Post on 05-Dec-2014
description
segons les normes internacionals
ISO 27001 i ISO 27002
Com implantar un sistema de seguretat
de la informació
Com implantar un sistema de seguretat
de la informació segons les normes internacionals
ISO 27001 i ISO 27002
1209-51168-52172 Guia ISO 27001.indd 31209-51168-52172 Guia ISO 27001.indd 3 30/09/10 10:1030/09/10 10:10
1209-51168-52172 Guia ISO 27001.indd 41209-51168-52172 Guia ISO 27001.indd 4 30/09/10 10:1030/09/10 10:10
5
Una aposta pel futur
La introducció de la informàtica i de les noves tecnologies en tots els àmbits, incloent-hi el món empresa-
rial, és tant una realitat com una necessitat per a tot projecte empresarial que vulgui ser competitiu. La in-
formatització de la informació i l’ús de les tecnologies de la informació i de la comunicació (TIC) ofereixen
grans avantatges a les empreses, que poden augmentar la seva productivitat i els seus serveis, però que
també han de saber com afrontar els riscos: com assegurar la confi dencialitat de la informació, la seva in-
tegritat i la seva disponibilitat.
Per això, em complau presentar aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dóna
suport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les Illes
Balears (IDI). Amb un format divulgatiu i senzill, explica com qualsevol empresa pot optar per introduir un
sistema de gestió de la seguretat de la informació, aplicant uns estàndards reconeguts internacionalment
com són els de les normes ISO. Així com la ISO 9001 és una bona referència de qualitat a l’empresa, la
27001 vol ser un referent idèntic en el camp de la seguretat.
Una bona gestió en aquest camp reporta benefi cis evidents. Des de la diferenciació de la competència a
una reducció dels riscos que pot generar la pèrdua o el robatori d’informació vital per a l’empresa. Una em-
presa atenta a tots els detalls és una empresa ben gestionada. I una empresa ben gestionada és garan-
tia d’èxit i de futur.
Francesca Vives i AmerConsellera de Comerç, Indústria i Energia
1209-51168-52172 Guia ISO 27001.indd 51209-51168-52172 Guia ISO 27001.indd 5 30/09/10 10:1030/09/10 10:10
1209-51168-52172 Guia ISO 27001.indd 61209-51168-52172 Guia ISO 27001.indd 6 30/09/10 10:1030/09/10 10:10
7
Coordinació del projecteInstitut d’Innovació Empresarial de les Illes BalearsServei d’Informació i Formació Empresarial
AutorJosé María Gilgado
EdicióInstitut d’Innovació Empresarialde les Illes Balears
Ha coordinat la guiaPilar Jordi i Antònia Fullana
ImpressióGràfi ques Planisi
Dipòsit legal: PM 1168 - 2010
1a edició: octubre 2010
1209-51168-52172 Guia ISO 27001.indd 71209-51168-52172 Guia ISO 27001.indd 7 30/09/10 10:1030/09/10 10:10
1209-51168-52172 Guia ISO 27001.indd 81209-51168-52172 Guia ISO 27001.indd 8 30/09/10 10:1030/09/10 10:10
índex Pròleg de l’autor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Introducció . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Sistema de gestió de la seguretat de la informació . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.1 Què és un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2 Què inclou un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.3 Com s’implanta un SGSI? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.4 Quina responsabilitat té la direcció en un SGSI?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.5 S’integra un SGSI en altres sistemes de gestió? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2.6 Benefi cis d’implantar un SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 2.7 Aspectes clau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3 Exemples pràctics de procediments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.1 Gestió d’incidents de seguretat de la informació i millores . . . . . . . . . . . . . . . . . . . . 33 3.2 Còpies de seguretat i recuperació d’arxius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3.3 Seguretat en els accessos de tercers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.4 Gestió d’accessos, privilegis i contrasenyes d’usuaris . . . . . . . . . . . . . . . . . . . . . . . 36 3.5 Instal·lació i protecció d’equips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.6 Inventari d’actius, classifi cació i tractament de la informació . . . . . . . . . . . . . . . . . . 39 3.7 Acabament en el lloc de feina i eliminació de suports . . . . . . . . . . . . . . . . . . . . . . . 41 3.8 Gestió i avaluació de riscs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4 Exemples pràctics de documentació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.1 Exemple d’un índex de polítiques de seguretat de la informació . . . . . . . . . . . . . . . 45 4.2 Exemple d’un índex de manual de seguretat física i de l’entorn . . . . . . . . . . . . . . . . 46 4.3 Pla de continuïtat del negoci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 4.4 Exemple d’inventari d’actius, classifi cació i tractament . . . . . . . . . . . . . . . . . . . . . . 50 4.5 Selecció de controls (declaració d’aplicabilitat) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 4.6 Informe d’anàlisi de riscs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
5 Certifi cació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.1 Auditoria i certifi cació. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 5.2 L’entitat de certifi cació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 5.3 L’auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6 Eines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 6.1 Normes, guies i bones pràctiques generals. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Glossari . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
1209-51168-52172 Guia ISO 27001.indd 91209-51168-52172 Guia ISO 27001.indd 9 30/09/10 10:1030/09/10 10:10
1209-51168-52172 Guia ISO 27001.indd 101209-51168-52172 Guia ISO 27001.indd 10 30/09/10 10:1030/09/10 10:10
11
PRÒLEG DE L’AUTOR
Gràcies a l’interès recent de les organitzacions tant públiques com privades del teixit empresarial
balear per les normes ISO 27001 i ISO 27002 sobre seguretat de la informació, l’Institut d’Innovació
Empresarial de les Illes Balears, un organisme públic adscrit a la Conselleria de Comerç, Indústria
i Energia del Govern de les Illes Balears, ha decidit publicar, amb l’ajuda d’una empresa consultora
amb experiència en el disseny de sistemes de gestió, aquesta guia tècnica.
L’objectiu d’aquesta guia és donar una orientació pràctica respecte al tema de la seguretat de la
informació amb procediments i casos reals, així com exemples d’alguns documents típics que es
generen habitualment en el procés d’implantació.
Aquesta guia està dirigida a empresaris, directius, consultors i responsables de qualitat i d’informàtica
d’empreses i institucions per als quals la informació sigui un factor rellevant en la seva activitat.
José María Gilgado Tanco
Consultor de gestió
1209-51168-52172 Guia ISO 27001.indd 111209-51168-52172 Guia ISO 27001.indd 11 30/09/10 10:1030/09/10 10:10
1209-51168-52172 Guia ISO 27001.indd 121209-51168-52172 Guia ISO 27001.indd 12 30/09/10 10:1030/09/10 10:10
13
1. INTRODUCCIÓ
La informació, juntament amb els processos i els sistemes que en fan ús, són actius molt
importants d’una organització. La confi dencialitat, la integritat i la disponibilitat d’informació
sensible poden arribar a ser essencials per mantenir els nivells de competitivitat, rendibilitat,
conformitat legal i imatge empresarial necessaris per aconseguir els objectius de l’organització
i assegurar benefi cis econòmics.
Les organitzacions i els seus sistemes d’informació estan exposats a un nombre cada vegada
més elevat d’amenaces que, aprofi tant qualsevol de les vulnerabilitats que hi ha, poden sotmetre
actius crítics d’informació a diverses formes de frau, espionatge, sabotatge o vandalisme.
Els virus informàtics, els hacking o els atacs de denegació de servei són alguns exemples
comuns i coneguts, però també s’han de considerar els riscs de patir incidents de seguretat
causats voluntàriament o involuntàriament des de dins l’organització mateixa o els provocats
accidentalment per catàstrofes naturals i fallades tècniques.
El compliment de la legalitat, l’adaptació dinàmica i puntual a les condicions variables de l’entorn,
la protecció adequada dels objectius de negoci per assegurar el màxim benefi ci o l’aprofi tament
de noves oportunitats de negoci, són alguns dels aspectes fonamentals en els quals un sistema
de gestió de la seguretat de la informació (SGSI) és una eina de gran utilitat i de gran ajuda per
gestionar les organitzacions.
El nivell de seguretat aconseguit per mitjans tècnics és limitat i insufi cient per si mateix. En la gestió
efectiva de la seguretat, ha de prendre part activa tota l’organització, amb la gerència al capdavant, i
cal tenir en consideració també els clients i els proveïdors de béns i serveis. El model de gestió de la
seguretat ha de preveure uns procediments adequats i la planifi cació i la implantació de controls de
seguretat basats en una avaluació de riscs i en un mesurament de l’efi càcia d’aquests.
1209-51168-52172 Guia ISO 27001.indd 131209-51168-52172 Guia ISO 27001.indd 13 30/09/10 10:1030/09/10 10:10
14
L’SGSI ajuda a establir aquestes polítiques i procediments en relació amb els objectius de
negoci de l’organització, a fi de mantenir un nivell d’exposició sempre menor al nivell de risc que
l’organització mateixa ha decidit assumir.
Amb un SGSI, l’organització coneix els riscs a què està sotmesa la seva informació, i els assumeix,
els minimitza, els transfereix o els controla mitjançant una sistemàtica defi nida, documentada i
coneguda per tothom que es revisa i es millora constantment.
Alguns dels textos que s’esmentaran a continuació han estat cedits pel portal www.iso27000.es.
2. SISTEMA DE GESTIÓ DE LA SEGURETAT DE LA INFORMACIÓ
L’SGSI (sistema de gestió de la seguretat de la informació) és el concepte central sobre el qual
es construeix la norma ISO 27001.
La gestió de la seguretat de la informació s’ha de fer mitjançant un procés sistemàtic, documentat
i conegut per tota l’organització.
Aquest procés és el que constitueix un SGSI, que podria considerar-se, per analogia amb una
norma tan coneguda com la norma ISO 9001, com el sistema de qualitat per a la seguretat de
la informació.
Garantir un nivell de protecció total és virtualment impossible, fi ns i tot en el cas de disposar d’un
pressupost il·limitat.
El propòsit d’un sistema de gestió de la seguretat de la informació és, per tant, garantir que els
riscs de la seguretat de la informació siguin coneguts, assumits, gestionats i minimitzats per
l’organització d’una forma documentada, sistemàtica, estructurada, repetible, efi cient i adaptada
als canvis que es produeixin en els riscs, l’entorn i les tecnologies.
1209-51168-52172 Guia ISO 27001.indd 141209-51168-52172 Guia ISO 27001.indd 14 30/09/10 10:1030/09/10 10:10
15
En les seccions següents es desenvoluparan els conceptes fonamentals d’un SGSI segons la
norma ISO 27001.
2.1 Què és un SGSI?
SGSI es l’abreviatura utilitzada per referir-se a un sistema de gestió de la seguretat de la
informació, ISMS són les sigles que corresponen a l’anglès information security management
system.
En aquest context s’entén per informació tot el conjunt de dades organitzades en poder
d’una entitat que tinguin valor per a si mateixa, independentment de la forma en què es
guardin o es transmetin (per escrit, en imatges, oralment, en paper, emmagatzemades
electrònicament, projectades, enviades per correu ordinari, fax o correu electrònic,
transmeses en converses, etc.), de l’origen que tinguin (de l’organització mateixa i de fonts
externes) o de la data d’elaboració.
La seguretat de la informació, segons la norma ISO 27001, consisteix a preservar-ne
la confi dencialitat, la integritat i la disponibilitat, així com els sistemes implicats en el
tractament, dins una organització. Així, aquests tres termes constitueixen la base sobre la
qual es fonamenta tot l’edifi ci de la seguretat de la informació:
• Confi dencialitat: La informació no es posa a disposició ni es revela a individus, entitats ni
processos no autoritzats.
• Integritat: Manteniment de l’exactitud i la completesa de la informació i els seus mètodes
de procediment.
• Disponibilitat: Accés i utilització de la informació i els sistemes de tractament d’aquesta per
part dels individus, les entitats o els processos autoritzats quan ho requereixin.
1209-51168-52172 Guia ISO 27001.indd 151209-51168-52172 Guia ISO 27001.indd 15 30/09/10 10:1030/09/10 10:10
16
Per garantir que la seguretat de la informació és gestionada correctament, s’ha d’usar un
procés sistemàtic, documentat i conegut per tota l’organització, des d’un enfocament de
risc empresarial. Aquest procés és el que constitueix un SGSI.
2.2 Què inclou un SGSI?
En l’àmbit de la gestió de la qualitat segons la norma ISO 9001, sempre s’ha mostrat
gràfi cament la documentació del sistema com una piràmide de quatre nivells. És possible
traslladar aquest model a un sistema de gestió de la seguretat de la informació basat en la
norma ISO 27001 de la manera següent:
Documents de nivell 1
Manual de seguretat: La denominació és per analogia amb el manual de qualitat, encara
que el terme s’usa també en altres àmbits. Seria el document que inspira i dirigeix tot el
1209-51168-52172 Guia ISO 27001.indd 161209-51168-52172 Guia ISO 27001.indd 16 30/09/10 10:1030/09/10 10:10
17
sistema, el que exposa i determina les intencions, l’abast, els objectius, les responsabilitats,
les polítiques, les directrius principals, etc., de l’SGSI.
Documents de nivell 2
Procediments: Documents en el nivell operatiu que asseguren que es fan de forma efi caç la
planifi cació, la gestió i el control dels processos de seguretat de la informació.
Documents de nivell 3
Instruccions, llistes de control (checklists) i formularis: Documents en què descriuen com es
fan les tasques i les activitats específi ques relacionades amb la seguretat de la informació.
Documents de nivell 4
Registres: Documents que proporcionen una evidència objectiva del compliment dels
requisits de l’SGSI. Estan associats a documents dels altres tres nivells com a output, que
demostra que s’ha complit allò que s’hi ha indicat.
De manera específi ca, la norma ISO 27001 indica que un SGSI ha d’estar format pels
documents següents (en qualsevol format o tipus de mitjà):
• Abast de l’SGSI: Àmbit de l’organització que queda sotmès a l’SGSI. Inclou una identifi cació
clara de les dependències, les relacions i els límits que hi ha entre l’abast i les parts que
no hagin estat considerades (en els casos en què l’àmbit d’infl uència de l’SGSI consideri
un subconjunt de l’organització com a delegacions, divisions, àrees, processos, sistemes o
tasques concretes).
• Política i objectius de seguretat: Document de contingut genèric que estableix el
compromís de la direcció i l’enfocament de l’organització en la gestió de la seguretat
de la informació.
1209-51168-52172 Guia ISO 27001.indd 171209-51168-52172 Guia ISO 27001.indd 17 30/09/10 10:1030/09/10 10:10
18
• Enfocament d’avaluació de riscs: Descripció de la metodologia que s’emprarà (com es farà
l’avaluació de les amenaces, les vulnerabilitats, les probabilitats que ocorrin i els impactes en
relació amb els actius d’informació continguts dins l’abast seleccionat), el desenvolupament
de criteris d’acceptació de risc i la fi xació de nivells de risc acceptables.
• Informe d’avaluació de riscs: Estudi que resulta d’aplicar la metodologia d’avaluació
anteriorment esmentada als actius d’informació de l’organització.
• Pla de tractament de riscs: Document en què fi guren les accions de la direcció, els recursos,
les responsabilitats i les prioritats per gestionar els riscs de seguretat de la informació segons
les conclusions obtingudes de l’avaluació de riscs, dels objectius de control identifi cats,
dels recursos disponibles, etc.
• Procediments documentats: Tots els necessaris per assegurar la planifi cació, la gestió i el
control dels processos de seguretat de la informació, així com per mesurar l’efi càcia dels
controls implantats.
• Registres: Documents que proporcionen evidències de la conformitat amb els requisits i del
funcionament efi caç de l’SGSI.
• Declaració d’aplicabilitat (SOA, statement of applicability, en les sigles angleses): Document
que conté els objectius de control i els controls prevists en l’SGSI que es basa en els resultats
dels processos d’avaluació i tractament de riscs i en què es justifi quen les inclusions i les
exclusions.
