Aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dóna suport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les Illes Balears (IDI). Amb un format divulgatiu i senzill, explica com qualsevol empresa pot optar per introduir un sistema de gestió de la seguretat de la informació, aplicant uns estàndards reconeguts internacionalment com són els de les normes ISO. Així com la ISO 9001 és una bona referència de qualitat a l’empresa, la 27001 vol ser un referent idèntic en el camp de la seguretat.
1. Com implantar
un sistema de seguretat
de la informació
segons les normes internacionals
ISO 27001 i ISO 27002
2. Com implantar
un sistema de seguretat
de la informació
segons les normes internacionals
ISO 27001 i ISO 27002
3.
4. Una aposta pel futur
La introducció de la informàtica i de les noves tecnologies en tots els àmbits, incloent-hi el món empresa-
rial, és tant una realitat com una necessitat per a tot projecte empresarial que vulgui ser competitiu. La in-
formatització de la informació i l’ús de les tecnologies de la informació i de la comunicació (TIC) ofereixen
grans avantatges a les empreses, que poden augmentar la seva productivitat i els seus serveis, però que
també han de saber com afrontar els riscos: com assegurar la confidencialitat de la informació, la seva in-
tegritat i la seva disponibilitat.
Per això, em complau presentar aquesta Guia sobre la implantació de la ISO 27001 i 27002, a la qual dóna
suport la Conselleria de Comerç, Indústria i Energia a través de l’Institut d’Innovació Empresarial de les Illes
Balears (IDI). Amb un format divulgatiu i senzill, explica com qualsevol empresa pot optar per introduir un
sistema de gestió de la seguretat de la informació, aplicant uns estàndards reconeguts internacionalment
com són els de les normes ISO. Així com la ISO 9001 és una bona referència de qualitat a l’empresa, la
27001 vol ser un referent idèntic en el camp de la seguretat.
Una bona gestió en aquest camp reporta beneficis evidents. Des de la diferenciació de la competència a
una reducció dels riscos que pot generar la pèrdua o el robatori d’informació vital per a l’empresa. Una em-
presa atenta a tots els detalls és una empresa ben gestionada. I una empresa ben gestionada és garan-
tia d’èxit i de futur.
Francesca Vives i Amer
Consellera de Comerç, Indústria i Energia
5
5.
6. Coordinació del projecte
Institut d’Innovació Empresarial de les Illes Balears
Servei d’Informació i Formació Empresarial
Autor
José María Gilgado
Edició
Institut d’Innovació Empresarial
de les Illes Balears
Ha coordinat la guia
Pilar Jordi i Antònia Fullana
Impressió
Gràfiques Planisi
Dipòsit legal: PM 1168 - 2010
1a edició: octubre 2010
7
10. PRÒLEG DE L’AUTOR
Gràcies a l’interès recent de les organitzacions tant públiques com privades del teixit empresarial
balear per les normes ISO 27001 i ISO 27002 sobre seguretat de la informació, l’Institut d’Innovació
Empresarial de les Illes Balears, un organisme públic adscrit a la Conselleria de Comerç, Indústria
i Energia del Govern de les Illes Balears, ha decidit publicar, amb l’ajuda d’una empresa consultora
amb experiència en el disseny de sistemes de gestió, aquesta guia tècnica.
L’objectiu d’aquesta guia és donar una orientació pràctica respecte al tema de la seguretat de la
informació amb procediments i casos reals, així com exemples d’alguns documents típics que es
generen habitualment en el procés d’implantació.
Aquesta guia està dirigida a empresaris, directius, consultors i responsables de qualitat i d’informàtica
d’empreses i institucions per als quals la informació sigui un factor rellevant en la seva activitat.
José María Gilgado Tanco
Consultor de gestió
11
11.
12. 1. INTRODUCCIÓ
La informació, juntament amb els processos i els sistemes que en fan ús, són actius molt
importants d’una organització. La confidencialitat, la integritat i la disponibilitat d’informació
sensible poden arribar a ser essencials per mantenir els nivells de competitivitat, rendibilitat,
conformitat legal i imatge empresarial necessaris per aconseguir els objectius de l’organització
i assegurar beneficis econòmics.
Les organitzacions i els seus sistemes d’informació estan exposats a un nombre cada vegada
més elevat d’amenaces que, aprofitant qualsevol de les vulnerabilitats que hi ha, poden sotmetre
actius crítics d’informació a diverses formes de frau, espionatge, sabotatge o vandalisme.
Els virus informàtics, els hacking o els atacs de denegació de servei són alguns exemples
comuns i coneguts, però també s’han de considerar els riscs de patir incidents de seguretat
causats voluntàriament o involuntàriament des de dins l’organització mateixa o els provocats
accidentalment per catàstrofes naturals i fallades tècniques.
El compliment de la legalitat, l’adaptació dinàmica i puntual a les condicions variables de l’entorn,
la protecció adequada dels objectius de negoci per assegurar el màxim benefici o l’aprofitament
de noves oportunitats de negoci, són alguns dels aspectes fonamentals en els quals un sistema
de gestió de la seguretat de la informació (SGSI) és una eina de gran utilitat i de gran ajuda per
gestionar les organitzacions.
El nivell de seguretat aconseguit per mitjans tècnics és limitat i insuficient per si mateix. En la gestió
efectiva de la seguretat, ha de prendre part activa tota l’organització, amb la gerència al capdavant, i
cal tenir en consideració també els clients i els proveïdors de béns i serveis. El model de gestió de la
seguretat ha de preveure uns procediments adequats i la planificació i la implantació de controls de
seguretat basats en una avaluació de riscs i en un mesurament de l’eficàcia d’aquests.
13
13. L’SGSI ajuda a establir aquestes polítiques i procediments en relació amb els objectius de
negoci de l’organització, a fi de mantenir un nivell d’exposició sempre menor al nivell de risc que
l’organització mateixa ha decidit assumir.
