Normatividad nacional e internacional de seguridad
Yahaira Martínez Pachicano
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
Normatividad en la Seguridad Informática NORMATIVIDAD INTERNACIONAL
Estándar RFC2196 El Estándar RFC2196 es un estándar usado en la práctica de la seguridad de la información. Entre las características de la seguridad de la información, según el RFC2196, se tienen las siguientes:
o
Se debe poder poner en práctica mediante procedimientos descritos de administración de sistemas, publicación de guías sobre el uso aceptable de los recursos informáticos o por medio de otros métodos prácticos apropiados
o
Debe poder implantarse
o
Debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad
o
Tiene que detectar fugas o errores; debe definir claramente las áreas de responsabilidad de los usuarios, administradores y dirección, y tener un uso responsable para toda situación posible.
El RFC 2196, llamado “Site Security Handbook” es un manual de seguridad que puede ser utilizado como estándar para establecer Políticas de Seguridad. Este manual fue escrito por varios autores y fue publicado en Septiembre de 1997, y a pesar de tener varios años, por sus contenidos y la temática que trata es un documento vigente y valido en el área de la Seguridad Informática. Este documento trata entre otros, los siguientes temas:
YAHAIRA MARTÍNEZ PACHICANO
1
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
Políticas de Seguridad
1. Que es una Política de Seguridad y porque es necesaria. 2. Que es lo que hace que una Política de Seguridad sea buena. 3. Manteniendo la Política Flexible.
Arquitectura de Red y de Servicios
1. Configuración de Red y de Servicios. 2. Firewalls.
Servicios y Procedimientos de Seguridad
1. Autentificación 2. Confidencialidad. 3. Integridad. 4. Autorización. 5. Acceso 6. Auditoria
Gestión de Incidentes de Seguridad
1. Notificación y puntos de contacto 2. Identificando un Incidente 3. Gestión de un Incidente 4. Consecuencias de un Incidente 5. Responsabilidades.
Estándar IT Baseline Protection Manual El IT Baseline Protection Manual presenta un conjunto de recomendaciones de seguridad, establecidas por la Agencia Federal Alemana para la Seguridad en Tecnología de la Información.
YAHAIRA MARTÍNEZ PACHICANO
2
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
Este estándar plantea en forma detallada aspectos de seguridad en ámbitos relacionados con aspectos generales (organizacionales, gestión humana, criptografía, manejo de virus, entre otros); infraestructura, (edificaciones, redes wifi); sistemas (Windows, novell, unix); redes (cortafuegos, módems), y aplicaciones (correo electrónico, manejo de la web, bases de datos, aplicativos)
Estándar ISO 27001 Este es el nuevo estándar oficial. Su título completo en realidad es BS 7799-2:2005 (ISO/IEC 27001:2005). También fue preparado por el JTC 1 y en el subcomité SC 27, IT Security Techniques. La versión que se considerará es la primera edición, de fecha 15 de octubre de 2005. El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener en cuenta son: • ISO/IEC 27000 Fundamentals and
vocabulary. • ISO/IEC 27001 ISMS - Requirements
(revised BS 7799 Part 2:2005). Publicado el 15 de octubre del 2005. • ISO/IEC 27002 Code of practice for
information security management. Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005. • ISO/IEC 27003 ISMS implementation guidance (en desarrollo). • ISO/IEC 27004 Informatio n security management measurement (en desarrollo). • ISO/IEC 27005 Information security risk management (basado en ISO/IEC 13335
MICTS Part 2 e incorporado a éste; en desarrollo). El ISO-27001:2005 es aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su YAHAIRA MARTÍNEZ PACHICANO
3
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
actividad. Presentar al ISO-27001:2005 como estándar de facto genera la posibilidad de tener un estándar mejorado y más robusto en el trayecto de la historia; los entes que aplican estos procedimientos para garantizar la seguridad e integridad de la información mejorarán considerablemente el estándar, luego de haber hecho las pruebas y haber tenido la experiencia. Los demás estándares establecidos, como el alemán, basado en el IT Baseline Protection Manual, y las recomendaciones de la IEFT con su RFC2196, constituyen orientaciones y guías para usuarios que deseen implementar gestión en la seguridad de la información; sin embargo, queda demostrado que el estándar de ISO es el más adoptado por las empresas porque es más flexible y se acopla mejor a los procesos que normalmente se llevan a cabo en las organizaciones; ISO es el estándar de facto en la gerencia de la integridad de la información.
