ISO-27001 e ISO-27004
Por: Alejandro Corletti Estrada
PRÓLOGO
Uno de los aspectos más importantes que se debe destacar del estándar ISO 27001, es la importancia que hace sobre el carácter “medible de los controles”. En concreto, si un control no se puede medir, entonces no nos aporta absolutamente nada al SGSI (Sistema de Gestión de la Seguridad de la Información).
Ahora bien, ¿Cómo debemos medir esos controles?, es aquí donde entra en juego el estándar ISO 27004, y como se verá en este texto, aporta un gran valor agregado en el momento de comenzar a implementar esta norma, pues desde el inicio, se comienzan a pensar todas las fases de la misma bajo el concepto de “Medición”.
NOTA: Para poder comprender con claridad el sentido, los conceptos y definiciones que aquí se desarrollarán, es recomendable leer previamente los artículos que se han publicado con anterioridad respecto a esta familia de estándares, los cuales son:
– “Análisis de ISO 27001:2005”
– “ISO-27001: Los controles (Parte I)”
– “ISO-27001: Los Controles (Parte II)”
PRESENTACIÓN
Al igual que el ISO 27001, esta norma (que aún se encuentra en estado de borrador) tiene como responsable al JTC 1 (Join Technical Committee Nº1) JTC 1 y dentro de él, al subcomité SC 27, IT
“Security Techniques”
Luego del plenario en Malasia del 07 de noviembre del 2005, se inició la circulación de este documento para estudio y comentarios por parte del SC27, los cuales deberán finalizar en abril del 2007.
Su nombre completo es: “Draft Text for ISO/IEC 3rd WD 27004, Information Technology – Security tehcniques – Information Security Management Measurements”.
– ISO/IEC: ISO (Organización Internacional de Estándares) e IEC (Comisión Internacional de Electrotécnia).
– WD: es la abreviatura de “Working Draft” (Borrador de trabajo).
– Information Security Management Measurements: Mediciones para la Gestión de la Seguridad de la Información.
NOTA: Podría haberse traducido Management de otras formas, pero se optó por esta en asociación con ISMS y SGSI: Information Security Management System / Sistema de Gestión de la Seguridad de la Información.
A los efectos de este texto, esta norma será definida como: “Borrador de trabajo ISO/IEC-27004: Mediciones para la Gestión de la Seguridad de la Información.”
Como se hizo referencia en otros artículos, este futuro estándar no es algo aislado, sino que forma parte de la serie o familia ISO-2700x de los cuales se pueden considerar hoy:
• ISO/IEC 27000 Fundamentals and vocabulary
• ISO/IEC 27001 ISMS – Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005
• ISO/IEC 27002 Code of practice for information security management – Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005
• ISO/IEC 27003 ISMS implementation guidance (bajo desarrollo)
• ISO/IEC 27004 Information security management measurement (bajo desarrollo)
• ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335 MICTS Part 2) (bajo desarrollo)
• ISO/IEC 27006 Requerimientos para organismos de acreditación (bajo desarrollo)
DESARROLLO
I. Introducción:
Como se mencionó en el prólogo, esta futura norma tiene como misión desarrollar todos los aspectos que deben ser considerados para poder “medir” el cumplimiento de la norma ISO 27001. Como ya se sabe, la misma hace especial hincapié en el concepto de SGSI y en la aplicación de controles, los cuales son los que en definitiva le dan vida a este ciclo permanente de gestión. El principio básico es que si no se puede medir, entonces no sirve de nada. Como se irá viendo a lo largo de este texto, la idea de medición es muy amplia y en definitiva, va desde la medición más simple hasta la combinación de varios niveles o instancias de ellas para poder ofrecer datos que lleven a un verdadero “cuadro de mando de la seguridad”, que sería el objetivo último de todo el SGSI, y a través del cual, los diferentes niveles jerárquicos de la organización, podrán acceder a la información de seguridad, que a su nivel le hace falta conocer y en base a esta adoptar las decisiones correspondientes.
La norma ISO 27004, comienza con una Introducción, de la que se debe destacar: “El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”.
El segundo apartado define el ámbito, como una guía sobre la especificación y uso de técnicas de medición, para proveer precisión en la observación del SGSI en cualquier tipo de organizaciones y con el propósito de crear una base para recolectar, analizar y comunicar datos relacionados a este SGSI, los cuales serán empleados para tomar decisiones que permitan mejorar el mismo.
Hace referencia a que es indispensable para la aplicación de este documento, el conocimiento del estándar ISO 27001:2005.
II. Terminología.
A continuación sólo se describen las definiciones fundamentales que serán empleadas en este texto.
Atributo: Propiedad o característica de una “entidad”, que puede ser distinguida cuantitativa o cualitativamente, por una persona o sistema automatizado.
Entidad: Un objeto (tangible o intangible), que será caracterizado a través de la medición de sus “atributos”.
Indicador: Es una medida que provee una estimación o evaluación de un “atributo” especificado, con respecto a las necesidades de información definidas.
III. Resumen del borrador de la norma ISO 27004.
1. Mediciones en un SGSGI:
Se basa sobre el modelo PDCA (Plan – Do – Check – Act) que es un ciclo continuo. Se podría resumir esto en la idea que, las mediciones están orientadas principalmente al “Do” (Implementación y operación de SGSI), como una entrada para el “Check” (Monitorizar y revisar), y de esta forma poder adoptar decisiones de mejora del SGSI a través del “Act”
Una organización debe describir como se interrelacionan e interactúan el SGSI y las mediciones, desarrollando guías que aseguren, aclaren y documenten esta relación, con todo el detalle posible.
Los objetivos de estos procesos de mediciones son:
• Evaluar la efectividad de la implementación de los controles de seguridad.
• Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
• Proveer estados de seguridad que guíen las revisiones del SGSI, facilitando mejoras a la seguridad y nuevas entradas para auditar.
• Comunicar valores de seguridad a la organización.
• Servir como entradas al plan de análisis y tratamiento de riesgos.
2. El modelo y método para las mediciones de seguridad:
Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información. El éxito de este programa, se basará en la asistencia o ayuda que estas mediciones aporten para adoptar decisiones, o determinar la eficiencia de los controles de seguridad. Por lo tanto este programa de mediciones debe estar basado en un “Modelo” de mediciones de seguridad de la información.
Este Modelo es una estructura que enlaza los atributos medibles con una entidad relevante. Estas entidades, incluyen procesos, productos, proyectos y recursos. Es decir, este modelo debe describir cómo estos atributos son cuantificados y convertidos a indicadores que provean bases para la toma de decisiones, sustentados en necesidades de información específica.
El primer paso para el desarrollo de este modelo, es definir los atributos que se consideran más relevantes para medir la información que se necesita. Un mismo atributo puede ser incorporado en múltiples mediciones, soportando diferentes necesidades de información.
Para definir cómo los atributos deben ser medidos, esta norma propone también un Método.
Existen dos tipos de métodos para cuantificar los atributos:
• Subjetivos: Implica el criterio humano.
• Objetivos: Se basan en una regla numérica, que puede ser aplicada por personas o recursos automatizados. Los métodos de medición pueden abarcar varios tipos de actividades y un mismo método puede aplicar a múltiples atributos. Algunos ejemplos de métodos son:
• Encuestas/indagaciones.
• Observación.
• Cuestionarios.
• Valoración de conocimientos.
• Inspecciones.
• Re-ejecuciones.
• Consulta a sistemas.
• Monitorización (“Testing”)
• Muestreo.
Un tema a considerar es la asociación de mediciones con determinadas escalas, de las cuales se proponen los siguiente tipos:
• Nominal: Los valores son categóricos.
• Ordinal: Los valores son ordenados.
• Intervalos: Se poseen máximos y mínimos con distancias entre ellos.
• Ratio: Tienen escalas de distancias, relacionadas a mediciones.
La última referencia la hace respecto a la unidades de medición, recomendando emplear convenciones para uniformar las mismas
El último aspecto a considerar aquí es el de la frecuencia. Se deberían definir y programar claramente los intervalos en los cuales se llevará a cabo cada medición (Semanal, mensual, trimestral, anual, etc.). Considerando una relación entre la necesidad de contar con esta información y el esfuerzo para obtenerla (coste/beneficio).
3. Definición y selección de las mediciones en un SGSI:
La norma especifica también, como desarrollar las mediciones para poder cuantificar la eficiencia de un SGSI, sus procesos y controles.
La mediciones de la información pueden ser requeridas para:
• Gobierno Corporativo.
• Cumplimiento de regulaciones y/o requisitos legales.
• Operaciones o gestión organizacional.
• Certificación de un SGSI.
• Clientes, partners, socios de negocio, etc.
• Mejoras en la implementación y/o eficiencia del SGSI.
• Mejora de procesos.
Los pasos a seguir para el establecimiento y operación de un programa de mediciones son:
• Definición de los procesos
• El desarrollo de mediciones aplicables.
• La implementación del programa.
• Revisión de mediciones.
Finalmente todo el programa de mediciones debe ser revisado en pasos posteriores (y continuos), para verificar que el mismo sigue ofreciendo a la organización información válida, las fuentes y otros atributos continúan siendo correctos y los beneficios contra el esfuerzo requerido siguen siendo positivos. Como consecuencia de este análisis, las mediciones podrán ser mantenidas, eliminadas, sustituidas o modificadas.
Las mediciones están directamente relacionadas a:
• Procesos de sistemas de gestión (Ej: ¿Se realizaron las auditorías?, ¿Este manual cumple con los estándares?, etc.).
• Ejecución de controles de seguridad de la información (Ej: Volumen de incidencias por tipo, acceso a tablas, etc.).
Esta norma define dos categorías de mediciones:
• Mediciones de ejecución: Eficiencia.
• Mediciones de progreso: Cambios en la protección de la información.
Los constantes ciclos de estas mediciones requieren inicialmente un fase de planeamiento, donde se establezcan las premisas genéricas, se pueda elegir una selección de mediciones de información de seguridad y su categorización. Este planeamiento garantiza que el contexto de mediciones sea correctamente establecido. El planeamiento debe incluir identificación de recursos financieros, humanos y de infraestructura incluyendo los responsables de proveerlos y asignarlos para asegurar su correcta implementación.
Una medición para ser válida, debería cumplir con los siguientes criterios:
• Estratégico: Alineado con la estrategia y misión de seguridad de la información.
• Cuantitativo: Datos numéricos o empíricos, más que opiniones.
Últimos comentarios