Amb un SGSI, l’organització coneix els riscs a què està sotmesa la seva informació, i els assumeix,
els minimitza, els transfereix o els controla mitjançant una sistemàtica definida, documentada i
coneguda per tothom que es revisa i es millora constantment.
Alguns dels textos que s’esmentaran a continuació han estat cedits pel portal www.iso27000.es.
2. SISTEMA DE GESTIÓ DE LA SEGURETAT DE LA INFORMACIÓ
L’SGSI (sistema de gestió de la seguretat de la informació) és el concepte central sobre el qual
es construeix la norma ISO 27001.
La gestió de la seguretat de la informació s’ha de fer mitjançant un procés sistemàtic, documentat
i conegut per tota l’organització.
Aquest procés és el que constitueix un SGSI, que podria considerar-se, per analogia amb una
norma tan coneguda com la norma ISO 9001, com el sistema de qualitat per a la seguretat de
la informació.
Garantir un nivell de protecció total és virtualment impossible, fins i tot en el cas de disposar d’un
pressupost il·limitat.
El propòsit d’un sistema de gestió de la seguretat de la informació és, per tant, garantir que els
riscs de la seguretat de la informació siguin coneguts, assumits, gestionats i minimitzats per
l’organització d’una forma documentada, sistemàtica, estructurada, repetible, eficient i adaptada
als canvis que es produeixin en els riscs, l’entorn i les tecnologies.
14
14. En les seccions següents es desenvoluparan els conceptes fonamentals d’un SGSI segons la
norma ISO 27001.
2.1 Què és un SGSI?
SGSI es l’abreviatura utilitzada per referir-se a un sistema de gestió de la seguretat de la
informació, ISMS són les sigles que corresponen a l’anglès information security management
system.
En aquest context s’entén per informació tot el conjunt de dades organitzades en poder
d’una entitat que tinguin valor per a si mateixa, independentment de la forma en què es
guardin o es transmetin (per escrit, en imatges, oralment, en paper, emmagatzemades
electrònicament, projectades, enviades per correu ordinari, fax o correu electrònic,
transmeses en converses, etc.), de l’origen que tinguin (de l’organització mateixa i de fonts
externes) o de la data d’elaboració.
La seguretat de la informació, segons la norma ISO 27001, consisteix a preservar-ne
la confidencialitat, la integritat i la disponibilitat, així com els sistemes implicats en el
tractament, dins una organització. Així, aquests tres termes constitueixen la base sobre la
qual es fonamenta tot l’edifici de la seguretat de la informació:
• Confidencialitat: La informació no es posa a disposició ni es revela a individus, entitats ni
processos no autoritzats.
• Integritat: Manteniment de l’exactitud i la completesa de la informació i els seus mètodes
de procediment.
• Disponibilitat: Accés i utilització de la informació i els sistemes de tractament d’aquesta per
part dels individus, les entitats o els processos autoritzats quan ho requereixin.
15
15. Per garantir que la seguretat de la informació és gestionada correctament, s’ha d’usar un
procés sistemàtic, documentat i conegut per tota l’organització, des d’un enfocament de
risc empresarial. Aquest procés és el que constitueix un SGSI.
2.2 Què inclou un SGSI?
En l’àmbit de la gestió de la qualitat segons la norma ISO 9001, sempre s’ha mostrat
gràficament la documentació del sistema com una piràmide de quatre nivells. És possible
traslladar aquest model a un sistema de gestió de la seguretat de la informació basat en la
norma ISO 27001 de la manera següent:
Documents de nivell 1
Manual de seguretat: La denominació és per analogia amb el manual de qualitat, encara
que el terme s’usa també en altres àmbits. Seria el document que inspira i dirigeix tot el
16
16. sistema, el que exposa i determina les intencions, l’abast, els objectius, les responsabilitats,
les polítiques, les directrius principals, etc., de l’SGSI.
Documents de nivell 2
Procediments: Documents en el nivell operatiu que asseguren que es fan de forma eficaç la
planificació, la gestió i el control dels processos de seguretat de la informació.
Documents de nivell 3
Instruccions, llistes de control (checklists) i formularis: Documents en què descriuen com es
fan les tasques i les activitats específiques relacionades amb la seguretat de la informació.
Documents de nivell 4
Registres: Documents que proporcionen una evidència objectiva del compliment dels
requisits de l’SGSI. Estan associats a documents dels altres tres nivells com a output, que
demostra que s’ha complit allò que s’hi ha indicat.
De manera específica, la norma ISO 27001 indica que un SGSI ha d’estar format pels
documents següents (en qualsevol format o tipus de mitjà):
• Abast de l’SGSI: Àmbit de l’organització que queda sotmès a l’SGSI. Inclou una identificació
clara de les dependències, les relacions i els límits que hi ha entre l’abast i les parts que
no hagin estat considerades (en els casos en què l’àmbit d’influència de l’SGSI consideri
un subconjunt de l’organització com a delegacions, divisions, àrees, processos, sistemes o
tasques concretes).
• Política i objectius de seguretat: Document de contingut genèric que estableix el
compromís de la direcció i l’enfocament de l’organització en la gestió de la seguretat
de la informació.
17
17. • Enfocament d’avaluació de riscs: Descripció de la metodologia que s’emprarà (com es farà
l’avaluació de les amenaces, les vulnerabilitats, les probabilitats que ocorrin i els impactes en
relació amb els actius d’informació continguts dins l’abast seleccionat), el desenvolupament
de criteris d’acceptació de risc i la fixació de nivells de risc acceptables.
• Informe d’avaluació de riscs: Estudi que resulta d’aplicar la metodologia d’avaluació
anteriorment esmentada als actius d’informació de l’organització.