YAHAIRA MARTÍNEZ PACHICANO
4
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
Estándar ISO/IEC 17799 (denominado tambien como ISO 27002) Proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)". La versión de 2005 del estándar incluye las siguientes once secciones principales:
1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Cumplimiento 11. Gestión de Continuidad del Negocio.
YAHAIRA MARTÍNEZ PACHICANO
5
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
Estándar ISO/IEC 27000:2009 Es parte de una familia en crecimiento de Estándares para Sistemas de Administración de Seguridad de la información (ISMS), las “series ISO/IEC 27000” ISO/IEC 27000 es un estándar internacional titulado “Tecnología de la Información – Técnicas
de Seguridad – Sistemas de Administracion de la Seguridad de la Información – Visión general y Vocabulario”
El estándar fue desarrollado por el sub-comité 27 (SC27) del primer Comité Técnico Conunto (JTC1), de la ISO (International Organization for Standardization) y el IEC (International Electrotechnical Commission) ISO/IEC 27000 provee:
Una vista general a la introducción de los estándares de la familia ISO/IEC 27000 Un glosario o vocabulario de términos fundamentales usados a lo largo de toda la familia ISO/IEC 27000 La Seguridad de la Información, como muchos otros temas técnicos, está desarrollando una compleja red de terminología. Relativamente pocos autores se toman el trabajo de definir con precisión lo que ellos quieren decir, un enfoque que es inaceptable en el campo de los estándares, porque puede potencialmente llevar a la confusión y a la devaluación de la evaluación formal y la certificación. El alcance de ISO/IEC 27000 es “especificar los principios fundamentales, conceptos y vocabulario para la serie de documentos ISO/IEC 27000”
ISO/IEC 27000 contiene, en otras palabras:
Una vista general de los estándares ISO/IEC 27000, mostrando cómo son usados colectivamente para planear, implementar, certificar, y operar un Sistema de Administración de Seguridad de la información, con una introducción básica a la Seguridad de la Información, administración de riesgos, y sistemas de gestión
Definiciones cuidadosamente redactadas para temas relacionados con seguridad de la información. ISO/IEC 27000 es similar a otros vocabularios y definiciones y con suerte se convertirá en una referencia generalmente aceptada para términos relacionados con seguridad de la información entre ésta profesión YAHAIRA MARTÍNEZ PACHICANO
6
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
Estándar ISO/IEC 18028-2:2006 ISO/IEC 18028-2:2006 define una arquitectura de seguridad para red, ofreciendo seguridad a redes de extremo a extremo. La arquitectura puede ser aplicada a varias clases de redes donde la seguridad extremo a extremo es una preocupación independiente de la tecnología subyacente de la red El objetivo de ISO/IEC 18028-2:2006 es servir como base para el desarrollo de recomendaciones detalladas para la seguridad en redes extremo a extremo.
COMMON CRITERIA El Criterio Común para la Evaluación de la Seguridad en Tecnologías de la Información (abreviado como Criterio Común o CC), es un estándar internacional (ISO/IEC 15408), para la certificación de la seguridad en computadores. Está actualmente en la versión 3.1.
El Criterio Común es un marco de trabajo en el cual los usuarios de sistemas computacionales pueden especificar sus requerimientos funcionales de seguridad y de garantía, para que los vendedores puedan implementar y/o hacer reclamaciones acerca de los atributos de seguridad de sus productos, y los laboratorios de prueba pueden evaluar los productos para determinar si en realidad satisfacen las reclamaciones.