Control de la documentació
Pel que fa als documents generats, s’ha d’establir, documentar, implantar i mantenir un
procediment que defi neixi les accions de gestió necessàries per dur a terme les accions
següents:
1209-51168-52172 Guia ISO 27001.indd 181209-51168-52172 Guia ISO 27001.indd 18 30/09/10 10:1030/09/10 10:10
19
• Aprovar documents apropiats abans d’emetre’ls.
• Revisar i actualitzar documents quan sigui necessari i renovar-ne la validesa.
• Garantir que els canvis i l’estat actual de revisió dels documents estan identifi cats.
• Garantir que les versions rellevants de documents vigents estan disponibles als llocs en què s’han d’emprar.
• Garantir que els documents es mantenen llegibles i fàcilment identifi cables.
• Garantir que els documents estan disponibles per a les persones que els necessitin i que són transmesos, emmagatzemats i fi nalment destruïts d’acord amb els procediments aplicables segons la seva classifi cació.
• Garantir que els documents procedents de l’exterior estan identifi cats.
• Garantir que la distribució de documents està controlada.
• Prevenir la utilització de documents obsolets.
• Aplicar la identifi cació apropiada a documents que són retinguts amb algun propòsit.
2.3 Com s’implanta un SGSI?
Per establir i gestionar un sistema de gestió de la seguretat de la informació basant-se en la
norma ISO 27001, s’utilitza el cicle de millora contínua o PDCA, tradicional en els sistemes
de gestió de la qualitat, que signifi ca:
• Plan (‘planifi car’): establir l’SGSI.
• Do (‘fer’): implantar i utilitzar l’SGSI.
• Check (‘verifi car’): monitorar i revisar l’SGSI.
• Act (‘actuar’): mantenir i millorar l’SGSI.
1209-51168-52172 Guia ISO 27001.indd 191209-51168-52172 Guia ISO 27001.indd 19 30/09/10 10:1030/09/10 10:10
20
Plan: Establir l’SGSI
• Defi nir l’abast de l’SGSI en termes del negoci, l’organització, la localització, els actius i les
tecnologies, inclosos els detalls i la justifi cació de qualsevol exclusió.
• Defi nir una política de seguretat que:
- Inclogui el marc general i els objectius de seguretat de la informació de l’organització.
- Consideri requeriments legals o contractuals relatius a la seguretat de la informació.
- Estigui alineada amb el context estratègic de gestió de riscs de l’organització en què
s’establirà i es mantindrà l’SGSI.
- Estableixi els criteris amb què s’avaluarà el risc.
- Estigui aprovada per la direcció.
• Defi nir una metodologia d’avaluació del risc apropiada per a l’SGSI i els requeriments del
negoci, a més d’establir els criteris d’acceptació del risc i especifi car els nivells de risc
acceptable. Allò primordial d’aquesta metodologia és que els resultats obtinguts siguin
comparables i repetibles (hi ha nombroses metodologies estandarditzades per avaluar els
riscs, encara que és perfectament acceptable defi nir-ne una de pròpia).
• Identifi car els riscs:
- Identifi car els actius que estan dins l’abast de l’SGSI i els responsables directes, denominats
propietaris.
- Identifi car les amenaces en relació amb els actius.
- Identifi car les vulnerabilitats que puguin ser aprofi tades per aquestes amenaces.
- Identifi car els impactes en la confi dencialitat, la integritat i la disponibilitat dels actius.
• Analitzar i avaluar els riscs:
- Avaluar l’impacte en el negoci d’un fallada de seguretat que suposi la pèrdua de
confi dencialitat, integritat o disponibilitat d’un actiu d’informació.
- Avaluar de forma realista la probabilitat que ocorri una fallada de seguretat en relació amb
1209-51168-52172 Guia ISO 27001.indd 201209-51168-52172 Guia ISO 27001.indd 20 30/09/10 10:1030/09/10 10:10
21
les amenaces, les vulnerabilitats, els impactes en els actius i els controls que ja estiguin
implantats.
- Estimar els nivells de risc.
- Determinar, segons els criteris d’acceptació de risc prèviament establerts, si el risc és
acceptable o necessita ser tractat.
• Identifi car i avaluar les distintes opcions de tractament dels riscs per:
- Aplicar controls adequats.
- Acceptar el risc, sempre que es continuïn complint les polítiques i els criteris establerts per
acceptar-los.
- Evitar el risc, per exemple, mitjançant el cessament de les activitats que l’originin.
- Transferir el risc a tercers, per exemple, companyies asseguradores o proveïdors
d’outsourcing.
• Seleccionar els objectius de control i els controls de l’annex A de la norma ISO 27001, que corresponen amb la norma ISO 27002, per al tractament del risc que compleixin els
requeriments identifi cats en el procés d’avaluació del risc.
• Aprovar per part de la direcció tant els riscs residuals com la implantació i l’ús de l’SGSI.
• Defi nir una declaració d’aplicabilitat que inclogui:
- Els objectius de control, els controls seleccionats i els motius de triar-los.
- Els objectius de control i els controls que ja estan implantats.
- Els objectius de control i els controls de l’annex A exclosos i els motius d’excloure’ls. Aquest
és un mecanisme que permet, a més, detectar possibles omissions involuntàries.
En relació amb els controls de seguretat, l’estàndard ISO 27002 (antiga ISO 17799)
proporciona una guia d’implantació completa que conté 133 controls, segons 39 objectius
de control agrupats en 11 dominis. Aquesta norma és referenciada en la norma ISO 27001,
en la segona clàusula, en termes de «document indispensable per a l’aplicació d’aquest
1209-51168-52172 Guia ISO 27001.indd 211209-51168-52172 Guia ISO 27001.indd 21 30/09/10 10:1030/09/10 10:10
22
document» i deixa oberta la possibilitat d’incloure controls addicionals en el cas que la guia
no prevegi totes les necessitats particulars.
Do: Implantar i utilitzar l’SGSI
• Defi nir un pla de tractament de riscs que identifi qui les accions, els recursos, les
responsabilitats i les prioritats en la gestió dels riscs de seguretat de la informació.
• Implantar el pla de tractament de riscs, a fi d’assolir els objectius de control identifi cats, que
inclogui l’assignació de recursos, les responsabilitats i les prioritats.
• Implantar els controls anteriorment seleccionats que portin als objectius de control.
• Defi nir un sistema de mètriques que permeti obtenir resultats reproduïbles i comparables
per mesurar l’efi càcia dels controls o dels grups de controls.
• Procurar programes de formació i conscienciació en relació amb la seguretat de la informació
a tot el personal.
• Gestionar les operacions de l’SGSI.
• Gestionar els recursos necessaris assignats a l’SGSI per mantenir la seguretat de la
informació.
• Implantar procediments i controls que permetin una detecció i una resposta ràpides als
incidents de seguretat.
Check: Monitorar i revisar l’SGSI
L’organització ha de fer les tasques següents:
• Executar procediments de monitoratge i revisió per:
- Detectar a temps els errors en els resultats generats pel processament de la informació.
- Identifi car forats i incidents de seguretat.
- Ajudar la direcció a determinar si les activitats exercides per les persones i els dispositius
1209-51168-52172 Guia ISO 27001.indd 221209-51168-52172 Guia ISO 27001.indd 22 30/09/10 10:1030/09/10 10:10
23
tecnològics per garantir la seguretat de la informació es desenvolupen d’acord amb el que
es preveu.
- Detectar i prevenir esdeveniments i incidents de seguretat mitjançant l’ús d’indicadors.
- Determinar si les accions fetes per resoldre forats de seguretat han estat efectives.
• Revisar regularment l’efectivitat de l’SGSI, atenent el compliment de la política i dels objectius
de l’SGSI, els resultats d’auditories de seguretat, els incidents, els resultats dels mesuraments
d’efi càcia, els suggeriments i les observacions de totes les parts implicades.
• Mesurar l’efectivitat dels controls per verifi car que es compleixen els requisits de seguretat.
• Revisar regularment en intervals planifi cats les avaluacions de risc, els riscs residuals i els
seus nivells acceptables, tenint en compte els possibles canvis que hagin pogut produir-se
en l’organització, la tecnologia, els objectius i els processos de negoci, les amenaces
identifi cades, l’efectivitat dels controls implantats i l’entorn exterior —requeriments legals,
obligacions contractuals, etc.
• Periòdicament, dur a terme auditories internes de l’SGSI en intervals planifi cats.
• Periòdicament, la direcció ha de revisar l’SGSI per garantir que l’abast defi nit continua
essent l’adequat i que les millores en el procés de l’SGSI són evidents.
• Actualitzar els plans de seguretat segons les conclusions i les noves troballes fetes durant
les activitats de monitoratge i revisió.
• Registrar accions i esdeveniments que puguin haver impactat en l’efectivitat o el rendiment
de l’SGSI.
Act: Mantenir i millorar l’SGSI
Regularment, l’organització ha de fer les tasques següents:
• Implantar en l’SGSI les millores identifi cades.
1209-51168-52172 Guia ISO 27001.indd 231209-51168-52172 Guia ISO 27001.indd 23 30/09/10 10:1030/09/10 10:10
PLAN
Missió
Visió
Valors
Defi nició
de la política,
els objectius
i l’abast
Política,
objectius
i abast
PDCA
Entrades
Procès
Sortides
PLAN
Informe de l’anàlisi
Controls de l’annex A
Altres controls
Anàlisi
de
riscs
Inventari
d’actius
Informe de
l’anàlisi
PLAN
Controls del pla
de tractament
de risc
Tractament
de
risc
SOA
PLa de
tractament
de risc
DO
Auditoríes
Registres
Revisió de sistema
Indicadors
Implantació i
operació
de l’SGSI
Procediments
Polítiques
Instruccions
CHECK
Accions correctives
Accions preventives
Monitorització
i revisió
de l’SGSI
Pla de
millora
ACT
Informe de l’anàlisi
Controls de l’annex A
Altres controls
Manteniment
i millora
de l’SGSI
Millora
contínua
Dibuix 2: Cicle PDCA d’un SGSI
1209-51168-52172 Guia ISO 27001.indd 241209-51168-52172 Guia ISO 27001.indd 24 30/09/10 10:1030/09/10 10:10
25
• Fer les accions preventives i correctives adequades en relació amb la clàusula 8 de la
norma ISO 27001 i les lliçons apreses de les experiències pròpies i d’altres organitzacions.
• Comunicar les acciones i les millores a totes les parts interessades amb el nivell de detall
adequat i decidir, si és pertinent, la forma d’actuar.
• Assegurar-se que les millores introduïdes assoleixen els objectius prevists.
El PDCA és un cicle de vida continu, la qual cosa vol dir que la fase act porta de nou a la fase
de plan per iniciar un nou cicle de les quatre fases. Cal tenir en compte que no hi ha d’haver una
seqüència estricta de les fases, sinó que, per exemple, hi pot haver activitats d’implantació que
es duguin a terme quan altres de planifi cació encara no han acabat, o que es monitorin controls
que encara no estan totalment implantats.
2.4 Quina responsabilitat té la direcció en un SGSI?
Un dels components primordials perquè tingui èxit la implantació d’un sistema de gestió de
seguretat de la informació és la implicació de la direcció.
No es tracta d’una expressió retòrica, sinó que ha d’assumir-se des d’un principi que un SGSI
afecta fonamentalment la gestió del negoci, i requereix, per tant, que hi hagi decisions i accions
que només pot prendre la gerència de l’organització. No s’ha de caure en l’error de considerar
un SGSI una mera qüestió tècnica o tecnològica relegada a nivells inferiors de l’organigrama;
s’estan gestionant riscs i impactes de negoci que són responsabilitat i decisió de la direcció.
El terme direcció s’ha de considerar sempre des del punt de vista de l’abast de l’SGSI. És a dir,
es refereix al nivell més alt de gerència de l’organització afectada per l’SGSI (cal recordar que
l’abast no té per què ser tota l’organització).
Algunes de les tasques fonamentals de l’SGSI que la norma ISO 27001 assigna a la direcció es
1209-51168-52172 Guia ISO 27001.indd 251209-51168-52172 Guia ISO 27001.indd 25 30/09/10 10:1030/09/10 10:10
26
detallen en els punts següents:
Compromís de la direcció
La direcció de l’organització ha de comprometre’s amb l’establiment, la implantació, la gestió,
el monitoratge, la revisió, el manteniment i la millora de l’SGSI. Per això, ha de prendre les
iniciatives següents:
• Establir una política de seguretat de la informació.
• Assegurar-se que s’estableixen objectius i plans de l’SGSI.
• Establir rols i responsabilitats de seguretat de la informació.
• Comunicar a l’organització tant la importància d’aconseguir els objectius de seguretat de la
informació i de complir la política de seguretat, com les seves responsabilitats legals i
la necessitat de millora contínua.
• Assignar prou recursos a l’SGSI en totes les fases.
• Decidir els criteris d’acceptació de riscs i els nivells corresponents.
• Assegurar que es facin auditories internes.
• Revisar l’SGSI, com es detalla més endavant.
Assignació de recursos
Per a un desenvolupament correcte de totes les activitats relacionades amb l’SGSI, és
imprescindible assignar recursos. És responsabilitat de la direcció garantir que s’assignen prou
recursos a:
• Establir, implantar, gestionar, monitorar, revisar, mantenir i millorar l’SGSI.
• Garantir que els procediments de seguretat de la informació donen suport als requeriments
de negoci.
1209-51168-52172 Guia ISO 27001.indd 261209-51168-52172 Guia ISO 27001.indd 26 30/09/10 10:1030/09/10 10:10
27
• Identifi car i tractar tots els requeriments legals i normatius, així com les obligacions
contractuals de seguretat.
• Aplicar correctament tots els controls implantats i mantenir d’aquest forma la seguretat
adequada.
• Fer revisions quan sigui necessari i actuar adequadament segons els resultats que hi hagi.
• Millorar l’efi càcia de l’SGSI on sigui necessari.
Formació i conscienciació
La formació i la conscienciació en seguretat de la informació són elements bàsics perquè tingui
èxit un SGSI. Per això, la direcció ha d’aconseguir que tot el personal de l’organització al qual
s’assignen responsabilitats defi nides en l’SGSI estigui prou capacitat:
• Ha de determinar les competències necessàries per al personal que fa tasques en l’aplicació
de l’SGSI.
• Ha de satisfer aquestes necessitats per mitjà de formació o d’altres accions, com, per
exemple, contractació de personal ja format.
• Ha d’avaluar l’efi càcia de les accions dutes a terme.
• Ha de mantenir registres d’estudis, formació, habilitats, experiència i qualifi cació.
A més, la direcció ha de fer que tot el personal rellevant estigui conscienciat de la importància
que tenen les seves activitats de seguretat de la informació i de com contribueix a la consecució
dels objectius de l’SGSI.
Revisió de l’SGSI
A la direcció de l’organització se li assigna també la tasca de, almenys una vegada a l’any,
revisar l’SGSI, per assegurar-se que continua essent adequat i efi caç. Per fer-ho, ha de rebre una
sèrie d’informacions que l’ajudin a prendre decisions, entre les quals hi pot haver les següents:
• Resultats d’auditories i revisions de l’SGSI.
1209-51168-52172 Guia ISO 27001.indd 271209-51168-52172 Guia ISO 27001.indd 27 30/09/10 10:1030/09/10 10:10
28
• Observacions de totes les parts interessades.
• Tècniques, productes o procediments que puguin ser útils per millorar el rendiment i l’efi càcia de l’SGSI.
• Informació sobre l’estat d’accions preventives i correctives.
• Vulnerabilitats o amenaces que no siguin tractades adequadament en avaluacions de riscs anteriors.
• Resultats dels mesuraments d’efi càcia.