• Pla de tractament de riscs: Document en què figuren les accions de la direcció, els recursos,
les responsabilitats i les prioritats per gestionar els riscs de seguretat de la informació segons
les conclusions obtingudes de l’avaluació de riscs, dels objectius de control identificats,
dels recursos disponibles, etc.
• Procediments documentats: Tots els necessaris per assegurar la planificació, la gestió i el
control dels processos de seguretat de la informació, així com per mesurar l’eficàcia dels
controls implantats.
• Registres: Documents que proporcionen evidències de la conformitat amb els requisits i del
funcionament eficaç de l’SGSI.
• Declaració d’aplicabilitat (SOA, statement of applicability, en les sigles angleses): Document
que conté els objectius de control i els controls prevists en l’SGSI que es basa en els resultats
dels processos d’avaluació i tractament de riscs i en què es justifiquen les inclusions i les
exclusions.
Control de la documentació
Pel que fa als documents generats, s’ha d’establir, documentar, implantar i mantenir un
procediment que defineixi les accions de gestió necessàries per dur a terme les accions
següents:
18
18. • Aprovar documents apropiats abans d’emetre’ls.
• Revisar i actualitzar documents quan sigui necessari i renovar-ne la validesa.
• Garantir que els canvis i l’estat actual de revisió dels documents estan identificats.
• Garantir que les versions rellevants de documents vigents estan disponibles als llocs en què
s’han d’emprar.
• Garantir que els documents es mantenen llegibles i fàcilment identificables.
• Garantir que els documents estan disponibles per a les persones que els necessitin i
que són transmesos, emmagatzemats i finalment destruïts d’acord amb els procediments
aplicables segons la seva classificació.
• Garantir que els documents procedents de l’exterior estan identificats.
• Garantir que la distribució de documents està controlada.
• Prevenir la utilització de documents obsolets.
• Aplicar la identificació apropiada a documents que són retinguts amb algun propòsit.
2.3 Com s’implanta un SGSI?
Per establir i gestionar un sistema de gestió de la seguretat de la informació basant-se en la
norma ISO 27001, s’utilitza el cicle de millora contínua o PDCA, tradicional en els sistemes
de gestió de la qualitat, que significa:
• Plan (‘planificar’): establir l’SGSI.
• Do (‘fer’): implantar i utilitzar l’SGSI.
• Check (‘verificar’): monitorar i revisar l’SGSI.
• Act (‘actuar’): mantenir i millorar l’SGSI.
19
19. Plan: Establir l’SGSI
• Definir l’abast de l’SGSI en termes del negoci, l’organització, la localització, els actius i les
tecnologies, inclosos els detalls i la justificació de qualsevol exclusió.
• Definir una política de seguretat que:
- Inclogui el marc general i els objectius de seguretat de la informació de l’organització.
- Consideri requeriments legals o contractuals relatius a la seguretat de la informació.
- Estigui alineada amb el context estratègic de gestió de riscs de l’organització en què
s’establirà i es mantindrà l’SGSI.
- Estableixi els criteris amb què s’avaluarà el risc.
- Estigui aprovada per la direcció.
• Definir una metodologia d’avaluació del risc apropiada per a l’SGSI i els requeriments del
negoci, a més d’establir els criteris d’acceptació del risc i especificar els nivells de risc
acceptable. Allò primordial d’aquesta metodologia és que els resultats obtinguts siguin
comparables i repetibles (hi ha nombroses metodologies estandarditzades per avaluar els
riscs, encara que és perfectament acceptable definir-ne una de pròpia).
• Identificar els riscs:
- Identificar els actius que estan dins l’abast de l’SGSI i els responsables directes, denominats
propietaris.
- Identificar les amenaces en relació amb els actius.
- Identificar les vulnerabilitats que puguin ser aprofitades per aquestes amenaces.
- Identificar els impactes en la confidencialitat, la integritat i la disponibilitat dels actius.
• Analitzar i avaluar els riscs:
- Avaluar l’impacte en el negoci d’un fallada de seguretat que suposi la pèrdua de
confidencialitat, integritat o disponibilitat d’un actiu d’informació.
- Avaluar de forma realista la probabilitat que ocorri una fallada de seguretat en relació amb
20
20. les amenaces, les vulnerabilitats, els impactes en els actius i els controls que ja estiguin
implantats.
- Estimar els nivells de risc.
- Determinar, segons els criteris d’acceptació de risc prèviament establerts, si el risc és
acceptable o necessita ser tractat.
• Identificar i avaluar les distintes opcions de tractament dels riscs per:
- Aplicar controls adequats.
- Acceptar el risc, sempre que es continuïn complint les polítiques i els criteris establerts per
acceptar-los.
- Evitar el risc, per exemple, mitjançant el cessament de les activitats que l’originin.
- Transferir el risc a tercers, per exemple, companyies asseguradores o proveïdors
d’outsourcing.
• Seleccionar els objectius de control i els controls de l’annex A de la norma ISO 27001,
que corresponen amb la norma ISO 27002, per al tractament del risc que compleixin els
requeriments identificats en el procés d’avaluació del risc.
• Aprovar per part de la direcció tant els riscs residuals com la implantació i l’ús de l’SGSI.
• Definir una declaració d’aplicabilitat que inclogui:
- Els objectius de control, els controls seleccionats i els motius de triar-los.
- Els objectius de control i els controls que ja estan implantats.
- Els objectius de control i els controls de l’annex A exclosos i els motius d’excloure’ls. Aquest
és un mecanisme que permet, a més, detectar possibles omissions involuntàries.