En otras palabras, el Criterio Común provee garantía de que los procesos de especificación, implementación y evaluación de la seguridad de un producto de cómputo hayan sido conducidos en una forma rigurosa y estandarizada. Consta de tres partes:
YAHAIRA MARTÍNEZ PACHICANO
7
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
PARTE 1: 1: Introducción y modelo general
PARTE 2: 2: Componentes funcionales de la Seguridad
PARTE 3: 3: Componentes para la garantía de la Seguridad
Estándar ISO/IEC 21827:2008: INFORMATION TECHNOLOGY- SECURITY TECHNIQUESSYSTEMS SECURITY ENGINEERING- CAPABILITY MATURITY MODEL (SSE-CMM) ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) es un estándar internacional basado en el Modelo de Madurez de Capacidades en la Ingeniería de Seguridad de Sistemas, desarrollado por la Asociación Internacional de Ingeniería de Seguridad de la Información (ISSEA) ISO/IEC 21827 especifica el SSE-CMM que describe las características esenciales para el éxito del proceso de ingeniería de la seguridad de una organización, y es aplicable a todas las organizaciones de ingeniería de la seguridad, incluyendo gubernamentales, comerciales y académicas. ISO/IEC 21827 no prescribe una secuencia o proceso particular, pero si captura las prácticas que se observan en la industria. El modelo es una métrica estándar para las prácticas de la ingeniería de seguridad, que cubre lo siguiente:
Ciclos de vida del proyecto, incluyendo actividades de desarrollo, operación, mantenimiento
y desmantelamiento
Cubre todos los ámbitos de la organización, incluyendo actividades de gestión,
organizacionales y de ingeniería. YAHAIRA MARTÍNEZ PACHICANO
8
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
Interacciones concurrentes con otras disciplinas, como software y hardware de sistemas,
recurso humano, pruebas de ingeniería, gestión de sistemas, operación y mantenimiento.
NORMATIVIDAD DE ÁMBITO NACIONAL
Ley 1273 el 2009 El 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la Protección de la información y de los datos” - y se preservan integralmente
los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. Dicha ley decreta:
CAPITULO I: De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos
- Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático
- Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático. YAHAIRA MARTÍNEZ PACHICANO
9
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
s in orden judicial - Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático.
- Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos.
- Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos.
- Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes
- Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes. Un punto importante a considerar es que el artículo 269H agrega como circunstancias de agravación punitiva de los tipos penales descritos anteriormente el aumento de la pena de la mitad a las tres cuartas partes si la conducta se cometiere: 1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales oficiales o del sector financiero, nacionales o extranjeros. 2. Por servidor público en ejercicio de sus funciones 3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este. 4. Revelando o dando a conocer el contenido de de la información en perjuicio de otro. YAHAIRA MARTÍNEZ PACHICANO
10
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
5. Obteniendo provecho para sí o para un tercero. 6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas conductas es el responsable de la administración, administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales.
CAPITULO II: De los atentados informáticos y otras infracciones - Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante. - Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero. 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Cumplimiento 11. Gestión de Continuidad del Negocio. YAHAIRA MARTÍNEZ PACHICANO
11
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
Más que el sello de confianza en la red Webtrust
QUÉ ES Y PARA QUÉ SIRVE WebTrust es el sello de confianza, calidad y seguridad que se concede a la “página Web” de la empresa que, previamente ha obtenido un Informe Favorable de Auditoría Independiente, por una Firma de Auditoría Habilitada para la Prestación de Servicios WebTrust al cumplir, durante un cierto periodo de tiempo, los Criterios y Principios WebTrust, establecidos por las entidades promotoras y licenciatarias del sello; Instituto Americano de Auditores Públicos de Cuentas (AICPA), Instituto Canadiense de Auditores de Cuentas (CICA), e Instituto de Auditores Censores Jurados de Cuentas de España (IACJCE). Desde el año 1997, se han desarrollado y mejorado ( tres versiones) los Principios y Criterios que debe cumplir un “sitio Web” para que obtenga el sello, a la vez que se han ido otorgando
licencias a los colectivos más representativos de Auditores en los principales países de todo el mundo, que han iniciado el proceso de desarrollo de la nueva actividad para los auditores de dichos países, de forma que WebTrust se ha convertido en el método mas efectivo de transmitir confianza para los usuarios de Internet.