• Estat de les accions iniciades arran de revisions anteriors de la direcció.
• Qualsevol canvi que pugui afectar l’SGSI.
• Recomanacions de millora.
Basant-se en totes aquestes informacions, la direcció ha de revisar l’SGSI i prendre decisions i
accions relatives a:
• Millora de l’efi càcia de l’SGSI.
• Actualització de l’avaluació de riscs i del pla de tractament de riscs.
• Modifi cació dels procediments i dels controls que afectin la seguretat de la informació, en
resposta a canvis interns o externs en els requisits de negoci, requeriments de seguretat,
processos de negoci, marc legal, obligacions contractuals, nivells de risc i criteris
d’acceptació de riscs.
• Necessitats de recursos.
• Millora de la forma de mesurar l’efectivitat dels controls.
2.5 S’integra un SGSI en altres sistemes de gestió?
Un SGSI és bàsicament un sistema de gestió, és a dir, una eina de la qual disposa la gerència
per dirigir i controlar un determinat àmbit, en aquest cas la seguretat de la informació.
1209-51168-52172 Guia ISO 27001.indd 281209-51168-52172 Guia ISO 27001.indd 28 30/09/10 10:1030/09/10 10:10
29
La gestió de les activitats de les organitzacions es du a terme cada vegada més sovint segons
sistemes de gestió basats en estàndards internacionals: es gestiona la qualitat segons la
norma ISO 9001, l’impacte mediambiental segons la norma ISO 14001 o la prevenció de riscs
laborals segons l’OHSAS 18001. Ara, s’hi afegeix la norma ISO 27001 com a estàndard de
gestió de seguretat de la informació.
Les empreses tenen la possibilitat d’implantar un nombre variable d’aquests sistemes de gestió
per millorar l’organització i els benefi cis sense imposar una càrrega a l’organització.
L’objectiu darrer hauria de ser arribar a un únic sistema de gestió que prevegi tots els aspectes
necessaris per a l’organització basant-se en el cicle PDCA de millora contínua comú a tots aquests
estàndards. Les facilitats per integrar les normes ISO són evidents si se’n consulten els annexos.
La norma ISO 27001 detalla en l’annex C la correspondència entre aquesta norma i les normes
ISO 9001 i ISO 14001. S’hi observa la gran correlació que hi ha i es pot intuir la possibilitat
d’integrar el sistema de gestió de seguretat de la informació en els sistemes de gestió que ja hi
hagi en l’organització. Alguns punts que suposen una novetat en la norma ISO 27001 enfront
d’altres estàndards són l’avaluació de riscs i l’establiment d’una declaració d’aplicabilitat (SOA),
encara que ja es planteja incorporar aquests a la resta de normes en un futur.
2.6 Benefi cis d’implantar un SGSI
• Establiment d’una metodologia de gestió de la seguretat clara i estructurada.
• Reducció del risc de pèrdua, robatori o corrupció d’informació.
• Els clients tenen accés a la informació mitjançant mesures de seguretat.
• Els riscs i els controls d’aquests riscs són revisats contínuament.
• Confi ança de clients i socis estratègics per la garantia de qualitat i confi dencialitat comercial que s’ofereix.
• Les auditories externes ajuden cíclicament a identifi car les debilitats del sistema i les àrees que cal millorar.
1209-51168-52172 Guia ISO 27001.indd 291209-51168-52172 Guia ISO 27001.indd 29 30/09/10 10:1030/09/10 10:10
30
• Possibilitat d’integrar-se amb altres sistemes de gestió (ISO 9001, ISO 14001, OHSAS 18001…).
• Continuïtat de les operacions necessàries de negoci després d’incidents de gravetat.
• Conformitat amb la legislació vigent sobre informació personal, propietat intel·lectual i d’altres.
• Imatge d’empresa en l’àmbit internacional i element diferenciador de la competència.
• Confi ança i regles clares per a les persones de l’organització.
• Reducció de costs i millora dels processos i servei.
• Augment de la motivació i satisfacció del personal.
• Augment de la seguretat basada en la gestió de processos i no en la compra sistemàtica de productes i tecnologies.
2.7 Aspectes clau
Fonamentals
• Compromís i suport de la direcció de l’organització.
• Defi nició clara d’un abast apropiat.
• Conscienciació i formació del personal.
• Avaluació de riscs exhaustiva i adequada a l’organització.
• Compromís de millora contínua.
• Establiment de polítiques i normes.
• Organització i comunicació.
• Integració de l’SGSI en l’organització.
Factors d’èxit
• La conscienciació de l’empleat vers la seguretat. Aquest és el principal objectiu que s’ha
d’aconseguir.
1209-51168-52172 Guia ISO 27001.indd 301209-51168-52172 Guia ISO 27001.indd 30 30/09/10 10:1030/09/10 10:10
31
• Creació de comitès de direcció amb descobriment continu de no-conformitats o accions de millora.
• Creació d’un sistema de gestió d’incidències que reculli notifi cacions contínues dels usuaris (els incidents de seguretat han de ser reportats i analitzats).
• La seguretat absoluta no existeix, es tracta de reduir el risc a nivells assumibles.
• La seguretat no és un producte, és un procés.
• La seguretat no és un projecte, és una activitat contínua, i el programa de protecció necessita el suport de l’organització perquè tingui èxit.
• La seguretat ha de ser inherent als processos d’informació i del negoci.
Riscs
• Excés de temps d’implantació: amb els consegüents costs descontrolats, desmotivació, allunyament dels objectius inicials, etc.
• Temor davant el canvi: resistència de les persones.
• Discrepàncies en el comitès de direcció.
• Delegació de totes les responsabilitats en departaments tècnics.
• No assumpció que la seguretat de la informació és inherent als processos de negoci.
• Plans de formació i conscienciació inadequats.
• Calendari de revisions que no es puguin complir.
• Defi nició poc clara de l’abast.
• Excés de mesures tècniques en detriment de la formació, la conscienciació i les mesures de tipus organitzatiu.
• Falta de comunicació dels progressos al personal de l’organització.
Consells bàsics
• Mantenir la senzillesa i restringir-se a un abast manejable i reduït: un centre de treball, un procés de negoci clau, un sol centre de procés de dades o una àrea sensible concreta.
1209-51168-52172 Guia ISO 27001.indd 311209-51168-52172 Guia ISO 27001.indd 31 30/09/10 10:1030/09/10 10:10
32
Una vegada aconseguit l’èxit i observats els benefi cis, s’hauria d’ampliar gradualment l’abast en fases successives.
• Comprendre detalladament el procés d’implantació: no s’ha d’iniciar basant-se en qüestions exclusivament tècniques, ja que és un error freqüent que ràpidament sobrecarrega de problemes la implantació, s’ha d’adquirir experiència d’altres implantacions i cal assistir a cursos de formació o disposar de l’assessorament de consultors externs especialitzats.
• Gestionar el projecte fi xant les diferents fi tes amb objectius i resultats.
• L’autoritat i el compromís decidit de la direcció de l’empresa —fi ns i tot si a l’inici es restringeix a un abast reduït— evitaran moltes d’excuses per desenvolupar les bones pràctiques, a més de ser un dels punts fonamentals de la norma.
• La certifi cació com a objectiu: encara que es pot aconseguir la conformitat amb la norma sense certifi car-se, la certifi cació d’un tercer assegura un millor enfocament, un objectiu més clar i tangible i, per tant, millors opcions d’aconseguir l’èxit.
• No reinventar la roda: encara que l’objectiu sigui la norma ISO 27001, és bo obtenir informació relativa a la gestió de la seguretat de la informació d’altres mètodes i marcs reconeguts.
• Servir-se del sistema ja implantat: altres estàndards com la norma ISO 9001 són útils com a estructura de treball, estalvien temps i esforç i creen sinergies; és convenient demanar ajuda i implicar-hi auditors interns i responsables d’altres sistemes de gestió.
• Reservar la dedicació necessària diària o setmanal: el personal involucrat en el projecte ha de ser capaç de treballar amb continuïtat en el projecte.
• Registrar evidències: han de recollir-se evidències almenys tres mesos abans de l’intent de certifi cació per demostrar que l’SGSI funciona adequadament.
3. EXEMPLES PRÀCTICS DE PROCEDIMENTS
A continuació, es presenten una sèrie de procediments de seguretat de la informació, els quals
asseguren que es fa de forma efi caç la planifi cació, la gestió i el control dels processos de
seguretat de la informació. Són procediments implantats en diferents organitzacions i que han
superat amb èxit les auditories de distintes entitats certifi cadores
1209-51168-52172 Guia ISO 27001.indd 321209-51168-52172 Guia ISO 27001.indd 32 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 32 Gestió d’incidents de seguretat de la informació i millores Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 d’1
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Minimitzar els danys provocats per incidències de seguretat i pel mal funcionament, controlar-los i aprendre’n 01 02 / 07 Edició inicial
Qualsevol usuari Personal d’IT Empresa externa demanteniment
Entrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
1. Qualsevol persona de l’organització que tingui una incidència de tipus informàtic (tant de maquinari com de programari) i no la pugui resoldre per mitjans propis pot fer arribar al responsable de manteniment informàtic la incidència per correu electrònic, SMS, telèfon, o qualsevol altre canal que consideri adequat. Quan la comunicació és per fallades del programari., s’han d’anotar els símptomes del problema i tots els missatges que apareguin en pantalla.
2. Cal avaluar la incidència segons el criteri del responsable de manteniment d’IT, el qual li donarà una prioritat (des d’immediata a uns quants dies) per resoldre-la.Si la incidència és molt greu o es repeteix diverses vegades (entre 3 i 5 vegades), el responsable d’IT podria considerar oportú obrir una no conformitat segons el procés PG no conformitats, accions correctores i preventives.Cal recopilar totes les proves necessàries per resoldre la incidència.
4. S’ha d’avisar una empresa externa de manteniment informàtic que estigui dins la llista de proveïdors aprovats (vegeu el procediment d’avaluació) i amb la qual es tingui un contracte de confi dencialitat (vegeu el procediment PE-03-INF seguretat en els accessos de terceres parts).
5. S’han de recopilar les proves que es consi-derin oportunes per resoldre la incidència
Nota: Tots els empleats han de conèixer els procediments per informar dels distints tipus d’incidències (fallada de seguretat, amenaça, debilitat o mal funcionament) que puguin tenir impacte en la seguretat dels actius de l’organització.
Cal informar el departament d’informàtica de qualsevol incidència observada o sospitada tan aviat com sigui possible.
Els empleats que cometin infraccions en matèria de seguretat han de ser amonestats segons decideixi el comitè de direcció o de seguretat de la informació.
1. Noconformitat
6. Albarà
12. pessuposts
Comunicar laincidència
mitjançant NC1
Compatibilitat i Informàtica 2
Hi ha contracte?
Resoldre laincidència 5
No
No
No
No
Sí
Sí
Sí
Sí
Signar albarà iquedarse-se’n
una còpia6
Avisar l’empresa externa
4
Fi del procés 7Resoldre
la incidència 16
Cal ajuda externa?
3
Cal material?
10
Calenpressuposts
11
Demanar tres pressupots12
Rebre autorització de direcció 13
Comprar material14
Desplaçar-se al lloc de la incidència 15
3.1 Gestió d’incidents de seguretat de la informació i millores
Es potsolucionaren remot?
8
Resoldrela incidència 9
1209-51168-52172 Guia ISO 27001.indd 331209-51168-52172 Guia ISO 27001.indd 33 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 33 Còpies de seguretat i recuperació d’arxius Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 d’1
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Mantenir la integritat i la disponibilitat dels serveis de tractament de la informació i la comunicació 01 02 / 07 Edició inicial
Usuaris Responsable del manteniment informàticEntrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
1. Reglament de mesures de seguretat dels fi txers automatitzats que continguin dades de caràcter personal
2. Cinta del dia anterior
1. La informació de la qual es fa còpies a les cintes de seguretat és la del servidor principal, que és la que s’ha considerat que té importància per al negoci.
3. Cada dia es comprova que el programa s’ha executat correctament i s’anota a mà la comprovació.
5. Qualsevol persona de l’organització que tingui una incidència sobre recuperació d’algun arxiu eliminat accidentalment pot fer arribar al responsable de manteniment informàtic la incidència segons allò que s’ha descrit en el procés PTI-01-INF de resposta davant incidències i mals funcionaments de la seguretat.
11. Les ajudes de suports s’han de prova manualment quan sigui factible, a fi d’asse-gurar que són fi ables quan sigui necessari usar-los en cas d’emergència. També s’han de comprovar regularment els procediments de recuperació per assegurar que són efi caços i que poden complir-se en el temps establert en els procediments operatius de recuperació.
3. Cinta del dia en curs
5. No conformitat
11. Registre de comprovacions
Guardar la cinta a lacaixa forta
4
No
Sí
Sol·licitut aldepartament deTI mitjançant NC
Fi del procés 10Fer comprovacions
mensuals 11
3.2 Còpies de seguretat i recuperació d’arxius
Necessitat de fercòpies de seguretat 1
Cada matí, llevar la cintadel dia anterior
2
Introduir la cinta del dia encurs i fer la comprovació
3
Cercar la cinta del dia anterior
6
Introduir la cinta en el servidos
7
Comprovar la fi abilitat delfi txer de la cinta
8
Restablir el fi txer sol·licitat9
Cal restablircap fitxer?
5
1209-51168-52172 Guia ISO 27001.indd 341209-51168-52172 Guia ISO 27001.indd 34 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 34 Seguretat en els accessos de terceres parts Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 d’1
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Mantenir la seguretat que terceres parts puguin accedir als recursos de tractament de la informació i dels actius d’informació de l’organització 01 02 / 07 Edició inicial
Personal d’empreses col·laboradores i visitants Director d’TI
Entrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
9. Contracte tipus
1. Els tercers que treballen en l’organització de forma temporal també poden augmentar les debilitats de la seguretat. Exemples de tercers serien:a) El personal de manteniment i suport de maquinari i programari.b) Els serveis de suport externalitzats de neteja, vigilància i d’altres.c) Els estudiants en pràctiques o amb altres contractats per temps limitat.
5. Es consideren aquests tipus d’accés:a) Accés físic, per exemple, a despatxos, magatzem, etc.b) Accés lògic, per exemple, a bases de dades o a sistemes d’informació de l’orga-nització.
Motius d’accés. Hi ha tercers que han de tenir accés físic i lògic perquè donen servei a l’empresa, sense estar-hi instal·lats, per exemple:a) El personal de suport al maquinari i al programari requereix accés en el nivell del sistema o de les funcionalitats de baix nivell de les aplicacions.b) Els associats o partícips en el negoci que han d’intercanviar informació, accedir als sistemes d’informació o compartir bases de dades.
2 i 5. Identifi cació i avaluació de riscs relatius a parts externes
8. Clàusules establertes en les ofertes
8. Contracte signat
No
Sí
Sí
3.3 Seguretat en els accessos de tercers
Identifi car el tipus d’accés4
Avaluar el riscs4
Implantar els controls8
Té dret d’accés? 2
Cal aplicar controls? 6
Identifi car els controlsque cal aplicar
7
Accedir a lainformació 3
Accedir a lainformació 9
1Necessitat d’accedir
fisicament o lògicament a la informació
No
1209-51168-52172 Guia ISO 27001.indd 351209-51168-52172 Guia ISO 27001.indd 35 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 de 2
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial
Tot el pesonal Responsable del manteniment informàticEntrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
2. L’àlies de l’usuari es construeix utilitzant els criteris següents:
Grandària mínima: 3 caràcters. Grandària màxima: 14 caràcters. Primera inicial del nom. Primera inicial del segon nom (si és compost). Primer cognom complet. Els caràcters amb accent són substituïts pel mateix caràcter sense accent. El caràcter ñ és substituït per la lletra n. No es consideren els enllaços, per exemple, en el nom Maria dels Horts no es té en compte dels.Si dues o més persones tenen el mateix identifi cador d’usuari, cal afegir a la segona persona i següents un dígit diferenciador: 2, 3, 4, etc.
Els confl ictes no aclarits per les regles anteriors seran resolts a criteri de la persona que sol·licita el compte o dels serveis infor-màtics. En cas de combinacions que derivin en paraules malsonants, es pot sol·licitar el canvi d’identifi cador d’usuari.
4. Hi ha diversos tipus de privilegis, els més habituals són el d’administrador per a personal d’IT i usuaris per a tots els altres treballadors i directius.
6. Se’ls proporciona inicialment una contra-senya temporal segura que forçosament hagin de canviar immediatament després.
S’ha d’establir un conducte segur per fer arribar les contrasenyes temporals als usuaris. S’hauria d’evitar enviar-les mitjançant tercers o missatges no xifrats de correu electrònic.
10. Per mantenir un control efectiu de l’accés a les dades i als serveis d’informació, s’ha de fer una revisió periòdica dels drets d’accés dels usuaris. a) Revisar els drets d’accés dels usuaris a intervals de temps regulars (es recomana cada sis mesos). b) Revisar més sovint (es recomana cada tres mesos) les autoritzacions de drets d’accés amb privilegis especials.c) Comprovar les assignacions de privi-legis a intervals de temps regulars per assegurar que no s’han obtingut privilegis no autoritzats.
4 i 12. Gestió de drets d’accés d’usuaris
8 i 16. Lliurament de la política, les contrasenyes i el compromís de secret
Modificació
Alta de nou usuari
3.4 Gestió d’accessos, privilegis i contrasenyes d’usuaris
Assignar contrasenyatemporal
5
Assignar contrasenyatemporal
6
Entregar documentde drets d’accés,
lliurament de contrasenyai compromís de secret
7
Signar el justifi cant derecepció de drets d’accés,
lliurament de la contrasenya i compromís de secret
8
Canviar la contrasenya9
Eliminar permisosd’usuari
12
Modifi car el registre dedrets d’accés 10
Revisar periòdicamentels drets d’accés
11
1Necessitat de gestionar
altes i modificacionsd’accessos, privilegis i/o
contrasenyes
Proporcionar àlies de nou usuari
3
Assignar privilegis ianotar-ho en el registre
4
Quina gestió és?2
A
Baixa d’usuari
1209-51168-52172 Guia ISO 27001.indd 361209-51168-52172 Guia ISO 27001.indd 36 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 2 de 2
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial
Tot el pesonal Responsable del manteniment informàticEntrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
15. També es proporcionen contrasenyes temporals quan un usuari oblida la seva, però només després d’haver-ne fet una identifi cació positiva.
17. Gestió de drets d’accés d’usuaris
Contrasenya
Privilegis
Revisar periòdicamentels drets d’accés
18
De quinamodificació es
tracta?
A
Permisos d’accés
12
Assignar privilegis14
Assignar permisosd’accés
13
Modifi car el registrede drets d’accés
17
Assignar una contrasenya temporal
15
Canviar la contrasenya16
1209-51168-52172 Guia ISO 27001.indd 371209-51168-52172 Guia ISO 27001.indd 37 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 36 Instal·lació i protecció d’equips Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 d’1
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Evitar pèrdues i danys, comprometre els actius o interrompre les activitats, i protegir la integritat del programari i de la informació 01 02 / 07 Edició inicial
Responsable del manteniment informàticEntrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
1. Manual per instal·lar un ordinador nou
5. Política sobre les llicències de programari i copyrights
1. L’equip hauria de col·locar-se i protegir-se de manera que es redueixi el risc d’ame-naces de l’entorn, així com les oportunitats d’accessos no autoritzats. S’haurien de considerar els controls següents:
a) Els equips s’haurien de situar on es minimitzin els accessos innecessaris a les àrees de feina.
b) Els equips de tractament i emmagatze-matge d’informació que manegen dades sensibles s’han d’instal·lar on es redueixi el risc que altres vegin els processos mentre s’usen.
c) Els elements que requereixin protecció especial s’han d’aïllar per reduir el nivell general de protecció requerit.
d) S’han d’adoptar mesures per minimitzar els riscs de possibles amenaces, com ara: robatori, incendi, explosius, fum, aigua (o fallada de subministrament), pols, vibra-cions, agents químics, interferències en el subministrament elèctric i radiacions electromagnètiques.
5. S’ha d’instal·lar la darrera actualització de Windows juntament amb totes les actua-litzacions de seguretat disponibles en el moment en el servidor de Microsoft. (Vegeu la política sobre les llicències de programari i copyrights.)
11. La llista de programes que s’instal·len comunament són els que estan descrits en el document gestió d’usuraris i privilegis.
Tot programari que s’usa a l’empresa per a fi ns administratius o comercials té llicència. El nombre de llicències es correspon amb el nombre d’usuaris simultanis.
Per descomptat, pot usar-se en equips programari lliure (Open Source, Freeware, etc.).
5. Llicències de programari i copyrights
3.5 Instal·lació i protecció d’equips
Fi del procés 11
1Necessitat de donar
d’alta un lloc de feina
Comprovar si els discs durstenen particions
2
Instal·lar componentsnecessaris per al funcionament
3
Instal·lar impressores4
Instal·lar programesinformàtics
5
Instal·lar el sistema operatiui les actualitzacions
6
Instal·lar la xarxa interna7
Fer petició d’entrada de domini i d’antivirus
8
És unnou usuari? 9
Activar el PTI-04-INFde gestió d’accessos,
privilegis i contrasenyesd’usuaris
10
No
Sí
1209-51168-52172 Guia ISO 27001.indd 381209-51168-52172 Guia ISO 27001.indd 38 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 37 Inventari d’actius, classifi cació i tractament de la informació Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 de 2
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Mantenir una protecció adequada sobre els actius i la informació 01 02 / 07 Edició inicial
Coordinador de l’SGSIEntrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
1. ISO 17799:2005
1. ISO 27.001:2005
5, 6 i 7. Annex 1 sobre valoració d’actius
1. S’han categoritzat 6 tipus d’actius:
1. Tangibles-maquinari (actius físics): equip de tractament (processadors, monitors, portàtils, mòdems), equips de comunica-cions (routers, centrals digitals, màquines de fax), mitjans magnètics (discs i cintes), etc.2. Programari: programari d’aplicació, programari del sistema, eines i programes de desenvolupament.3. Persones: personal de l’organització (tot el personal implicat i proveïdors).4. Informació: actius de dades i informació, documentació pública, arxius per custodiar.5. Subministraments (Internet, llum, telefonia, etc.).6. Altres (reputació, web, etc.).
2. La responsabilitat sobre els actius ajuda a assegurar que es manté la protecció adequada. S’identifi quen els propietaris (responsables) de tots els actius importants.
Per conèixer els drets d’accés als actius que es refereixen a dades, vegeu: Paper: vegeu el registre de llista de registres.Electrònic: vegeu el registre de gestió de drets d’accés d’usuaris.
8. La llista d’actius l’ha de revisar en la reunió de revisió la direcció.
Actius organitzatius: qualsevol element que representi un valor per a l’empresa.
6. Inventari d’actius, classifi cació i tractament de la informació
3.6 Inventari d’actius, classifi cació i tractament de la informació
1Identificar un possibleactiu de l’organització
Asignar un responsablea aquest actiu
2
No
Sí
Valorar l’impacte enl’organització i/o el valor d’ús
3
Valorar el cost de reposicióde l’actiu
4
Calcular la qualifi cació5
Es modifical’avaluació de risc? 6
Activar/revisar el procés PTI-04-INF
de gestió iavaluació de riscs
7
Revisar periòdicamentla classificació
8
1209-51168-52172 Guia ISO 27001.indd 391209-51168-52172 Guia ISO 27001.indd 39 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 37 Inventari d’actius, classifi cació i tractament de la informació Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 2 de 2
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Mantenir una protecció adequada sobre els actius i la informació 01 02 / 07 Edició inicial
Valoració d’actius
Subestat: Impacte en l’organització i/o valor d’ús: d’1 a 5 (de molt baix a molt alt)Subestat: Cost de reposició de l’actiu: d’1 a 5 (de menys de 100 euros a més de 1000.000 euros)A continuació, hi ha una taula amb el resum de les mètriques utilitzades:
Resum i nivell de criticitat fi nal
Escala Valor de l’actiu Nivell de criticitat fi nal
1-3 Molt baix 1
4-5 Baix 2
6-10 Mitjà 3
11-19 Alt 4
20-25 Molt alt 5
Cost de reposició (en euros)
<100De 100a 1.000
De 1.000a 10.000
De 10.000a 100.000
>100.000
Escala 1 2 3 4 5
Imp
acte
i/o
val
or
d’ú
s Molt baix 1 1 1 3 4 5
Baix 2 2 4 6 8 10
Mitjà 3 3 6 9 12 15
Alt 4 4 8 12 16 20
Molt alt 5 5 10 15 20 25
1209-51168-52172 Guia ISO 27001.indd 401209-51168-52172 Guia ISO 27001.indd 40 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 38 Acabament del lloc de feina i eliminació de suports Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 d’1
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Assegurar que els empleats, contratistes i usuaris de tercera part surtin de l’organització o caviïn de lloc de feina d’una manera ordenada 01 02 / 07 Edició inicial
Personal InformàticEntrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
6. Lliurament de la política, les contrasenyes i el compromís de secret
5. S’han d’utilitzar procediments formals per desfer-se d’una manera segura dels suports (discs durs de PC i portàtils, memòries USB, CD, etc.) i s’ha de tractar de minimitzar el risc de perdre informació sensible a la qual puguin accedir persones no autoritzades.Abans d’eliminar tots els elements de l’equip que continguin mitjans d’emmagatzematge, s’ha de comprovar que totes les dades sensibles i el programari amb llicència s’ha esborrat o sobreescrit. Els dispositius que continguin informació han de ser destruïts físicament o bé la informació ha de ser destruïda, esborrada o sobreescrita mitjançant tècniques que no facin possible recuperar la informació original, en comptes d’utilitzar un esborrat normal o un formatat.
6. La llista d’actius per tornar pot incloure:Claus d’accésMòbil d’empresaPortàtilsManuals i documentacióEtc.
Nota: Els drets d’accés als actius d’infor-mació i als recursos de tractament de la informació haurien de ser reduïts o retirats abans d’acabar o canviar la contractació, depenent de l’avaluació de factors de risc, com ara:
a) Si l’acabament o el canvi és d’iniciativa de l’empleat, el contractista o l’usuari de tercera part, o d’iniciativa de la direcció, així com la raó de l’acabament.
b) Les responsabilitats que té l’empleat, el contractista o qualsevol altre usuari.
c) El valor dels actius accessibles en el moment.
6. Lliurament de la política, les contrasenyes i el compromís de secret
3.7 Acabament del lloc de feina i eliminació de suports
Acabament o canvid’un lloc de feina
1
Tomar els actius quesiguin necessaris
4
Emplenar l’imprèsde devolució d’actius i
de compromís de secret5
Activar el PTI-04-INF degestió d’accessos, privilegis
i contrasenyes d’usuaris3
És unabaixa d’usuari?
Hi ha pecesreutilitzables?
És un disc peremmagatzemar
dades?
És unacomiadament?
Signar la cartad’acomiadament
2
Emmagatzemarles peces
8
Formatar el disc7
Modificar l’inventari 9
Destruir-lo en unpunt ecològic
6
Hi ha unabaixa d’un
equip?
Fi del procés 10
No
No
No
No
No
Sí
Sí
Sí
Sí
Sí
1209-51168-52172 Guia ISO 27001.indd 411209-51168-52172 Guia ISO 27001.indd 41 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 39 Gestió i avaluació de riscs Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 1 de 3
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Analitzar, avaluar i tractar els riscs de seguretat de la informació de l’organització 01 02 / 07 Edició inicial
Comitè de seguretat de la informació DireccióEntrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
1. PTI-07-INF d’inventari d’actius, classifi cació i tractament de la informació
4, 5, 6. Annex 1: Criteris d’acceptació dels riscs i identifi cació dels nivells acceptables per al risc
11. ISO 17799:2005
1. S’han identifi cat 6 categories d’actius:• Tangibles• Persones• Serveis• Programari• Informació• Altres
2. Les amenaces són els esdeveniments que poden desencadenar un incident en l’orga-nització i produir danys materials o pèrdues immaterials en els seus actius. La conse-qüència de l’amenaça, si es materialitza, és un incident que modifi ca l’estat de seguretat dels actius amenaçats. És a dir, fa passar l’actiu d’un estat inicial anterior conegut a un altre de posterior que pot ser no desitjable.
3. La vulnerabilitat d’un actiu és la potenci-alitat o la possibilitat que es materialitzi una amenaça sobre l’actiu. Una vulnerabilitat és una debilitat o un forat en la seguretat de la informació d’una amenaça. En si mateixa no causa cap dany, sinó que és una condició o un conjunt de condicions que poden permetre que una amenaça afecti un actiu. Es tracta d’una propietat de la relació entre un actiu i una amenaça que si no es gestiona adequadament permet que l’amenaça es materialitzi.
Nota: Per fer l’avaluació, s’ha utilitzat la llista de vulnerabilitats (i amenaces) típiques segons la norma UNE71501-3:2001 IN.
4, 5, 6. Per avaluar el risc, vegeu l’annex 1: Criteris d’acceptació dels riscs i identifi cació dels nivells acceptables per al risc.
8. Els objectius del control i els controls llistats en l’annex A de la norma ISO 27001 han de ser seleccionats com a part d’aquest procés i d’una manera adequada per cobrir els requisits identifi cats. L’annex A conté una llista dels objectius del control i els controls que en general han estat trobats importants en les organitzacions.
1. Inventari d’actius
3.8 Gestió i avaluació de riscs
Identificar els actius 1
Avaluar l’actiu següent 7
El nivell derisc és acceptable?
Quin tractamentde risc aplicam?
Identifi car les amenacesdels actius
2
Valorar la probabilitatd’ocurrència
4
Valorar l’impacte enl’organització
5
Calcular el nivell de risc6
Implantar controls8
Trac
tam
ent d
el r
isc
Ava
luac
ió d
el r
isc
Anà
lisi d
el r
isc
Evitar el risc9
Identifi car lesvulnerabilitats
d’aquests actius 3
Transferir el risc10
Acceptar el risc 11
Planifi car controls12
A
1209-51168-52172 Guia ISO 27001.indd 421209-51168-52172 Guia ISO 27001.indd 42 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 39 Gestió i avaluació de riscs Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 2 de 3
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Analitzar, avaluar i tractar els riscs de seguretat de la informació de l’organització 01 02 / 07 Edició inicial
Comitè de seguretat informàtica DireccióEntrades: documentsde referència, dades,
materials, etc.Informació complementària / observacions
Sortides: resultatsparcials o fi nals
*Registres per archivar
17. Formular un pla de tractament del risc que identifi qui les accions de gestió apropiades, els recursos, les responsabilitats i les prioritats per gestionar els riscs de seguretat de la informació.
18. Cal mesurar l’efi càcia dels controls per comprovar que s’han complert els requisits de seguretat.
19. Es farà o s’actualitzarà la declaració d’aplicabilitat, que inclou el següent:a) Els objectius de control i els controls seleccionats i les raons d’aquesta selecció.b) Els objectius de control i els controls implantats en el seu moment.c) L’exclusió de qualsevol control objectiu del control i de qualsevol control, i la justifi cació de l’exclusió.
20. Cal revisar les anàlisis del risc i els riscs residuals així com els nivells acceptables del risc en la revisió anual del sistema, tenint en compte canvis en:a) L’organitzaciób) La tecnologiac) Els objectius i els processos del negocid) Les amenaces identifi cadese) L’efi càcia dels controls implantats
15. Informe de l’anàlisi del risc
16. Pla de tractament de riscs
20. Selecció de controls ISO 27.001 (SOA)
Rev
isió
del
ris
cTr
acta
men
t del
ris
c
Valorar la probabilitatd’ocurrència
12
Valorar l’impacte enl’organització
13
Fer/actualitzar el pla detractament de riscs
17
Planifi car els indicadors per
mesurar els controls 18
Fer/actualitzar eldocument d’aplicació
de controls 19
Identifi car altrespossibles controls
per implantar 16
Calcular el risc residual14
Aprovar elrisc residual
15
Fer revisionsperiòdiques 20
A
1209-51168-52172 Guia ISO 27001.indd 431209-51168-52172 Guia ISO 27001.indd 43 30/09/10 10:1030/09/10 10:10
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 39 Gestió i avaluació de riscs Compatibilitat i Informàtica
Compatibilitat i Informàtica
Compatibilitat i Informàtica Comitè de l’SGSI Comitè de l’SGSI 3 de 3
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Analitzar, avaluar i tractar els riscs de seguretat de la informació de l’organització 01 02 / 07 Edició inicial
ANNEX 1: Criteris d’acceptació dels riscs i identifi cació dels nivells acceptables per al risc
a) Mètrica de probabilitat
Cal tenir en compte dos tipus de repeticions, quan es manifesta l’amenaça i quan l’amenaça pot aprofi tar una vulnerabilitat.
c) Nivells de risc acceptables
Probabilitat Repetició Puntuació
Ínfi ma Un cop en la vida 1
Poc probable Cada any 2
Probable Cada mes 3
Bastant probable Cada setmana 4
Molt probable Cada dia 5
1-5 Tolerable No fa falta aplicar-hi tractament n fer-ne un seguiment
6-10Tolerableamb reserves
Cal aplicar-hi tractament
11-25 Intolerable Cal aplicar-hi tractament de risc i fer-ne un seguiment
Impacte i/o valor d’ús Cost de reposició Puntuació
Molt baix Menys de 100 € 1
Baix Entre 100 € i 1.000 € 2
Mitjà Entre 1.000 € i 10.000 € 3
Alt Entre 10.000 € i 100.000 € 4
Molt alt Més de 100.000 € 5
Probabilitat
ïnfi maPoc
probableBastant
probableProbable
Moltprobable
1 2 3 4 5
Impacte Molt baix 1 1 1 3 4 5
Baix 2 2 4 6 8 10
Mitjà 3 3 6 9 12 15
Alt 4 4 8 12 16 20
Molt alt 5 5 10 15 20 25
b) Mètrica de l’impacte
En té en compte intrínsicament la valoració del temps de reposició, pèrdua de reputació, etc.
d) Tractament del risc• Implantar controls• Evitar el risc• Transferir el risc• Acceptar el risc
e) Resum de la valoració del risc
1209-51168-52172 Guia ISO 27001.indd 441209-51168-52172 Guia ISO 27001.indd 44 30/09/10 10:1030/09/10 10:10
45
4. EXEMPLES PRÀCTICS DE DOCUMENTACIÓ
4.1 Exemple d’un índex de polítiques de seguretat de la informació
Les polítiques de seguretat de la informació són una sèrie de normes i recomanacions que
pretenen regular el bon ús, la disponibilitat i el nivell de servei dels recursos informàtics d’una
organització. S’apliquen a totes les persones que hi estan vinculades, tant si és personal
de suport, personal d’administració, equip directiu, becaris, etc., com si és qualsevol altra
entitat externa que utilitzi els recursos de l’empresa (proveïdors informàtics, consultors,
auditors, etc.). S’haurien d’entregar a totes aquestes persones, que les haurien de signar
com a prova que n’accepten el contingut. A continuació, hi ha un exemple d’un índex típic
de polítiques de seguretat de la informació.
1 Índex
2 Objectiu
3 Àmbit d’aplicació
3.1 Agents als quals s’aplica aquesta política
3.2 Recursos als quals es refereix aquesta política
3.3 Aspectes normatius i reglamentaris
4 Justifi cació
4.1 Què és la seguretat de la informació?
4.2 Per què és necessària la seguretat de la informació?
5 Polítiques de bones pràctiques de seguretat de la informació
5.1 Procés d’autorització de recursos per al tractament de la informació (6.1.4)
5.2 Ús acceptable dels actius (7.1.3)
5.3 Extracció de pertinences (9.2.7)
5.4 Drets de propietat intel·lectual (IPR) (15.1.2)
1209-51168-52172 Guia ISO 27001.indd 451209-51168-52172 Guia ISO 27001.indd 45 30/09/10 10:1030/09/10 10:10
46
5.5 Controls contra el codi maliciós (10.4)
5.6 Correu electrònic i enviament de missatges (10.8.4)
5.7 Sistemes d’informació del negoci (10.8.5)
5.8 Política de pantalles i taules d’escriptori netes o «sense papers» (11.3.3)
5.9 Política d’ús dels serveis de xarxa (11.4.1)
5.10 Sistema de gestió de contrasenyes (11.5.3)
5.11 Ordinadors i comunicacions mòbils (11.7.1)
5.12 Teletreball (11.7.2)
5.13 Procés disciplinari (8.2.3)
5.14 Seguretat dels equips fora dels locals de l’organització (9.2.5)
6 Altres polítiques de seguretat de la informació (16.1.1)
4.2 Exemple d’un índex de manual de seguretat física i de l’entorn
L’objectiu del manual és evitar accessos no autoritzats, danys i interferències contra els
locals i la informació de l’organització
Es tracta de complir, entre d’altres, els dominis de control A.9.1 Àrees segures, A.9.2
Seguretat dels equips i altres controls derivats del Codi de bones pràctiques per a la gestió
de la seguretat de la informació (ISO 27002)
El manual de seguretat física i de l’entorn és un tutorial dedicat a la seguretat física de
sistemes que intenta aclarir termes i tècniques en aquesta àrea de la seguretat informàtica
i de la informació.
El manual tracta de la seguretat física dels sistemes informàtics (ordinadors, maquinari
de xarxa, dispositius electrònics, etc.), de tot l’entorn que els envolta al lloc on es troben
ubicats (edifi ci, sistemes elèctrics, seguretat dels panys, etc.) i de les persones que estan
1209-51168-52172 Guia ISO 27001.indd 461209-51168-52172 Guia ISO 27001.indd 46 30/09/10 10:1030/09/10 10:10
47
encarregades de vigilar-los o de vigilar l’accés a aquests sistemes informàtics (administradors,
personal extern, vigilants, etc.). Tot aquest entorn confi gura la seguretat física.
S’han posat entre parèntesis els punts de la norma ISO 27002.
1 Índex
2 Objectiu
3 Abast
3.1 Introducció
3.1.1 Descripció de l’edifi ci
3.1.2 Descripció de la xarxa i dels sistemes
4 Àrees segures (9.1)
4.1 Perímetre de seguretat física (9.1.1)
4.1.1 Accessos físics a la nau
4.2 Controls físics d’entrada (9.1.2)
4.2.1 Càmeres de vigilància
4.2.2 Instal·lació i control de recepció d’alarmes
4.3 Seguretat de les ofi cines, els despatxos i els recursos (9.1.3)
4.3.1 Accés al magatzem
4.4 Protecció contra les amenaces externes i de l’entorn (9.1.4)
4.4.1 Seguretat contra incendis
4.4.2 Plans d’emergència i evacuació del personal
4.5 Treball en àrees segures (9.1.5)
4.6 Àrees d’accés públic, de càrrega i descàrrega (9.1.6)
5 Seguretats dels equips (9.2)
5.1 Instal·lació i protecció d’equips (9.2.1)
5.1.1 Condicions ambientals
1209-51168-52172 Guia ISO 27001.indd 471209-51168-52172 Guia ISO 27001.indd 47 30/09/10 10:1030/09/10 10:10
48
5.1.2 Accés als servidors
5.2 Instal·lacions de subministrament (9.2.2)
5.2.1 Subministraments d’energia de l’edifi ci
5.2.2 Sistema d’alimentació ininterrompuda (SAI)
5.3 Seguretat del cablejat (9.2.3)
6 Altres controls voluntaris (16.1)
6.1 Assegurances (16.2.1)
7 Annex 1 (plànols de les ofi cines)
4.3 Pla de continuïtat del negoci
L’objectiu del pla de continuïtat del negoci és reaccionar a la interrupció de les activitats
empresarials i protegir els processos crítics de negoci dels efectes de catàstrofes o de fallades
importants dels sistemes d’informació, així com garantir-ne la represa.
S’implanta un procés de gestió de la continuïtat del negoci per minimitzar els efectes sobre
l’organització i poder recuperar-se de pèrdues d’actius d’informació (com a resultat, per
exemple, de catàstrofes naturals, accidents, fallades dels equips i accions intencionades) fi ns a
un nivell acceptable mitjançant una combinació de controls preventius i de recuperació.
El procés ha d’identifi car els processos crítics de negoci i integrar els requisits de gestió de
seguretat de la informació per a la continuïtat del negoci amb altres requisits de continuïtat
relacionats amb aspectes com ara les activitats, el personal, els materials, el transport i les
instal·lacions.
La gestió de la continuïtat del negoci inclou controls preventius per identifi car i reduir els riscs, a
més del procés general d’avaluació de riscs; limitar les conseqüències d’incidents danyosos, i
garantir que la informació necessària per als processos empresarials estigui disponible.
1209-51168-52172 Guia ISO 27001.indd 481209-51168-52172 Guia ISO 27001.indd 48 30/09/10 10:1030/09/10 10:10
49
Camp Explicació
1 Succés Nom del succés o esdeveniment
2 Propietari de gestió del pla Responsable de la documentació, implantació, revisió i millora del pla
3 Condicions per activar-loCriteris que determinaran quan és apropiat posar en funcionament el pla o procediment de recuperació
4 Controls preventiusControls tècnics o organitzatius o mitjans humans que s’hi destinaran per evitar que es produeixi el succés o per pal·liar-ne les conseqüències.
5 Pla de contingències
Procediments que permeten la recuperació i la represa de les activitats empresarials, i també la disponibilitat de la informació en les escales temporals requerides.
6 Elements que cal comprovar Vegeu l’apartat «Proves, manteniment i reavaluació dels plans».
Estructura i explicació
Proves, manteniment i reavaluació dels plans
Els plans de continuïtat del negoci han de provar-se i actualitzar-se periòdicament per garantir
que estan al dia i que són efectius.
Els plans de continuïtat del negoci han de garantir que tots els membres de l’equip de recuperació,
així com qualsevol altra persona rellevant, coneixen els plans i la seva responsabilitat per a la
continuïtat del negoci i la seguretat de la informació, i que coneixen les seves funcions quan es
recorre a un pla.
1209-51168-52172 Guia ISO 27001.indd 491209-51168-52172 Guia ISO 27001.indd 49 30/09/10 10:1030/09/10 10:10
50
La programació de les proves del pla o els plans de continuïtat del negoci indiquen quan i com
ha de provar-se cada element del pla. Tots els elements del pla o els plans han de provar-se
amb la freqüència estipulada.
4.4 Exemple d’inventari d’actius, classifi cació i tractament
Segons s’estableix en el punt 4.2.1 d) (1) de la norma ISO 27001 i el punt 7 de la norma 27002,
a continuació es presenta un exemple d’inventari dels actius d’una organització. A cada un s’ha
assignat un responsable i un valor de la manera següent:
Subestat «Valor d’ús»: d’1 a 5 (de molt baix a molt alt)
Prova d’escenari núm. 4 sobre talls de subministrament elèctric
Què cal comprovar Com Qui Quan
Simulacres de talls de subministrament
Pitjar el botó de «Tester» del quadre elèctric.
Comprovar que el SAIS i els equips funcionen.
Comprovar quins elements estan connectats als endolls vermells.
Comprovar que les centraletes de telèfon i d’alarma continuen actives.
Comprovar els llums d’emergència.
Responsablede
mantenimentSemestral
Data Resultats Firma Observacions
1209-51168-52172 Guia ISO 27001.indd 501209-51168-52172 Guia ISO 27001.indd 50 30/09/10 10:1030/09/10 10:10
51
Subestat «Cost de reposició de l’actiu»: d’1 a 5 (de menys de 100 euros a més de 100.000 euros)
A continuació, hi ha una taula amb el resum de les mètriques utilitzades:
Com a actiu, s’entén qualsevol cosa que té valor per a l’organització (ISO/IEC 13335-1:2004). Els
hem classifi cat en sis grups: 1. Tangibles-maquinari, 2. Programari, 3. Persones, 4. Informació,
5. Subministraments i 6. Altres.
Abreviatures utilitzades
Cost de reposició (en euros)
<100De 100a 1.000
De 1.000a 10.000
De 10.000a 100.000
>100.000
Escala 1 2 3 4 5
Valord’ús
Molt baix 1 1 1 3 4 5
Baix 2 2 4 6 8 10
Mitjà 3 3 6 9 12 15
Alt 4 4 8 12 16 20
Molt alt 5 5 10 15 20 25
Impacte l’organització i/o valor d’ús IO
Cost de reposició de l’actiu CR
Qualifi cació QA
1209-51168-52172 Guia ISO 27001.indd 511209-51168-52172 Guia ISO 27001.indd 51 30/09/10 10:1030/09/10 10:10
52
Rev. N Nom de l’actiu Responsable IO CR QA Observacions
01 l1 Documents 5 4 20
01 l2 Documentació pública 2 2 4
01 l3 Documentació reservada i confi dencial (paper) 3 3 9
01 l4 Documentació reservada i confi dencial (digital) 4 3 12
Rev. N Nom de l’actiu Responsable Temps dereposició IO CR QA Observacions
01 S1 Telefonia mòbil 2 1 2
01 S2 Telefonia fi xa 2 1 2
01 S3 Accés a xarxa privada virtual (VPN) 2 2 4
01 S4 ADSL 2 2 4
01 S5 Subministrament elèctric 4 2 8
Rev. N Nom de l’actiu Departament IO CR QA Observacions
01 P1 Persona 1 Departament 1 4 3 12
01 P2 Persona 2 Departament 2 3 3 9
01 P3 Persona 3 Departament 3 4 3 12
01 P4 Persona 4 Departament 4 3 3 9
1. Inventari d’informació
2. Inventari de subministrament
3. Inventari de persones
1209-51168-52172 Guia ISO 27001.indd 521209-51168-52172 Guia ISO 27001.indd 52 30/09/10 10:1030/09/10 10:10
53
Rev. N Nom del’actiu Responsable Quantitat Cost
unitariCosttotal
Temps dereposició IO CR QA Observacions
01 T1 Servidor 5 3 15
01 T2 Servidor 5 3 15
01 T3 Equip delloc de feina 3 2 6
02 T4 Portàtil 2 2 4
01 T5 PDAS 1 1 1
Rev. N Nom de l’actiu Responsablede departament Proveïdor IO CR QA Observacions
01 S1 Programari d’aplicacióde servidor 4 2 8
01 S2 Antivirus 5 3 15
01 S3 Opera 5 3 15
01 S4 Paquet ofi màtic 3 2 6
Rev. N Nom de l’actiu Responsable IO CR QA Observacions
01 O1 Marca i reputació 5 3 15
01 O2 Pàgina web 4 3 12
4. Inventari de tangibles-maquinari
5. Inventari de programari
6. Inventari d’altres
1209-51168-52172 Guia ISO 27001.indd 531209-51168-52172 Guia ISO 27001.indd 53 30/09/10 10:1030/09/10 10:10
54
4.5 Selecció de controls (declaració d’aplicabilitat)
La declaració d’aplicabilitat o selecció de controls és una declaració documentada que descriu
els objectius del control i els controls que són rellevants i aplicables a l’SGSI de l’organització.
L’organització ha de seleccionar els objectius dels controls i els controls per al tractament
dels riscs.
Els objectius dels controls i els controls han de ser seleccionats i implantats per complir els
requisits identifi cats per l’anàlisi de risc i el procés de tractament del risc. Aquesta selecció
ha de tenir en compte el criteri d’acceptació de riscs, així com els requisits legals, regulatoris i
contractuals.
Els objectius del control i els controls llistats han de ser seleccionats com a part d’aquest procés
i d’una manera adequada per cobrir els requisits identifi cats.
Els objectius del control i els controls llistats no tenen caràcter exhaustiu, i es poden seleccionar
també altres objectius del control i altres controls.
S’ha afegit un camp al costat de cada control («estat») per conèixer-ne el grau d’implantació. Hi
ha quatre estats per a la implantació:
En el cas de controls en què l’estat és «programat», cal planifi car-ne la implantació en el document
del pla de tractament del risc, en el qual s’especifi quen els recursos, les responsabilitat i les
prioritats per gestionar els riscs de seguretat de la informació.
1 Implantat
2 Programat
3 No programat
4 No aplicat
1209-51168-52172 Guia ISO 27001.indd 541209-51168-52172 Guia ISO 27001.indd 54 30/09/10 10:1030/09/10 10:10
A.5 Política de seguretat
A.5.1 Política de seguretat de la informació
OBJECTIU: Dirigir i donar suport a la gestió de la seguretat de la informació d’acord amb els requisits del negoci i amb la legislació i la regulació aplicables.
A.5.1.1 Document de política de seguretat de la informació
Control APLICATSI / NO
Document de referènciao justifi cació Estat
Un document de política de seguretat de la informació ha de ser aprovat per la direcció i ha de ser publicat i comunicat a tots els empleats i a terceres parts.
Sí Polítiques de seguretatde la informació Implantat
A.5.1.2 Revisió de la política de seguretat de la informació
Control APLICATSI / NO
Document de referènciao justifi cació Estat
La política de seguretat de la informació s’ha de revisar a intervals planifi cats o si s’hi produeixen canvis signifi catius, a fi d’assegurar-ne la idoneitat, l’adequació i l’efi càcia de la continuïtat.
Sí Revisió de la direcció Implantat
A.6 Organització de la seguretat de la informació
A.6.1 Organització interna
Objectiu: Gestionar la seguretat de la informació dins l’organització.
A.6.1.1 Comissió de gestió de la seguretat de la informació
Control APLICATSI / NO
Document de referènciao justifi cació Estat
La direcció ha de donar un suport actiu a la seguretat dins l’organització mitjançant directrius clares, compromís demostrat, assignació explícita i reconeixement de les responsabilitats de la seguretat de la informació.
Sí Hi ha una acta de constitució i regles d’actuació del comitè Implantat
A.6.1.2 Coordinació de la seguretat de la informació
Control APLICATSI / NO
Document de referènciao justifi cació Estat
Les activitats relatives a la seguretat de la infor-mació han de ser coordinades per representants de les diferents parts de l’organització amb els rols i les funcions de treball corresponents.
Sí Perfi ls dels llocsde feina Implantat
A.6.1.3 Assignació de responsabilitat sobre la seguretat de la informació
Control APLICATSI / NO
Document de referènciao justifi cació Estat
Cal defi nir clarament totes les responsabilitats sobre la seguretat de la informació. Sí Perfi ls dels llocs
de feina Implantat
A.6.1.4 Procés d’autorització de recursos per al tractament de la informació
Control APLICATSI / NO
Document de referènciao justifi cació Estat
Cal defi nir i implantar un procés d’autorització per gestionar cada nou recurs de tractament de la infor-mació.
Sí Segons el lloc de feina es tenen defi nits els recursos necessaris. Implantat
A.6.1.5 Acords de confi dencialitat
Control APLICATSI / NO
Document de referènciao justifi cació Estat
Cal identificar i revisar d’una manera regular els requisits dels acords de confidencialitat o de no-revelació que reflecteixin les necessitats de l’orga-nització respecte a la protecció de la informació.
Sí Acords de confi dencialitat en els contractes de treball Implantat
A.6.1.6 Contacte amb les autoritats
Control APLICATSI / NO
Document de referènciao justifi cació Estat
Cal mantenir contactes adequats amb les autoritats que corresponguin Sí
Directori de telèfons i adrecesd’emergències
(pla de continuïtat del negoci)Implantat
Selecció de controls
1209-51168-52172 Guia ISO 27001.indd 551209-51168-52172 Guia ISO 27001.indd 55 30/09/10 10:1030/09/10 10:10
4.6 Informe d’anàlisi de riscs
En aquest exemple s’ha optat per una metodologia pròpia d’avaluació de riscs, fruit de recollir
algunes tècniques d’altres metodologies de prestigi reconegut (MAGERIT, etc.).
A més, per fer l’avaluació, s’ha utilitzat la llista de vulnerabilitats (i amenaces) típiques segons la
norma UNE71501-3:2001 IN.
Per conèixer-la amb profunditat, vegeu el procediment «Avaluació de riscs de seguretat de la
informació» descrit anteriorment.
Exemple d’avaluació de riscs de la informació del grup «Informació»:
Documents
Amenaça (Què) Vulnerabilitat (per què) P I VR Tractament Controls P I Valorresidual Observacions
Robatori personal intern mal intencionat (confi dencialitat)
Personal internmal intencionat 2 4 8 Implantar controls Assegurances 2 3 6
Robatori personal extern mal intencionat (confi dencialitat)
Emmagatzematgeno protegit 2 4 8 Implantar controls 9.1.2 Controls
físics d’entrada 1 4 4
Accés de persones no autoritzades(confi dencialitat)
Eliminació insufi cientde la documentació 2 5 10 Implantar controls
Eliminació a la paperera de documentacióconfi dencial
1 4 4
Accés de persones no autoritzades(confi dencialitat)
Personal internmal intencionat 2 4 8 Implantar controls 6.1.5 Acords de
confi dencialitat 1 4 4
1209-51168-52172 Guia ISO 27001.indd 561209-51168-52172 Guia ISO 27001.indd 56 30/09/10 10:1030/09/10 10:10
57
5. CERTIFICACIÓ
La norma ISO 27001, igual que la seva antecessora BS 7799-2, és certifi cable. Això vol dir que
l’organització que tingui implantat un SGSI pot sol·licitar una auditoria a una entitat certifi cadora
acreditada i, si la supera amb èxit, pot obtenir un certifi cat del sistema segons la norma ISO 27001.
En les seccions següents, s’aborden diferents temes relacionats amb la certifi cació.
5.1 Auditoria i certifi cació
Una vegada implantat l’SGSI en l’organització, i amb un historial demostrable de com a
mínim 3 mesos, es pot passar a la fase d’auditoria i certifi cació, que es desenvolupa de la
manera següent:
• Sol·licitud de l’auditoria per part de l’entitat interessada a l’entitat de certifi cació i presa de
dades per part d’aquesta darrera.
• Resposta en forma d’oferta per part de l’entitat certifi cadora.
• Compromís.
• Designació d’auditors, determinació de dates i establiment conjunt del pla d’auditoria.
• Preauditoria: opcionalment, pot fer-se una auditoria prèvia que aporti informació sobre la
situació actual i orienti millor sobre les possibilitats de superar l’auditoria real.
• Fase 1 de l’auditoria: no necessàriament ha de ser in situ, ja que es tracta que l’auditor en
cap analitzi la documentació i prepari l’informe de la documentació bàsica de l’SGSI del
client en què destaqui els possibles incompliments de la norma que es verifi caran en la fase
2. Aquest informe s’envia al client juntament amb el pla d’auditoria. El període màxim entre
la fase 1 i fase 2 és de 6 mesos.
1209-51168-52172 Guia ISO 27001.indd 571209-51168-52172 Guia ISO 27001.indd 57 30/09/10 10:1030/09/10 10:10
58
• Fase 2 de l’auditoria: és la fase de detall de l’auditoria, en la qual es revisen in situ les
polítiques, la implantació dels controls de seguretat i l’efi càcia del sistema en conjunt.
S’inicia amb una reunió d’obertura en què es revisa l’objecte, l’abast, el procés, el personal,
les instal·lacions i els recursos necessaris, així com possibles canvis d’última hora. Es fa
una revisió de les exclusions segons la declaració d’aplicabilitat (document SOA), de les
troballes de la fase 1, de la implantació de polítiques, procediments i controls, i de tots
els punts que l’auditor consideri d’interès. Acaba amb una reunió de tancament en què es
presenta l’informe d’auditoria.
• Certifi cació: en el cas que es descobreixin durant l’auditoria no-conformitats greus,
l’organització haurà d’implantar accions correctives; una vegada verifi cada aquesta
implantació o, directament, en el cas de no haver-hi hagut no-conformitats, l’auditor podrà
emetre un informe favorable i l’SGSI d’organització serà certifi cat segons la norma ISO
27001.
• Auditoria de seguiment: semestralment o, almenys, anualment, ha de fer-se una auditoria de
manteniment; aquesta auditoria se centra, generalment, en parts del sistema, atès que dura
menys, i té com a objectiu comprovar l’ús de l’SGSI i fomentar i verifi car la millora contínua.
• Auditoria de recertifi cació: cada tres anys, és necessari superar una auditoria de certifi cació
formal completa com la que s’ha descrit.
Les organitzacions certifi cades en l’àmbit mundial en la norma ISO 27001 (o, anteriorment, la
norma BS 7799-2) per entitats acreditades fi guren en la llista que es pot trobar a http://www.
iso27001certifi cates.com. Hi ha organitzacions que també han autoritzat que es publiqui
l’abast de la certifi cació.
Naturalment, l’organització que implanta un SGSI no té l’obligació de certifi car-ho. Això
no obstant, sí que és recomanable posar-se com a objectiu la certifi cació, perquè suposa
l’oportunitat de rebre la confi rmació per part d’un expert aliè a l’empresa que s’està gestionant
1209-51168-52172 Guia ISO 27001.indd 581209-51168-52172 Guia ISO 27001.indd 58 30/09/10 10:1030/09/10 10:10
59
correctament la seguretat de la informació, afegeix un factor de tensió i de concentració en una
meta a tots els membres del projecte i a l’organització en general i envia un senyal al mercat que
es pot confi ar en l’empresa i que és gestionada de manera transparent.
5.2 L’entitat de certifi cació
Les entitats de certifi cació són organismes d’avaluació de la conformitat encarregats
d’avaluar i fer una declaració objectiva sobre el fet que els serveis i els productes compleixen
uns requisits específi cs. En el cas de la norma ISO 27001, certifi quen, mitjançant l’auditoria,
que l’SGSI d’una organització s’ha dissenyat, implantat, verifi cat i millorat de conformitat
amb allò que estableix la norma.
Hi ha nombroses entitats de certifi cació a cada país, ja que es tracta d’una activitat
empresarial privada amb un gran auge en les dues darreres dècades per l’estandardització
creixent i l’homologació de productes i sistemes a tot el món. L’organització que vulgui
rebre el certifi cat pot posar-se en contacte amb diverses entitats certifi cadores i sol·licitar
un pressupost per comparar-los i decidir quina entitat és més convenient, com es fa amb
qualsevol altre producte o servei.
Perquè les entitats de certifi cació puguin emetre certifi cats reconeguts, han d’estar
acreditades. Això vol dir que un tercer, anomenat organisme d’acreditació, comprova,
mitjançant avaluacions independents i imparcials, la competència de les entitats de
certifi cació per a l’activitat objecte d’acreditació. A cada país hi sol haver una sola entitat
d’acreditació (en alguns, n’hi ha més d’una) a la qual l’Administració encarrega aquesta
tasca. A Espanya, és l’ENAC (Entitat Nacional d’Acreditació).
1209-51168-52172 Guia ISO 27001.indd 591209-51168-52172 Guia ISO 27001.indd 59 30/09/10 10:1030/09/10 10:10
60
5.3 L’auditor
L’auditor és la persona que comprova que l’SGSI d’una organització s’ha dissenyat,
implantat, verifi cat i millorat de conformitat amb allò que estableix la norma. En general, es
distingeixen tres classes d’auditors:
• De primera part: auditor intern, que audita l’organització en nom de si mateixa, normalment
amb l’objectiu de mantenir el sistema de gestió i de preparar l’auditoria de certifi cació.
• De segona part: auditor de client, és a dir, que audita una organització en nom d’un client
seu; per exemple, una empresa que audita el seu proveïdor subcontractat (outsourcing).
• De tercera part: auditor independent, que audita una organització com a tercera part
imparcial, normalment perquè l’organització té la intenció d’aconseguir el certifi cat i
contracta els serveis d’una entitat de certifi cació.
L’auditor, sobretot si actua com a auditor de tercera part, ha de disposar també d’un certifi cat
personal. Això vol dir que un tercer certifi ca que té les competències professionals i personals
necessàries per exercir la labor d’auditoria de la matèria per a la qual està certifi cat.
En aquest punt, hi ha petites diferències entre les entitats certifi cadores, que poden formular
requisits distints per homologar els seus auditors. Però, en general, la certifi cació d’auditors
se cenyeix a la norma ISO 19011 de directrius per a l’auditoria de sistemes de gestió, que
dedica el seu punt 7 a la competència i l’avaluació dels auditors. A l’auditor se li exigeixen
una sèrie d’atributs personals, coneixements, habilitats, educació formal, experiència laboral
i formació com a auditor.
Hi ha diverses organitzacions internacionals de certifi cació d’auditors, a fi de facilitar
l’estandardització de requeriments i garantir un alt nivell de professionalitat dels auditors,
a més d’homologar les institucions que ofereixen cursos de formació d’auditor. Algunes
d’aquestes organitzacions són IRCA, RABQSA o IATCA.
1209-51168-52172 Guia ISO 27001.indd 601209-51168-52172 Guia ISO 27001.indd 60 30/09/10 10:1030/09/10 10:10
61
IRCA (International Register of Certifi cated Auditors) és l’organisme mundial més gran de
certifi cació d’auditors de sistemes de gestió. Té la seu al Regne Unit i, per això —a causa
de l’origen anglès de la norma BS 7799-2 i, per tant, de la norma ISO 27001—, té ja des
de fa anys un programa de certifi cació d’auditors de sistemes de gestió de seguretat de la
informació. El seu web, també en espanyol, és una bona font de consulta dels requisits i els
graus d’auditor.
Quant a la pràctica de l’auditoria, a l’auditor se li exigeix que es mostri ètic, amb mentalitat
oberta, diplomàtic, observador, perceptiu, versàtil, tenaç, decidit i segur de si mateix.
Aquestes actituds són les que haurien de crear un clima de confi ança i col·laboració entre
auditor i auditat. L’auditat ha de considerar el procés d’auditoria sempre des d’un punt de
vista constructiu i de millora contínua, i no de fi scalització de les seves activitats. Per això,
l’auditor ha de fomentar en tot moment un ambient de tranquil·litat, col·laboració, informació
i treball conjunt.
6. EINES
Aquesta secció inclou enllaços a diferents eines i recursos relacionats amb sistemes de gestió de
seguretat de la informació. Alguns estan en espanyol i d’altres en anglès. Una bona part són gratuïts.
6.1 Normes, guies i bones pràctiques generals
www.iso27001certifi cates.com
Base de dades amb totes les empreses certifi cades segons les normes BS 7799-2 i ISO 27001.
www.iso.org
Normes ISO de descàrrega gratuïta relatives a tecnologies de la informació.
www.aenor.esCompra de normes UNE/ISO.
1209-51168-52172 Guia ISO 27001.indd 611209-51168-52172 Guia ISO 27001.indd 61 30/09/10 10:1030/09/10 10:10
62
www.iso27000.es/download/ControlesISO27002-2005.pdfLlista en espanyol dels controls de la norma ISO 27002:2005.
www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001-V2.pdfNorma tècnica peruana NTP-ISO/IEC 17799:2007, traducció a l’espanyol de la norma ISO/IEC 27002:2005.
www.praxiom.com/iso-17799-objectives.htmResum en anglès dels objectius de control de la norma ISO 27002:2005.
www.bsigroup.com/upload/Standards%20&%20Publications/shop.htmlCompra de normes de la British Standards Institution.
www.oecd.org/dataoecd/15/29/34912912.pdfDirectrius de l’OCDE per a la seguretat de sistemes i xarxes d’informació: cap a una cultura de la seguretat. En espanyol.
www.ism3.comISM3 (ISM Cubo) és un estàndard de maduresa de la seguretat de la informació compatible amb la implantació de la norma ISO 27001, CobiT, ITIL i ISO 9001 desenvolupat per l’espanyol Vicente Aceituno.
www.bsi.de/english/gshb/guidelines/guidelines.pdfGuia en anglès de bones pràctiques en la seguretat de la informació del Bundesamt für Sicherheit in der Informationstechnik d’Alemanya.
www.bsi.de/english/gshb/manual/index.htmIT-Grundschutz: manual de més de 2.300 pàgines sobre gestió de la seguretat de la informació editat pel Bundesamt für Sicherheit in der Informationstechnik d’Alemanya. Harmonitzat amb la norma ISO 27001, entre altres normes.
www.isfsecuritystandard.comEstàndard de seguretat de la informació: Information Security Forum.
www.isaca.org/cobit
CobiT (Control Objectives for Information and Related Technology): marc per al bon govern de les tecnologies de la informació. Versions en diversos idiomes, inclòs l’espanyol.
1209-51168-52172 Guia ISO 27001.indd 621209-51168-52172 Guia ISO 27001.indd 62 30/09/10 10:1030/09/10 10:10
63
7. GLOSSARI
Llista de termes relacionats amb la sèrie ISO 27000 i la seguretat de la informació defi nits segons el context d’aquestes. S’hi inclou el terme corresponent en anglès.
A
Abast(Anglès: scope). Àmbit de l’organització que queda sotmès a l’SGSI. Ha d’incloure la identifi cació clara de les dependències, les interfícies i els límits amb l’entorn, sobretot si només inclou una part de l’organització.
Acceptació del risc(Anglès: risk acceptance). Segons la norma ISO/IEC Guia 73:2002, decisió d’acceptar un risc.
Acció correctiva(Anglès: corrective action). Mesura de tipus reactiu orientada a eliminar la causa d’una no-conformitat associada a la implantació i la gestió de l’SGSI a fi de prevenir-ne la repetició.
Acció preventiva(Anglès: preventive action). Mesura de tipus proactiu orientada a prevenir potencials no-conformitats associades a la implantació i la gestió de l’SGSI.
Accreditation bodyVegeu: entitat d’acreditació.
Actiu(Anglès: asset). En relació amb la seguretat de la informació, es refereix a qualsevol informació o sistema relacionat amb el tractament d’aquesta que tingui valor per a l’organització. Segons la norma ISO/IEC 13335-1:2004: qualsevol cosa que té valor per a l’organització.
AlertVegeu: alerta.
1209-51168-52172 Guia ISO 27001.indd 631209-51168-52172 Guia ISO 27001.indd 63 30/09/10 10:1030/09/10 10:10
64
Alerta(Anglès: alert). Una notifi cació formal que s’ha produït un incident relacionat amb la seguretat de la informació que pot evolucionar fi ns a convertir-se en catàstrofe.
Amenaça(Anglès: threat). Segons la norma ISO/IEC 13335-1:2004, causa potencial d’un incident no desitjat que pot causar el dany a un sistema o a l’organització.
Anàlisi de riscs(Anglès: risk analysis). Segons la norma ISO/IEC Guia 73:2002, ús sistemàtic de la informació per identifi car fonts i estimar el risc.
Anàlisi qualitativa de riscs (Anglès: qualitative risk analysis). Anàlisi de riscs en què s’usa una escala de puntuacions per defi nir la gravetat de l’impacte.
Anàlisi quantitativa de riscs (Anglès: quantitative risk analysis). Anàlisi de riscs segons les pèrdues fi nanceres que causaria l’impacte.
AssetVegeu: actiu.
Assets inventoryVegeu: inventari d’actius.
AuditVegeu: auditoria.
Auditor(Anglès: auditor). Persona encarregada de comprovar, de manera independent, la qualitat i la integritat del treball que s’ha fet en una àrea particular.
Auditor de primera part(Anglès: fi rst party auditor). Auditor intern, és a dir que audita l’organització en nom de si mateixa.
1209-51168-52172 Guia ISO 27001.indd 641209-51168-52172 Guia ISO 27001.indd 64 30/09/10 10:1030/09/10 10:10
65
En general, es fa com a manteniment del sistema de gestió i com a preparació per a l’auditoria de certifi cació.
Auditor de segona part(Anglès: second party auditor). Auditor de client, és a dir que audita una organització en nom d’un client d’aquesta. Per exemple, una empresa que audita el seu proveïdor de subcontractes (outsourcing).
Auditor de tercera part(Anglès: third party auditor). Auditor independent, és a dir que audita una organització com a tercera part independent, normalment perquè l’organització té la intenció d’aconseguir la certifi cació.
Auditor en cap(Anglès: lead auditor). Auditor responsable d’assegurar la conducció i la realització efi cient i efectiva de l’auditoria segons l’abast i el pla d’auditoria aprovat pel client.
Auditoria(Anglès: audit). Procés planifi cat i sistemàtic en el qual un auditor obté evidències objectives que li permeten emetre un judici informat sobre l’estat i l’efectivitat de l’SGSI d’una organització.
Autenticació(Anglès: authentication). Procés que té per objectiu assegurar la identifi cació d’una persona o sistema.
AuthenticationVegeu: autenticació.
AvailabilityVegeu: disponibilitat.
Avaluació de riscs(Anglès: risk evaluation). Segons la norma ISO/IEC Guia 73:2002, procés de comparar el risc estimat contra un criteri de risc amb l’objectiu de determinar la importància del risc.
1209-51168-52172 Guia ISO 27001.indd 651209-51168-52172 Guia ISO 27001.indd 65 30/09/10 10:1030/09/10 10:10
66
B
BS 7799Estàndard britànic de seguretat de la informació publicat per primera vegada el 1995. El 1998, en va ser pvublicada la segona part. La primera part és un conjunt de bones pràctiques per gestionar la seguretat de la informació —no és certifi cable— i la segona part especifi ca el sistema de gestió de seguretat de la informació —és certifi cable. La primera part és l’origen de la norma ISO 17799 i la norma ISO 27002, i la segona part és l’origen de la norma ISO 27001. Com a estàndard, ja ha estat derogat per l’aparició d’aquests darrers.
BSIBritish Estàndards Institution. Comparable a l’AENOR espanyol, és l’organització que ha publicat la sèrie de normes BS 7799, a més d’altres milers de normes d’àmbits molt diferents.
Business continuity planVegeu: pla de continuïtat del negoci.
C
Catàstrofe(Anglès: disaster). Qualsevol esdeveniment accidental, natural o malintencionat que interromp les operacions o serveis habituals d’una organització durant el temps sufi cient perquè l’afecti de manera signifi cativa.
Certifi cation bodyVegeu: entitat de certifi cació.
CIAAcrònim anglès de confi dencialitat, integritat i disponibilitat, els paràmetres bàsics de la seguretat de la informació.
CIDAcrònim espanyol de confi dencialitat, integritat i disponibilitat, els paràmetres bàsics de la seguretat de la informació.
1209-51168-52172 Guia ISO 27001.indd 661209-51168-52172 Guia ISO 27001.indd 66 30/09/10 10:1030/09/10 10:10
67
CISACertifi ed Information Systems Auditor. És una acreditació oferida per la ISACA.
CISMCertifi ed Information Systems Manager. És una acreditació oferida per la ISACA.
CISSPCertifi ed Information Systems Security Professional. És una acreditació oferida per l’ISC2.
CCEBCriteri comú per a la seguretat de tecnologia d’informació.
ChecklistVegeu: llista de control.
Clear desk policyVegeu: política d’escriptori net o «sense papers».
COBITControl Objectives for Information and Related Technology. Publicats i mantinguts per la ISACA, la missió que tenen és investigar, desenvolupar, publicar i promoure un conjunt d’objectius de control de la tecnologia de la informació rectors, actualitzats, internacionals i generalment acceptats per ser emprats per gerents d’empreses i auditors.
Compromís de la direcció(Anglès: management commitment). Alineament ferm de la direcció de l’organització amb l’establiment, la implantació, la gestió, el monitoratge, la revisió, el manteniment i la millora de l’SGSI.
Confi dencialitat(Anglès: confi denciality). Accés a la informació per part únicament dels qui hi estan autoritzats. Segons la norma ISO/IEC 13335-1:2004, característica o propietat per la qual la informació no està disponible o no és revelada a individus, entitats o processos no autoritzats.
Confi dencialityVegeu: confi dencialitat.
1209-51168-52172 Guia ISO 27001.indd 671209-51168-52172 Guia ISO 27001.indd 67 30/09/10 10:1030/09/10 10:10
68
Contramesura(Anglès: countermeasure). Vegeu: control.
Control
Les polítiques, els procediments, les pràctiques i les estructures organitzatives concebudes per
mantenir els riscs de seguretat de la informació per sota del nivell de risc assumit. (Nota: el terme
control també és utilitzat com a sinònim de salvaguarda o contramesura.)
Control correctiu
(Anglès: corrective control). Control que corregeix un risc, un error, una omissió o un acte deliberat
abans que produeixi pèrdues. Suposa que l’amenaça ja s’ha materialitzat, però es corregeix.
Control detector
(Anglès: detective control). Control que detecta l’aparició d’un risc, un error, una omissió o un acte
deliberat. Suposa que l’amenaça ja s’ha materialitzat, però per si mateix no la corregeix.
Control dissuasori(Anglès: deterrent control). Control que redueix la possibilitat que es materialitzi una amenaça, per exemple, amb avisos dissuasoris.
Control preventiu
(Anglès: preventive control). Control que evita que es produeixi un risc, un error, una omissió o un
acte deliberat. Impedeix que una amenaça arribi ni tan sols a materialitzar-se.
Control selectionVegeu: selecció de controls.
Corrective actionVegeu: acció correctiva.
Corrective controlVegeu: control correctiu.
1209-51168-52172 Guia ISO 27001.indd 681209-51168-52172 Guia ISO 27001.indd 68 30/09/10 10:1030/09/10 10:10
69
COSOCommittee of Sponsoring Organizations of the Treadway Commission. Comitè d’Organitzacions Patrocinadores de la Comissió Treadway. Se centra en el control intern, especialment el fi nancer.
CountermeasureContramesura. Vegeu: control.
D
Declaració d’aplicabilitat(Anglès: statement of applicability - SOA). Document en què s’enumeren els controls aplicats per l’SGSI de l’organització després del resultat dels processos d’avaluació i tractament de riscs, a més de la justifi cació tant de la selecció com de l’exclusió de controls inclosos en l’annex A de la norma.
Detective controlVegeu: control detector.
Deterrent controlVegeu: control dissuasori.
Directiva(Anglès: guideline). Segons la norma ISO/IEC 13335-1:2004, una descripció que aclareix què s’ha de fer i com, amb el propòsit d’assolir els objectius establerts en les polítiques.
DisasterVegeu: catàstrofe.
Disponibilitat(Anglès: availability). Accés a la informació i els sistemes de tractament d’aquesta per part dels usuaris autoritzats quan ho requereixin. Segons la norma ISO/IEC 13335-1:2004, característica o propietat d’estar accessible i disponible per usar quan ho requereixi una entitat autoritzada.
DRIIInstitut Internacional de Recuperació de Catàstrofes.
1209-51168-52172 Guia ISO 27001.indd 691209-51168-52172 Guia ISO 27001.indd 69 30/09/10 10:1030/09/10 10:10
70
DTISecretaria d’Indústria i Comerç del Regne Unit. Edita moltes guies pràctiques en l’àmbit de la seguretat de la informació.
E
EDPAFFundació d’Auditors del Processament Electrònic de Dades (actualment, ISACF).
ENACEntitat Nacional d’Acreditació. És l’organisme espanyol d’acreditació, patrocinat per l’Administració, que acredita organismes que duen a terme activitats d’avaluació de la conformitat, sigui quin sigui el sector en què desenvolupin l’activitat. A més de laboratoris, entitats d’inspecció, etc., també acredita les entitats de certifi cació, que són les que a més certifi caran les empreses segons les diverses normes.
Entitat d’acreditació(Anglès: accreditation body). Un organisme ofi cial que acredita les entitats certifi cadores com a aptes per certifi car segons diverses normes. Sol haver-n’hi una per país. Són exemples d’entitats d’acreditació: ENAC (Espanya), UKAS (Regne Unit), EMA (Mèxic), OAA (Argentina)...
Entitat de certifi cació(Anglès: certifi cation body). Una empresa o organisme acreditat per una entitat d’acreditació per auditar i certifi car segons diverses normes (ISO 27000, ISO 9000, ISO 14000, etc.) empreses usuàries de sistemes de gestió.
Esdeveniment(Anglès: event). Segons la norma ISO/IEC TR 18044:2004, succés identifi cat en un sistema, servei o estat de la xarxa que indica un possible forat de seguretat en la política de seguretat de la informació o fallada de les salvaguardes, o una situació anterior desconeguda que podria ser rellevant per a la seguretat.
ESFFòrum Europeu de Seguretat, en el qual cooperen més de 70 multinacionals fonamentalment
1209-51168-52172 Guia ISO 27001.indd 701209-51168-52172 Guia ISO 27001.indd 70 30/09/10 10:1030/09/10 10:10
71
europees a fi de dur a terme investigacions relatives als problemes comuns de seguretat i control en tecnologies de la informació.
EventVegeu: esdeveniment.
Evidència objectiva(Anglès: objective evidence). Informació, registre o declaració de fets, qualitativa o quantitativa, verifi cable i basada en una observació, una mesura o un test, sobre aspectes relacionats amb la confi dencialitat, la integritat o la disponibilitat d’un procés o servei o amb l’existència i la implantació d’un element del sistema de seguretat de la informació.
F
Fase 1 de l’auditoriaFase en què, fonamentalment mitjançant la revisió de documentació, s’analitza l’SGSI en el context de la política de seguretat de l’organització, els objectius, l’abast, l’avaluació de riscs, la declaració d’aplicabilitat i els documents principals, i s’estableix un marc per planifi car la fase 2.
Fase 2 de l’auditoriaFase en què es comprova que l’organització s’ajusta a les seves pròpies polítiques, objectius i procediments, que l’SGSI compleix els requisits de la norma ISO 27001 i que és efectiu.
First party auditorVegeu: Auditor de primera part.
G
Gestió de claus(Anglès: key management). Controls referits a la gestió de claus criptogràfi ques.
Gestió de riscs(Anglès: risk management). Procés d’identifi cació, control i minimització o eliminació, a un cost
1209-51168-52172 Guia ISO 27001.indd 711209-51168-52172 Guia ISO 27001.indd 71 30/09/10 10:1030/09/10 10:10
72
acceptable, dels riscs que afecten la informació de l’organització. Inclou la valoració i el tractament de riscs. Segons la norma ISO/IEC Guia 73:2002, activitats coordinades per dirigir i controlar una organització respecte al risc.
GuidelineVegeu: directiva.
H
Humphreys, TedExpert en seguretat de la informació i gestió del risc, considerat el pare de les normes BS 7799 i ISO 17799 i, per tant, de les normes ISO 27001 i ISO 27002.