En relació amb els controls de seguretat, l’estàndard ISO 27002 (antiga ISO 17799)
proporciona una guia d’implantació completa que conté 133 controls, segons 39 objectius
de control agrupats en 11 dominis. Aquesta norma és referenciada en la norma ISO 27001,
en la segona clàusula, en termes de «document indispensable per a l’aplicació d’aquest
21
21. document» i deixa oberta la possibilitat d’incloure controls addicionals en el cas que la guia
no prevegi totes les necessitats particulars.
Do: Implantar i utilitzar l’SGSI
• Definir un pla de tractament de riscs que identifiqui les accions, els recursos, les
responsabilitats i les prioritats en la gestió dels riscs de seguretat de la informació.
• Implantar el pla de tractament de riscs, a fi d’assolir els objectius de control identificats, que
inclogui l’assignació de recursos, les responsabilitats i les prioritats.
• Implantar els controls anteriorment seleccionats que portin als objectius de control.
• Definir un sistema de mètriques que permeti obtenir resultats reproduïbles i comparables
per mesurar l’eficàcia dels controls o dels grups de controls.
• Procurar programes de formació i conscienciació en relació amb la seguretat de la informació
a tot el personal.
• Gestionar les operacions de l’SGSI.
• Gestionar els recursos necessaris assignats a l’SGSI per mantenir la seguretat de la
informació.
• Implantar procediments i controls que permetin una detecció i una resposta ràpides als
incidents de seguretat.
Check: Monitorar i revisar l’SGSI
L’organització ha de fer les tasques següents:
• Executar procediments de monitoratge i revisió per:
- Detectar a temps els errors en els resultats generats pel processament de la informació.
- Identificar forats i incidents de seguretat.
- Ajudar la direcció a determinar si les activitats exercides per les persones i els dispositius
22
22. tecnològics per garantir la seguretat de la informació es desenvolupen d’acord amb el que
es preveu.
- Detectar i prevenir esdeveniments i incidents de seguretat mitjançant l’ús d’indicadors.
- Determinar si les accions fetes per resoldre forats de seguretat han estat efectives.
• Revisar regularment l’efectivitat de l’SGSI, atenent el compliment de la política i dels objectius
de l’SGSI, els resultats d’auditories de seguretat, els incidents, els resultats dels mesuraments
d’eficàcia, els suggeriments i les observacions de totes les parts implicades.
• Mesurar l’efectivitat dels controls per verificar que es compleixen els requisits de seguretat.
• Revisar regularment en intervals planificats les avaluacions de risc, els riscs residuals i els
seus nivells acceptables, tenint en compte els possibles canvis que hagin pogut produir-se
en l’organització, la tecnologia, els objectius i els processos de negoci, les amenaces
identificades, l’efectivitat dels controls implantats i l’entorn exterior —requeriments legals,
obligacions contractuals, etc.
• Periòdicament, dur a terme auditories internes de l’SGSI en intervals planificats.
• Periòdicament, la direcció ha de revisar l’SGSI per garantir que l’abast definit continua
essent l’adequat i que les millores en el procés de l’SGSI són evidents.
• Actualitzar els plans de seguretat segons les conclusions i les noves troballes fetes durant
les activitats de monitoratge i revisió.
• Registrar accions i esdeveniments que puguin haver impactat en l’efectivitat o el rendiment
de l’SGSI.
Act: Mantenir i millorar l’SGSI
Regularment, l’organització ha de fer les tasques següents:
• Implantar en l’SGSI les millores identificades.
23
23. PLAN
Missió Definició Política,
Visió de la política,
objectius
els objectius
Valors i l’abast i abast
PLAN
Inventari
Informe de l’anàlisi Anàlisi d’actius
Controls de l’annex A de
Informe de
Altres controls riscs
l’anàlisi
PLAN
PDCA SOA
Controls del pla Tractament PLa de
de tractament de
tractament
de risc risc
Procès de risc
DO
Entrades
Auditoríes
Registres Implantació i Procediments
Revisió de sistema operació Polítiques
de l’SGSI Instruccions
Indicadors
Sortides
CHECK
Accions correctives Monitorització
Pla de
i revisió
Accions preventives millora
de l’SGSI
ACT
Informe de l’anàlisi Manteniment
Millora
Controls de l’annex A i millora
de l’SGSI contínua
Altres controls
Dibuix 2: Cicle PDCA d’un SGSI
24. • Fer les accions preventives i correctives adequades en relació amb la clàusula 8 de la
norma ISO 27001 i les lliçons apreses de les experiències pròpies i d’altres organitzacions.
• Comunicar les acciones i les millores a totes les parts interessades amb el nivell de detall
adequat i decidir, si és pertinent, la forma d’actuar.
• Assegurar-se que les millores introduïdes assoleixen els objectius prevists.
El PDCA és un cicle de vida continu, la qual cosa vol dir que la fase act porta de nou a la fase
de plan per iniciar un nou cicle de les quatre fases. Cal tenir en compte que no hi ha d’haver una
seqüència estricta de les fases, sinó que, per exemple, hi pot haver activitats d’implantació que
es duguin a terme quan altres de planificació encara no han acabat, o que es monitorin controls
que encara no estan totalment implantats.
2.4 Quina responsabilitat té la direcció en un SGSI?
Un dels components primordials perquè tingui èxit la implantació d’un sistema de gestió de
seguretat de la informació és la implicació de la direcció.
No es tracta d’una expressió retòrica, sinó que ha d’assumir-se des d’un principi que un SGSI
afecta fonamentalment la gestió del negoci, i requereix, per tant, que hi hagi decisions i accions
que només pot prendre la gerència de l’organització. No s’ha de caure en l’error de considerar
un SGSI una mera qüestió tècnica o tecnològica relegada a nivells inferiors de l’organigrama;
s’estan gestionant riscs i impactes de negoci que són responsabilitat i decisió de la direcció.
El terme direcció s’ha de considerar sempre des del punt de vista de l’abast de l’SGSI. És a dir,
es refereix al nivell més alt de gerència de l’organització afectada per l’SGSI (cal recordar que
l’abast no té per què ser tota l’organització).
Algunes de les tasques fonamentals de l’SGSI que la norma ISO 27001 assigna a la direcció es
25
25. detallen en els punts següents:
Compromís de la direcció
La direcció de l’organització ha de comprometre’s amb l’establiment, la implantació, la gestió,
el monitoratge, la revisió, el manteniment i la millora de l’SGSI. Per això, ha de prendre les
iniciatives següents:
• Establir una política de seguretat de la informació.
• Assegurar-se que s’estableixen objectius i plans de l’SGSI.
• Establir rols i responsabilitats de seguretat de la informació.
• Comunicar a l’organització tant la importància d’aconseguir els objectius de seguretat de la
informació i de complir la política de seguretat, com les seves responsabilitats legals i
la necessitat de millora contínua.
• Assignar prou recursos a l’SGSI en totes les fases.
• Decidir els criteris d’acceptació de riscs i els nivells corresponents.
• Assegurar que es facin auditories internes.
• Revisar l’SGSI, com es detalla més endavant.
Assignació de recursos
Per a un desenvolupament correcte de totes les activitats relacionades amb l’SGSI, és
imprescindible assignar recursos. És responsabilitat de la direcció garantir que s’assignen prou
recursos a:
• Establir, implantar, gestionar, monitorar, revisar, mantenir i millorar l’SGSI.
• Garantir que els procediments de seguretat de la informació donen suport als requeriments
de negoci.
26
26. • Identificar i tractar tots els requeriments legals i normatius, així com les obligacions
contractuals de seguretat.
• Aplicar correctament tots els controls implantats i mantenir d’aquest forma la seguretat
adequada.
• Fer revisions quan sigui necessari i actuar adequadament segons els resultats que hi hagi.
• Millorar l’eficàcia de l’SGSI on sigui necessari.
Formació i conscienciació
La formació i la conscienciació en seguretat de la informació són elements bàsics perquè tingui
èxit un SGSI. Per això, la direcció ha d’aconseguir que tot el personal de l’organització al qual
s’assignen responsabilitats definides en l’SGSI estigui prou capacitat:
• Ha de determinar les competències necessàries per al personal que fa tasques en l’aplicació
de l’SGSI.
• Ha de satisfer aquestes necessitats per mitjà de formació o d’altres accions, com, per
exemple, contractació de personal ja format.
• Ha d’avaluar l’eficàcia de les accions dutes a terme.
• Ha de mantenir registres d’estudis, formació, habilitats, experiència i qualificació.
A més, la direcció ha de fer que tot el personal rellevant estigui conscienciat de la importància
que tenen les seves activitats de seguretat de la informació i de com contribueix a la consecució
dels objectius de l’SGSI.
Revisió de l’SGSI
A la direcció de l’organització se li assigna també la tasca de, almenys una vegada a l’any,
revisar l’SGSI, per assegurar-se que continua essent adequat i eficaç. Per fer-ho, ha de rebre una
sèrie d’informacions que l’ajudin a prendre decisions, entre les quals hi pot haver les següents:
• Resultats d’auditories i revisions de l’SGSI.
27
27. • Observacions de totes les parts interessades.
• Tècniques, productes o procediments que puguin ser útils per millorar el rendiment i
l’eficàcia de l’SGSI.
• Informació sobre l’estat d’accions preventives i correctives.
• Vulnerabilitats o amenaces que no siguin tractades adequadament en avaluacions de riscs
anteriors.
• Resultats dels mesuraments d’eficàcia.
• Estat de les accions iniciades arran de revisions anteriors de la direcció.
• Qualsevol canvi que pugui afectar l’SGSI.
• Recomanacions de millora.
Basant-se en totes aquestes informacions, la direcció ha de revisar l’SGSI i prendre decisions i
accions relatives a:
• Millora de l’eficàcia de l’SGSI.
• Actualització de l’avaluació de riscs i del pla de tractament de riscs.
• Modificació dels procediments i dels controls que afectin la seguretat de la informació, en
resposta a canvis interns o externs en els requisits de negoci, requeriments de seguretat,
processos de negoci, marc legal, obligacions contractuals, nivells de risc i criteris
d’acceptació de riscs.
• Necessitats de recursos.
• Millora de la forma de mesurar l’efectivitat dels controls.
2.5 S’integra un SGSI en altres sistemes de gestió?
Un SGSI és bàsicament un sistema de gestió, és a dir, una eina de la qual disposa la gerència
per dirigir i controlar un determinat àmbit, en aquest cas la seguretat de la informació.
28
28. La gestió de les activitats de les organitzacions es du a terme cada vegada més sovint segons
sistemes de gestió basats en estàndards internacionals: es gestiona la qualitat segons la
norma ISO 9001, l’impacte mediambiental segons la norma ISO 14001 o la prevenció de riscs
laborals segons l’OHSAS 18001. Ara, s’hi afegeix la norma ISO 27001 com a estàndard de
gestió de seguretat de la informació.
Les empreses tenen la possibilitat d’implantar un nombre variable d’aquests sistemes de gestió
per millorar l’organització i els beneficis sense imposar una càrrega a l’organització.
L’objectiu darrer hauria de ser arribar a un únic sistema de gestió que prevegi tots els aspectes
necessaris per a l’organització basant-se en el cicle PDCA de millora contínua comú a tots aquests
estàndards. Les facilitats per integrar les normes ISO són evidents si se’n consulten els annexos.
La norma ISO 27001 detalla en l’annex C la correspondència entre aquesta norma i les normes
ISO 9001 i ISO 14001. S’hi observa la gran correlació que hi ha i es pot intuir la possibilitat
d’integrar el sistema de gestió de seguretat de la informació en els sistemes de gestió que ja hi
hagi en l’organització. Alguns punts que suposen una novetat en la norma ISO 27001 enfront
d’altres estàndards són l’avaluació de riscs i l’establiment d’una declaració d’aplicabilitat (SOA),
encara que ja es planteja incorporar aquests a la resta de normes en un futur.
2.6 Beneficis d’implantar un SGSI
• Establiment d’una metodologia de gestió de la seguretat clara i estructurada.
• Reducció del risc de pèrdua, robatori o corrupció d’informació.
• Els clients tenen accés a la informació mitjançant mesures de seguretat.
• Els riscs i els controls d’aquests riscs són revisats contínuament.
• Confiança de clients i socis estratègics per la garantia de qualitat i confidencialitat comercial
que s’ofereix.
• Les auditories externes ajuden cíclicament a identificar les debilitats del sistema i les àrees
que cal millorar.
29
29. • Possibilitat d’integrar-se amb altres sistemes de gestió (ISO 9001, ISO 14001, OHSAS
18001…).
• Continuïtat de les operacions necessàries de negoci després d’incidents de gravetat.
• Conformitat amb la legislació vigent sobre informació personal, propietat intel·lectual i
d’altres.
• Imatge d’empresa en l’àmbit internacional i element diferenciador de la competència.
• Confiança i regles clares per a les persones de l’organització.
• Reducció de costs i millora dels processos i servei.
• Augment de la motivació i satisfacció del personal.
• Augment de la seguretat basada en la gestió de processos i no en la compra sistemàtica de
productes i tecnologies.
2.7 Aspectes clau
Fonamentals
• Compromís i suport de la direcció de l’organització.
• Definició clara d’un abast apropiat.
• Conscienciació i formació del personal.
• Avaluació de riscs exhaustiva i adequada a l’organització.
• Compromís de millora contínua.
• Establiment de polítiques i normes.
• Organització i comunicació.
• Integració de l’SGSI en l’organització.
Factors d’èxit
• La conscienciació de l’empleat vers la seguretat. Aquest és el principal objectiu que s’ha
d’aconseguir.
30
30. • Creació de comitès de direcció amb descobriment continu de no-conformitats o accions de
millora.
• Creació d’un sistema de gestió d’incidències que reculli notificacions contínues dels usuaris
(els incidents de seguretat han de ser reportats i analitzats).
• La seguretat absoluta no existeix, es tracta de reduir el risc a nivells assumibles.
• La seguretat no és un producte, és un procés.
• La seguretat no és un projecte, és una activitat contínua, i el programa de protecció necessita
el suport de l’organització perquè tingui èxit.
• La seguretat ha de ser inherent als processos d’informació i del negoci.
Riscs
• Excés de temps d’implantació: amb els consegüents costs descontrolats, desmotivació,
allunyament dels objectius inicials, etc.
• Temor davant el canvi: resistència de les persones.
• Discrepàncies en el comitès de direcció.
• Delegació de totes les responsabilitats en departaments tècnics.
• No assumpció que la seguretat de la informació és inherent als processos de negoci.
• Plans de formació i conscienciació inadequats.
• Calendari de revisions que no es puguin complir.
• Definició poc clara de l’abast.
• Excés de mesures tècniques en detriment de la formació, la conscienciació i les mesures de
tipus organitzatiu.
• Falta de comunicació dels progressos al personal de l’organització.
Consells bàsics
• Mantenir la senzillesa i restringir-se a un abast manejable i reduït: un centre de treball, un
procés de negoci clau, un sol centre de procés de dades o una àrea sensible concreta.
31
31. Una vegada aconseguit l’èxit i observats els beneficis, s’hauria d’ampliar gradualment
l’abast en fases successives.
• Comprendre detalladament el procés d’implantació: no s’ha d’iniciar basant-se en qüestions
exclusivament tècniques, ja que és un error freqüent que ràpidament sobrecarrega de
problemes la implantació, s’ha d’adquirir experiència d’altres implantacions i cal assistir a
cursos de formació o disposar de l’assessorament de consultors externs especialitzats.
• Gestionar el projecte fixant les diferents fites amb objectius i resultats.
• L’autoritat i el compromís decidit de la direcció de l’empresa —fins i tot si a l’inici es restringeix
a un abast reduït— evitaran moltes d’excuses per desenvolupar les bones pràctiques, a més
de ser un dels punts fonamentals de la norma.
• La certificació com a objectiu: encara que es pot aconseguir la conformitat amb la norma
sense certificar-se, la certificació d’un tercer assegura un millor enfocament, un objectiu
més clar i tangible i, per tant, millors opcions d’aconseguir l’èxit.
• No reinventar la roda: encara que l’objectiu sigui la norma ISO 27001, és bo obtenir informació
relativa a la gestió de la seguretat de la informació d’altres mètodes i marcs reconeguts.
• Servir-se del sistema ja implantat: altres estàndards com la norma ISO 9001 són útils com
a estructura de treball, estalvien temps i esforç i creen sinergies; és convenient demanar
ajuda i implicar-hi auditors interns i responsables d’altres sistemes de gestió.
• Reservar la dedicació necessària diària o setmanal: el personal involucrat en el projecte ha
de ser capaç de treballar amb continuïtat en el projecte.
• Registrar evidències: han de recollir-se evidències almenys tres mesos abans de l’intent de
certificació per demostrar que l’SGSI funciona adequadament.
3. EXEMPLES PRÀCTICS DE PROCEDIMENTS
A continuació, es presenten una sèrie de procediments de seguretat de la informació, els quals
asseguren que es fa de forma eficaç la planificació, la gestió i el control dels processos de
seguretat de la informació. Són procediments implantats en diferents organitzacions i que han
superat amb èxit les auditories de distintes entitats certificadores
32
32. 3.1 Gestió d’incidents de seguretat de la informació i millores
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 32 Gestió d’incidents de seguretat de la informació i millores Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1
Comitè de l’SGSI
i Informàtica i Informàtica i Informàtica
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Minimitzar els danys provocats per incidències de seguretat i pel mal funcionament, controlar-los i aprendre’n 01 02 / 07 Edició inicial
Empresa externa de Entrades: documents Sortides: resultats
Qualsevol usuari Personal d’IT de referència, dades, Informació complementària / observacions parcials o finals
manteniment materials, etc. *Registres per archivar
1. Qualsevol persona de l’organització que 1. No
Comunicar la tingui una incidència de tipus informàtic conformitat
incidència 1 (tant de maquinari com de programari) i
mitjançant NC
no la pugui resoldre per mitjans propis pot
Compatibilitat fer arribar al responsable de manteniment
i Informàtica informàtic la incidència per correu electrònic,
2 SMS, telèfon, o qualsevol altre canal que
No consideri adequat.
Quan la comunicació és per fallades del
Cal ajuda externa? programari., s’han d’anotar els símptomes
del problema i tots els missatges que
3 apareguin en pantalla.
Es pot Sí
8 solucionar 2. Cal avaluar la incidència segons el criteri
en remot? del responsable de manteniment d’IT, el qual
li donarà una prioritat (des d’immediata a uns
Avisar l’empresa externa quants dies) per resoldre-la.
4 Si la incidència és molt greu o es repeteix
Resoldre la
Resoldre
diverses vegades (entre 3 i 5 vegades), el
incidència 5 responsable d’IT podria considerar oportú
la incidència 9
obrir una no conformitat segons el procés
PG no conformitats, accions correctores i
No preventives.
Hi ha contracte? Cal recopilar totes les proves necessàries
No
per resoldre la incidència.
Cal material?
10 Sí 4. S’ha d’avisar una empresa externa de
Signar albarà i manteniment informàtic que estigui dins
Sí quedarse-se’n la llista de proveïdors aprovats (vegeu el
No 6. Albarà
una còpia procediment d’avaluació) i amb la qual es
Calen
pressuposts
6 tingui un contracte de confidencialitat (vegeu
el procediment PE-03-INF seguretat en els
11 accessos de terceres parts).
Sí
5. S’han de recopilar les proves que es consi-
Demanar tres pressupots derin oportunes per resoldre la incidència
12
Nota: Tots els empleats han de conèixer 12. pessuposts
els procediments per informar dels distints
Rebre autorització tipus d’incidències (fallada de seguretat,
de direcció 13 amenaça, debilitat o mal funcionament) que
puguin tenir impacte en la seguretat dels
actius de l’organització.
Comprar material Cal informar el departament d’informàtica
14 de qualsevol incidència observada o
sospitada tan aviat com sigui possible.
Desplaçar-se al lloc
de la incidència Els empleats que cometin infraccions en
15 matèria de seguretat han de ser amonestats
segons decideixi el comitè de direcció o de
seguretat de la informació.
Resoldre Fi
la incidència 16 del procés 7
33. 3.2 Còpies de seguretat i recuperació d’arxius
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 33 Còpies de seguretat i recuperació d’arxius Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1
Comitè de l’SGSI
i Informàtica i Informàtica i Informàtica
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Mantenir la integritat i la disponibilitat dels serveis de tractament de la informació i la comunicació 01 02 / 07 Edició inicial
Entrades: documents Sortides: resultats
Usuaris Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals
materials, etc. *Registres per archivar
1. Reglament 1. La informació de la qual es fa còpies a
de mesures les cintes de seguretat és la del servidor
Necessitat de fer de seguretat principal, que és la que s’ha considerat que
còpies de seguretat 1 dels fitxers té importància per al negoci.
automatitzats
que continguin
dades de
Cada matí, llevar la cinta caràcter personal
del dia anterior
2
3. Cada dia es comprova que el programa 3. Cinta del
Introduir la cinta del dia en s’ha executat correctament i s’anota a mà la dia en curs
curs i fer la comprovació comprovació.
3
2. Cinta del
Guardar la cinta a la
caixa forta
dia anterior
4
5. Qualsevol persona de l’organització que 5. No conformitat
tingui una incidència sobre recuperació
No d’algun arxiu eliminat accidentalment pot
Cal restablir fer arribar al responsable de manteniment
cap fitxer? informàtic la incidència segons allò que s’ha
descrit en el procés PTI-01-INF de resposta
Sí davant incidències i mals funcionaments de
la seguretat.
Sol·licitut al 5
departament de
TI mitjançant NC
Cercar la cinta del
dia anterior
6 11. Les ajudes de suports s’han de prova 11. Registre de
manualment quan sigui factible, a fi d’asse- comprovacions
gurar que són fiables quan sigui necessari
Introduir la cinta usar-los en cas d’emergència. També s’han
en el servidos de comprovar regularment els procediments
7 de recuperació per assegurar que són
eficaços i que poden complir-se en el temps
establert en els procediments operatius de
Comprovar la fiabilitat del recuperació.
fitxer de la cinta
8
Restablir el fitxer sol·licitat
9
Fer comprovacions
11 Fi del procés 10
mensuals
34. 3.3 Seguretat en els accessos de tercers
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 34 Seguretat en els accessos de terceres parts Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 d’1
Comitè de l’SGSI
i Informàtica i Informàtica i Informàtica
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Mantenir la seguretat que terceres parts puguin accedir als recursos de tractament de la informació i dels actius d’informació de l’organització 01 02 / 07 Edició inicial
Personal d’empreses Entrades: documents Sortides: resultats
Director d’TI de referència, dades, Informació complementària / observacions parcials o finals
col·laboradores i visitants materials, etc. *Registres per archivar
1. Els tercers que treballen en l’organització
de forma temporal també poden augmentar
les debilitats de la seguretat.
Exemples de tercers serien:
Necessitat d’accedir
fisicament o lògicament 1 a) El personal de manteniment i suport de 2 i 5. Identificació
a la informació maquinari i programari. i avaluació de
b) Els serveis de suport externalitzats de riscs relatius a
neteja, vigilància i d’altres. parts externes
c) Els estudiants en pràctiques o amb altres
contractats per temps limitat.
Sí Té dret 5. Es consideren aquests tipus d’accés:
d’accés? 2
a) Accés físic, per exemple, a despatxos,
magatzem, etc.
No
Accedir a la b) Accés lògic, per exemple, a bases de
informació 3 dades o a sistemes d’informació de l’orga-
Identificar el tipus d’accés nització.
4
Motius d’accés. Hi ha tercers que han de 8. Clàusules
tenir accés físic i lògic perquè donen servei establertes en
a l’empresa, sense estar-hi instal·lats, per les ofertes
Avaluar el riscs exemple:
4 a) El personal de suport al maquinari i al
programari requereix accés en el nivell del
sistema o de les funcionalitats de baix nivell
No de les aplicacions.
Cal aplicar b) Els associats o partícips en el negoci
controls? 6
que han d’intercanviar informació, accedir 8. Contracte
als sistemes d’informació o compartir bases signat
Sí de dades.
Identificar els controls
que cal aplicar
7
Implantar els controls
8
9. Contracte
tipus
Accedir a la
informació 9
35. 3.4 Gestió d’accessos, privilegis i contrasenyes d’usuaris
Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 1 de 2
Comitè de l’SGSI
i Informàtica i Informàtica i Informàtica
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial
Entrades: documents Sortides: resultats
Tot el pesonal Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals
materials, etc. *Registres per archivar
2. L’àlies de l’usuari es construeix utilitzant
Necessitat de gestionar els criteris següents:
altes i modificacions 1
d’accessos, privilegis i/o Grandària mínima: 3 caràcters.
contrasenyes Grandària màxima: 14 caràcters.
Primera inicial del nom.
Primera inicial del segon nom (si és
compost).
Modificació Baixa d’usuari Primer cognom complet.
2 Quina gestió és? Els caràcters amb accent són substituïts pel
mateix caràcter sense accent. El caràcter ñ
A Alta de nou usuari és substituït per la lletra n. No es consideren
els enllaços, per exemple, en el nom Maria
dels Horts no es té en compte dels.
Proporcionar àlies de Eliminar permisos Si dues o més persones tenen el mateix
nou usuari d’usuari identificador d’usuari, cal afegir a la segona 4 i 12. Gestió de
3 12 persona i següents un dígit diferenciador: drets d’accés
2, 3, 4, etc. d’usuaris
Assignar privilegis i
anotar-ho en el registre Els conflictes no aclarits per les regles
4 anteriors seran resolts a criteri de la persona
que sol·licita el compte o dels serveis infor-
Assignar contrasenya màtics. En cas de combinacions que derivin
temporal en paraules malsonants, es pot sol·licitar el
5 canvi d’identificador d’usuari.
Assignar contrasenya 4. Hi ha diversos tipus de privilegis, els
temporal més habituals són el d’administrador per a
6 personal d’IT i usuaris per a tots els altres
treballadors i directius.
Entregar document
de drets d’accés, 6. Se’ls proporciona inicialment una contra-
lliurament de contrasenya senya temporal segura que forçosament
i compromís de secret hagin de canviar immediatament després.
7
S’ha d’establir un conducte segur per fer
arribar les contrasenyes temporals als
Signar el justificant de usuaris. S’hauria d’evitar enviar-les mitjançant
recepció de drets d’accés, tercers o missatges no xifrats de correu 8 i 16.
lliurament de la contrasenya electrònic. Lliurament de
i compromís de secret la política, les
8 10. Per mantenir un control efectiu de l’accés contrasenyes i
a les dades i als serveis d’informació, s’ha de el compromís
fer una revisió periòdica dels drets d’accés de secret
Canviar la contrasenya
9 dels usuaris.
a) Revisar els drets d’accés dels usuaris a
intervals de temps regulars (es recomana
cada sis mesos).
Modificar el registre de b) Revisar més sovint (es recomana cada
drets d’accés tres mesos) les autoritzacions de drets
10
d’accés amb privilegis especials.
c) Comprovar les assignacions de privi-
legis a intervals de temps regulars per
Revisar periòdicament assegurar que no s’han obtingut privilegis no
11
els drets d’accés autoritzats.
36. Procediment Área / Departament Responsable del procès Elaborat per Revisat per Aprovat per Pàgina
PG 35 Gestió d’accessos, privilegis i contrasenyes d’usuaris Compatibilitat Compatibilitat Compatibilitat Comitè de l’SGSI 2 de 2
Comitè de l’SGSI
i Informàtica i Informàtica i Informàtica
Objectiu / abast Versió Data Descripció del canvi sobre la versió anterior
Evitar accessos no autoritzats als sistemes d’informació 01 02 / 07 Edició inicial
Entrades: documents Sortides: resultats
Tot el pesonal Responsable del manteniment informàtic de referència, dades, Informació complementària / observacions parcials o finals
materials, etc. *Registres per archivar
A
Contrasenya De quina Permisos d’accés
12 modificació es
tracta?
Privilegis
Assignar permisos
d’accés
13
Assignar privilegis
14
Assignar una
contrasenya temporal
15
15. També es proporcionen contrasenyes 17. Gestió de
temporals quan un usuari oblida la seva, drets d’accés
Canviar la contrasenya Modificar el registre però només després d’haver-ne fet una d’usuaris
16 de drets d’accés identificació positiva.
17
Revisar periòdicament
18
els drets d’accés