COMO SE OBTIENE Si desea que el Sello WebTrust aparezca en su sitio Web deberá cumplir con los Principios y Criterios WebTrust en su versión más reciente. Para ello deberá ponerse en contacto con una firma de Auditoría habilitada para la prestación de los servicios WebTrust. Después de las conversaciones previas para determinar el alcance de los trabajos, se les pasaría un presupuesto y, de prestar su conformidad, se firmaría la carta de encargo, dando lugar al inicio de nuestros servicios. El proceso para su obtención es, básicamente el siguiente; la empresa titular de la página Web, manifiesta en la misma sus prácticas de negocio según el principio que debe ser auditado, demuestra que cumple durante cierto periodo de tiempo con dichas prácticas y, que dispone de controles efectivos para proveer una razonable seguridad sobre el mantenimiento correcto de las mismas. Todo ello es comprobado por auditores independientes que, de YAHAIRA MARTÍNEZ PACHICANO
12
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
encontrarlo todo conforme, le otorgarán el sello WebTrust previa la obtención por la empresa de un certificado digital (ID) de clase 3 a través de La Autoridad de Certificación Verising Inc., que certificará la validez del mismo.
¿Qué período de validez tiene el Sello WebTrust? El Sello será válido mientras el sitio siga cumpliendo con los Principios y Criterios WebTrust. De acuerdo con esto, el sitio Web será revisado por nosotros al menos cada 3 meses. Esta frecuencia va a depender de la naturaleza y complejidad del sitio Web.
¿Qué motivos pueden ocasionar la pérdida del Sello? Las causas por las cuales una página puede dejar de exhibir el Sello WebTrust pueden ser dos:
Incumplimiento de los Principios y Criterios WebTrust.
No revisión de la página en el período de 3 meses.
QUIEN LO RESPALDA El Programa WebTrust que comprende; los Principios y Criterios en su última versión, Licencia de Uso, Servicios de Encriptación y Gestión por Autoridad de Certificación, Prestación de los Servicios por una Firma de Auditoría Habilitada, sometimiento al Sistema de Control de Calidad establecido en relación con los mismos, fue creado por las más importantes agrupaciones de auditores de EEUU y Canadá en el año 97, desarrollándose, perfeccionándose y extendiéndose desde entonces a otros países a través de sus agrupaciones de auditores correspondientes. Los Institutos promotores del mismo son:
AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS. Primera asociación de auditores independientes en Estados Unidos, que agrupa a más de 330.000 profesionales. YAHAIRA MARTÍNEZ PACHICANO
13
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
CANADIAN INSTITUTE OF CHARTERED ACCOUNTANTS .Con más de 68.000 profesionales auditores como miembros, es la primera organización de Auditores en Canadá.
Actualmente los servicios WebTrust son ofrecidos por los institutos profesionales de 19 países: Argentina, Puerto Rico, Australia, Austria, Bélgica, Canadá, Dinamarca, Francia, Alemania, Hong-Kong, Irlanda, Israel, Italia, Holanda, Nueva Zelanda, España, Suecia, Gran Bretaña, Estados Unidos. A los que se van incorporando paulatinamente otros países.
PRINCIPIOS La Normativa WebTrust se encuentra disponible en las distintas páginas Web de los Institutos de Auditores creadores del Sello, las más representativas son;
AMERICAN INSTITUTE OF CERTIFIED PUBLIC PUBLIC ACCOUNTANTS CANADIAN INSTITUTE OF CHARTERED ACCOUNTANTS
Actualmente hay cinco Principios Operativos WebTrust Modulares. Cada Módulo incluye:
Manifestaciones
Políticas (Finalidades y Objetivos)
Procedimientos de Control y Herramientas Tecnológicas
Medidas de Ejecución y Control del Trabajo
Vías de reclamación para el cliente (cuando es de aplicación)
Los Principios disponibles son los siguientes: 1. Principio de Privacidad On-Line.. “La
información
confidencial
obtenida
como
resultado
del
comercio
electrónico
es recogida, usada, revelada y retenida en conformidad con las políticas de privacidad de la empresa.”
