vulnerabilidades técnicas

Como veis Anubis ha sido pensado para abordar numerosos campos de la Auditoría y la Certificación de Estándares. Si queréis saber mas sobre la ISO27001 (solo con fines didácticos) os la podéis descargar desde el siguiente link:

http://elblogdecalles.es/estandares.html

Hasta el próximo post!

No hay comentarios: