Año tras año, por una razón o por otra, debemos aplicar medidas de seguridad a la información. Ya fue en su día la ley orgánica de protección de datos, la ISO 17999 y 27001 muy solicitadas tras el 11S, la ley de administración electrónica, el esquema nacional de seguridad, infraestructuras críticas, medidas necesarias para el Cloud,…
Aunque las ISO son parte de las mejores prácticas reconocidas, las indico por su fuerte acogida tras los casos del 11S.
Estas mejores prácticas (ISO, ITIL, COBIT,…) implantadas en muchas organizaciones total o parcialmente, según las prioridades de la organización, se enfrentan de forma continua a amenazas o cambios legislativos, y supuestamente las organizaciones siguen teniéndolas implantadas con plenas garantías.
Recientemente recibí una solicitud de apoyo a una empresa para enfrentarse a los cyber ataques, su introducción fue que ya tenían las mejores prácticas implementadas. ¿?. ¿Todas?, ¿con qué grado? Son preguntas sin respuesta, por lo general las organizaciones tienen implantado todo y quieren algo nuevo, pero en la mayor parte de los casos, la vigencia de esas buenas prácticas está disponible y no siempre implantada o implantada con garantías para los servicios prioritarios de la organización.
De forma práctica y hablando de “mi libro” de cabecera para los informes de recomendaciones, os muestro algunos de los ejemplos de COBIT con las necesidades de las legislaciones indicadas.
Comparando los procesos de COBIT con la LOPD, sin entrar en los referentes a la política y gobierno de la información, por lo vagos que son los descritos en la LOPD en comparación con COBIT, por ejemplo si vemos la clasificación de la información en la LOPD tenemos los artículos 92, 101 y mas genéricos del 84 al 114, donde se trata solo la clasificación de información y soportes con datos personales. En COBIT tenemos los procesos:
- APO01.06 - Definir la propiedad de la información (datos) y del sistema
- BAI08.02 - Identificar y clasificar las fuentes de información.
- BAI08.03 - Organizar y contextualizar la información, transformándola en conocimiento
Entre esas actividades además de definir de forma abierta la clasificación de la información con vista a la organización, y definir los responsables de la información ya encontramos medidas indicando la necesidad del cifrado según la clasificación de la organización. En la ISO 27002 podríamos hablar del Proceso 6. Organización de la Seguridad de la Información.
En la Administración electrónica, donde algunas de las prioridades es autenticación, confiabilidad, en este caso COBIT 4.1 en todos sus procesos nos indicaba como afianzar cada una de estas características de la información.
El esquema nacional de seguridad (ENS), es una legislación muy similar a la ISO 27002, del que ya conocemos los mapeos existentes entre:
• ISO 17799 y COBIT 4. http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Mapping-ISO-IEC-17799-2005-With-COBIT-4_res_Eng_0106.pdf
• Alineación de COBIT 4.1, ITIL v3 y la ISO 27002: Aligning COBIT® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit
Por otro lado, en ocasión anterior hice charla comparando COBIT 4.1 con ENS http://www.slideshare.net/rsoriano/isaca-habla-del-ens
Infraestructuras críticas, donde recientemente se está hablando que España es uno de los países más preparados al respecto. En mi opinión más que preparados debería indicar REGULADOS, que no preparados, algunas de las infraestructuras críticas aun no conocen si lo son, y digo algunas por no decir todas. Dentro de COBIT 4.1 en cuanto a seguridad física encontramos el DS12 Administración del Ambiente Físico o en COBIT 5 DSS01.04 Gestionar el entorno, DSS01.05 Gestionar las instalaciones, DSS05.05 Gestionar el acceso físico a los activos de TI.
Cloud
Respecto al CLOUD ISACA ya presento el documento Controls and Assurance in the Cloud Using COBIT 5. Donde podemos encontrar los procesos relacionados, arboles de decisión, RACI, tablas de mitigación de amenazas enlazadas con los procesos de COBIT 5 for Information Security y mucho más. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Controls-and-Assurance-in-the-Cloud-Using-COBIT-5.aspx
Y sin olvidar el común de todos, la formación a los usuarios, para garantizar su concienciación y evitar que el usuario caiga en las amenazas existentes, por ejemplo en COBIT 4.1 el P06. Comunicar las Aspiraciones y la Dirección de la Gerencia o en COBIT 5 el APO01 Gestionar el Marco de Gestión de TI
Recientemente SC Magazine en un artículo sobre un estudio de ISACA acerca del APT (http:// ow.ly/yXwCL), indicaban que los controles tradicionales seguían siendo usados contra las amenazas no tradicionales.
Seguiremos legislando, y las mejores prácticas se seguirán actualizando, pero la seguridad de la organización se seguirá midiendo por su punto de seguridad más débil.
No hay comentarios:
Publicar un comentario