I
I4Institut Internacional per a la Integritat de la Informació. Associació semblant a l’ESF, amb metes anàlogues i amb seu principal als EUA. És manejat per l’Institut d’Investigació de Standford.
IBAGGrup Assessor d’Empreses d’Infosec, representants de la indústria que assessoren el comitè d’Infosec. Aquest comitè està integrat per funcionaris dels governs de la Comunitat Europea i ofereix assessorament a la Comissió Europea en assumptes relatius a la seguretat de les tecnologies de la informació.
IECInternational Electrotechnical Commission. Organització internacional que publica estàndards relacionats amb tot tipus de tecnologies elèctriques i electròniques.
IIAInstitut d’Auditors Interns.
Impacte(Anglès: impact). El cost per a l’empresa d’un incident —de l’escala que sigui— que pot ser mesurat
1209-51168-52172 Guia ISO 27001.indd 721209-51168-52172 Guia ISO 27001.indd 72 30/09/10 10:1030/09/10 10:10
73
o no en termes estrictament fi nancer, per exemple, pèrdua de reputació, implicacions legals, etc.
ImpactVegeu: impacte.
IncidentSegons la norma ISO/IEC TR 18044:2004, esdeveniment únic o sèrie d’esdeveniments de seguretat de la informació inesperats o no desitjats que tenen una probabilitat signifi cativa de comprometre les operacions del negoci i amenaçar la seguretat de la informació.
Information processing facilitiesVegeu: serveis de tractament de la informació.
Information systems management systemVegeu: SGSI.
Information securityVegeu: seguretat de la informació.
INFOSECComitè assessor en assumptes relatius a la seguretat de les tecnologies de la informació de la Comissió Europea.
Integritat(Anglès: integrity). Manteniment de l’exactitud i la completesa de la informació i els seus mètodes de procés. Segons la norma ISO/IEC 13335-1:2004, propietat o característica de salvaguardar l’exactitud i la completesa dels actius.
IntegrityVegeu: integritat.
Inventari d’actius(Anglès: assets inventory). Llista de tots els recursos (físics, informació, programari, documents,
1209-51168-52172 Guia ISO 27001.indd 731209-51168-52172 Guia ISO 27001.indd 73 30/09/10 10:1030/09/10 10:10
74
serveis, persones, reputació de l’organització, etc.) dins l’abast de l’SGSI que tinguin valor per a l’organització i necessitin per tant ser protegits de riscs potencials.
IRCAInternational Register of Certifi ed Auditors. Acredita els auditors respecte a diverses normes, entre les quals hi ha la norma ISO 27001.
ISACAInformation Systems Audit and Control Association. Publica els COBIT i emet diverses acreditacions en l’àmbit de la seguretat de la informació.
ISACFFundació d’Auditoria i Control de Sistemes d’Informació.
ISC2Information Systems Security Certifi cation Consortium, Inc. Organització sense ànim de lucre que emet diverses acreditacions en l’àmbit de la seguretat de la informació.
ISMSInformation systems management system. Vegeu: SGSI.
ISOOrganització Internacional de Normalització, amb seu a Ginebra (Suïssa). És una agrupació d’organitzacions nacionals de normalització l’objectiu de la qual és establir, promocionar i gestionar estàndards.
ISO 17799Codi de bones pràctiques en gestió de la seguretat de la informació adoptat per l’ISO en la transcripció de la primera part de la norma BS 7799. Al seu torn, dóna lloc a la norma ISO 27002 per canvi de nomenclatura l’1 de juliol de 2007. No és certifi cable.
ISO 19011Guidelines for quality and/or environmental management systems auditing. Guia d’utilitat per al desenvolupament de les funcions d’auditor intern per a un SGSI.
1209-51168-52172 Guia ISO 27001.indd 741209-51168-52172 Guia ISO 27001.indd 74 30/09/10 10:1030/09/10 10:10
75
ISO 27001Estàndard per a sistemes de gestió de la seguretat de la informació adoptat per l’ISO en la transcripció de la segona part de la norma BS 7799. És certifi cable. La primera publicació és del 2005.
ISO 27002Codi de bones pràctiques en la gestió de la seguretat de la informació (transcripció de la norma ISO 17799). No és certifi cable. L’1 de juliol de 2007, canvi d’ofi cial de nomenclatura de la norma ISO 17799:2005 a la norma ISO 27002:2005.
ISO 9000Normes de gestió i garantia de qualitat defi nides per l’ISO.
ISO/IEC TR 13335-3Information technology. Guidelines for the management of it security.techniques for the management of IT security. Guia d’utilitat en l’aplicació de metodologies d’avaluació del risc.
ISO/IEC TR 18044Information technology. Security techniques. Information security incident management. Guia d’utilitat per a la gestió d’incidents de seguretat de la informació.
ISSAInformation Systems Security Association.
ISSAPInformation Systems Security Architecture Professional. Una acreditació de l’ISC2.
ISSEPInformation Systems Security Engineering Professional. Una acreditació de l’ISC2.
ISSMPInformation Systems Security Management Professional. Una acreditació de l’ISC2.
ITILIT Infrastructure Library. Un marc de gestió dels serveis de tecnologies de la informació.
1209-51168-52172 Guia ISO 27001.indd 751209-51168-52172 Guia ISO 27001.indd 75 30/09/10 10:1030/09/10 10:10
76
ITSECCriteris d’avaluació de la seguretat de la tecnologia d’informació. Es tracta de criteris unifi cats adoptats per França, Alemanya, Holanda i el Regne Unit. També tenen el suport de la Comissió Europea. (Vegeu també TCSEC, l’equivalent als EUA.)
J
JTC1Joint Technical Committee. Comitè tècnic conjunt de l’ISO i l’IEC específi c per a les tecnologies de
la informació.
K
Key management
Vegeu: gestió de claus.
L
Lead auditor
Vegeu: auditor en cap.
Llista de control
(Anglès: checklist). Llista de suport per a l’auditor amb els punts que ha d’auditar. Ajuda a mantenir
clars els objectius de l’auditoria, serveix d’evidència del pla d’auditoria, n’assegura la continuïtat i
la profunditat, i redueix els prejudicis de l’auditor i la seva càrrega de treball. Aquest tipus de llistes
també es poden utilitzar durant la implantació de l’SGSI per facilitar-ne el desenvolupament.
M
Major nonconformity
Vegeu: No-conformitat greu.
1209-51168-52172 Guia ISO 27001.indd 761209-51168-52172 Guia ISO 27001.indd 76 30/09/10 10:1030/09/10 10:10
77
Management commitment
Vegeu: Compromís de la direcció.
N
NBSOfi cina Nacional de Normes dels EUA.
NIST(Ex NBS) Institut Nacional de Normes i Tecnologia, amb seu a Washington, DC.
No-conformitat(Anglès: nonconformity). Situació aïllada que, basada en evidències objectives, demostra l’incompliment d’algun aspecte d’un requeriment de control que permet dubtar de l’adequació de les mesures per preservar la confi dencialitat, la integritat o la disponibilitat d’informació sensible, o que representa un risc menor.
No-conformitat greu(Anglès: major nonconformity). Absència o fallada d’un o més requeriments de la norma ISO 27001 que, basada en evidències objectives, permet dubtar seriosament de l’adequació de les mesures per preservar la confi dencialitat, la integritat o la disponibilitat d’informació sensible, o que representa un risc inacceptable.
Nonconformity
Vegeu: no-conformitat.
O
Objective evidence
Vegeu: evidència objectiva.
Objectiu
(Anglès: objective). Declaració del resultat o fi que es vol aconseguir mitjançant la implantació de
procediments de control en una activitat determinada de tecnologies de la informació.
1209-51168-52172 Guia ISO 27001.indd 771209-51168-52172 Guia ISO 27001.indd 77 30/09/10 10:1030/09/10 10:10
78
OCDE
Organització de Cooperació i Desenvolupament Econòmic. Ha publicat unes guies per a la seguretat
de la informació.
P
PDCA
Plan-Do-Check-Act. Model de procés basat en un cicle continu de les activitats per planifi car (establir
l’SGSI), fer (implantar i gestionar l’SGSI), verifi car (monitorar i revisar l’SGSI) i actuar (mantenir i
millorar l’SGSI).
Pla de continuïtat del negoci
(Anglès: bussines continuity plan). Pla orientat a permetre la continuació de les principals funcions
del negoci en el cas d’un esdeveniment imprevist que les posi en perill.
Pla de tractament de riscs
(Anglès: risk treatment plan). Document de gestió en què es defi neixen les accions per reduir,
prevenir, transferir o assumir els riscs de seguretat de la informació inacceptables i implantar els
controls necessaris per protegir-la.
Política de seguretat
(Anglès: security policy). Document en què s’estableix el compromís de la direcció i l’enfocament de
l’organització en la gestió de la seguretat de la informació. Segons la norma ISO/IEC 27002:2005,
intenció i direcció general expressada formalment per la direcció.
Política d’escriptori net o «sense papers»
(Anglès: clear desk policy). La política de l’empresa que indica als empleats que en acabar el dia
han de deixar el seu escriptori lliure de qualsevol tipus d’informació susceptible de ser mal usat.
Preventive action
Vegeu: acció preventiva.
1209-51168-52172 Guia ISO 27001.indd 781209-51168-52172 Guia ISO 27001.indd 78 30/09/10 10:1030/09/10 10:10
79
Preventive control
Vegeu: control preventiu.
Q
Qualitative risk analysis
Vegeu: Anàlisi qualitativa de riscs.
Quantitative risk analysis
Vegeu: Anàlisi quantitativa de riscs.
R
Residual risk
Vegeu: risc residual.
Risc
(Anglès: risk). Possibilitat que una amenaça concreta pugui fer esclatar una vulnerabilitat i causi una
pèrdua o un dany en un actiu d’informació. Segons la norma ISO Guia 73:2002, combinació de la
probabilitat d’un esdeveniment i les conseqüències que pot implicar.
Risc residual
(Anglès: residual risk). Segons la norma ISO/IEC Guia 73:2002, el risc que queda després del
tractament del risc.
Risk
Vegeu: risc.
Risk acceptance
Vegeu: acceptació del risc.
Risk analysis
Vegeu: anàlisi de riscs.
1209-51168-52172 Guia ISO 27001.indd 791209-51168-52172 Guia ISO 27001.indd 79 30/09/10 10:1030/09/10 10:10
80
Risk assessment
Vegeu: valoració de riscs.
Risk evaluation
Vegeu: avaluació de riscs.
Risk management
Vegeu: gestió de riscs.
Risk treatment
Vegeu: tractament de riscs.
Risk treatment plan
Vegeu: pla de tractament de riscs.
S
Safeguard
Salvaguarda. Vegeu: control.
Salvaguarda
(Anglès: safeguard). Vegeu: control.
Sarbanes-Oxley
Llei de reforma de la comptabilitat de companyies públiques i protecció dels inversors aplicada
als EUA des del 2002. Crea un consell de supervisió independent per supervisar els auditors de
companyies públiques que estableix normes de comptabilitat i investiga i manté la disciplina dels
comptables. També obliga els responsables de les empreses a garantir la seguretat de la informació
fi nancera.
Scope
Vegeu: abast.
1209-51168-52172 Guia ISO 27001.indd 801209-51168-52172 Guia ISO 27001.indd 80 30/09/10 10:1030/09/10 10:10
81
Second party auditor
Vegeu: auditor de segona part.
Security policy
Vegeu: política de seguretat.
Segregació de tasques
(Anglès: segregation of duties). Repartiment de tasques sensibles entre distints empleats per
reduir el risc d’un mal ús deliberat o per negligència dels sistemes i les informacions.
Segregation of duties
Vegeu: segregació de tasques.
Seguretat de la informació
(Anglès: information security). Segons la norma ISO/IEC 27002:2005, preservació de la
confi dencialitat, la integritat i la disponibilitat de la informació; a més, altres propietats com
l’autenticitat, la responsabilitat, el no-rebuig i la fi abilitat poden ser també considerades.
Selecció de controls
(Anglès: control selection). Procés d’elecció dels controls que assegurin la reducció dels riscs
a un nivell acceptable.
SGSI
(Anglès: ISMS). Sistema de gestió de la seguretat de la informació. Segons la norma ISO/IEC
27001:2005, la part d’un sistema global de gestió que, basat en l’anàlisi de riscs, estableix,
implanta, gestiona, monitora, revisa, manté i millora la seguretat de la informació. (Nota: el
sistema de gestió inclou una estructura d’organització, polítiques, planifi cació d’activitats,
responsabilitats, procediments, processos i recursos.)
Serveis de tractament d’informació
(Anglès: information processing facilities). Segons la norma ISO/IEC 27002:2005, qualsevol
1209-51168-52172 Guia ISO 27001.indd 811209-51168-52172 Guia ISO 27001.indd 81 30/09/10 10:1030/09/10 10:10
82
sistema, servei o infraestructura de tractament d’informació o ubicacions físiques utilitzats per
allotjar-la.
Sistema de gestió de la seguretat de la informació
(Anglès: information systems management system). Vegeu: SGSI.
SOA
Statement of applicability. Vegeu: declaració d’aplicabilitat.
SSCP
Systems security certifi ed practitioner. Una acreditació de l’ISC2.
Statement of applicability
Vegeu: declaració d’aplicabilitat.
T
TCSEC
Criteris d’avaluació de la seguretat dels sistemes de computació, coneguts també amb el nom
d’Orange Book (Llibre taronja), defi nits originàriament pel Ministeri de Defensa dels EUA. Vegeu
també: ITSEC, l’equivalent europeu.
Third party auditor
Vegeu: auditor de tercera part.
Threat
Vegeu: amenaça.
TickIT
Guia per a la construcció i certifi cació del sistema d’administració de qualitat del programari.
Tractament de riscs
(Anglès: risk treatment). Segons la norma ISO/IEC Guia 73:2002, procés de selecció i implantació
1209-51168-52172 Guia ISO 27001.indd 821209-51168-52172 Guia ISO 27001.indd 82 30/09/10 10:1030/09/10 10:10
83
de mesures per modifi car el risc.
U
UNE 71502
Norma espanyola d’àmbit local que és la versió adaptada de la norma BS 7799-2 (actual ISO
27001), que també té relació amb la UNE-ISO/IEC17799 mitjançant l’annex A.
V
Valoració de riscs
(Anglès: risk assessment). Segons la norma ISO/IEC Guia 73:2002, procés complet d’anàlisi i
avaluació de riscs.
Vulnerabilitat
(Anglès: vulnerability). Debilitat en la seguretat de la informació d’una organització que
potencialment permet que una amenaça afecti un actiu. Segons la norma ISO/IEC 13335-1:2004,
debilitat d’un actiu o conjunt d’actius que pot ser aprofi tada per una amenaça.
Vulnerability
Vegeu: vulnerabilitat.
W
WG1, WG2, WG3, WG4, WG5
WorkGroup 1, 2, 3, 4, 5. Grups de treball del subcomitè SC27 del JTC1 (Joint Technical
Committee) de l’ISO i l’IEC. Aquests grups de treball s’encarreguen de desenvolupar estàndards
relacionats amb tècniques de seguretat de la informació.
1209-51168-52172 Guia ISO 27001.indd 831209-51168-52172 Guia ISO 27001.indd 83 30/09/10 10:1030/09/10 10:10
1209-51168-52172 Guia ISO 27001.indd 841209-51168-52172 Guia ISO 27001.indd 84 30/09/10 10:1030/09/10 10:10
1209-51168-52172 Guia ISO 27001.indd 851209-51168-52172 Guia ISO 27001.indd 85 30/09/10 10:1030/09/10 10:10
1209-51168-52172 Guia ISO 27001.indd 861209-51168-52172 Guia ISO 27001.indd 86 30/09/10 10:1030/09/10 10:10
segons les normes internacionals
ISO 27001 i ISO 27002
Com implantar un sistema de seguretat
de la informació