Los elementos básicos de la Privacidad; que la empresa cumple con la legalidad vigente, ¿Qué va a hacer con mis datos ahora y en el futuro? ¿Qué puedo hacer para consultar,
YAHAIRA MARTÍNEZ PACHICANO
14
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
modificar, oponerme a dichos datos? , etc. están razonablemente protegidos con el cumplimiento de este principio.
2. Principio de Seguridad. “El sistema está protegido contra acceso no autorizados (tanto físicos como lógicos) en conformidad con las políticas de seguridad de la entidad.”
La empresa podrá asegurar, de manera razonable, al cumplir con este principio, que el acceso a su sistema de comercio electrónico y a los datos que posee sobre sus clientes está restringido solamente a personas autorizadas para ello, de conformidad con las políticas manifestadas. El Principio de Seguridad WebTrust tiene un objetivo claro: garantizar la encriptación de información privada y confidencial de los usuarios, la protección de la información una vez llega al sitio Web, protección contra la transmisión de virus y la aprobación previa por parte del usuario antes de llevar a cabo una modificación, copia o alteración de información en su ordenador.
3. Principio de Confidencialidad. “La
información
designada
como
confidencial
es
protegida
en
conformidad
con
las políticas de confidencialidad de la empresa .” Este principio, complementario al de d e Privacidad, pero quizás de menor nivel, tiene su importancia en cuanto el tratamiento de ficheros con datos personales y la protección y confidencialidad de los mismos se ha convertido en algo transcendental desde el momento en el que aumentan las alianzas y pactos de colaboración entre empresas, viéndose éstas “obligadas” a compartir la información. Hay que precisar claramente con quienes se va a
compartir, y de que forma, dichos ficheros.
4. Principio de Disponibilidad. “El sistema está disponible para la operación y uso en conformidad con las políticas de disponibilidad de la entidad.”
Este principio trata de la disponibilidad de la información de la empresa de e-comercio, no de productos. Así ha de comprobarse que el sistema debe dar servicio con el 30% de los equipos funcionando, debería tener al menos dos servidores, para poder seguir ofreciendo sus productos o servicios si uno de los dos cae, etc.
5. Principio de Integridad de las Transacciones. YAHAIRA MARTÍNEZ PACHICANO
15
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
“El procesamiento de l sistema es completo, preciso, puntual y autorizado .“
Con el cumplimiento de este principio, la empresa de e-comercio asegura a sus usuarios que cumple con las condiciones generales de contratación manifestadas, devoluciones, garantías, etc. La combinación de los principios anteriores dan lugar a Sellos Específicos WebTrust. Actualmente los disponibles son los siguientes:
Sello Genérico. Se expide para uno o una combinación de, seguridad, prácticas de negocio e integridad de las transacciones, confidencialidad y disponibilidad.
Sello de Privacidad. Expedido para privacidad on-line.
Sello Protección del Consumidor. Expedido para aquellas entidades que cumplan los Principios y Criterios de Privacidad y Prácticas de Negocio e Integridad de las Transacciones.
Sello para Autoridades de Certificación. Expedido para aquellas entidades que cumplan los criterios específicos de Certification Authotities.
Sello para Proveedores de Servicio. Se expedirá a entidades que cumplan con los módulos requeridos. (Actualmente no finalizados, en fase de consultas y comentarios)
Para cada sitio Web, o empresa de e-comercio, le puede ser de aplicación algún principio o sello específico, o quizás una combinación de ellos. Estamos a su disposición para comentar y, decidir conjuntamente, cual es el más apropiado para su situación y objetivos. CONSÚLTENOS.
¿PORQUÉ OBTENER EL SELLO WEBTRUST? Es importante para su empresa que sus clientes, proveedores, bancos, terceros en general conozcan que su Website ha obtenido el sello WebTrust de calidad en Internet. Igual de importante es para el personal la obtención de dicho sello al generar una mayor motivación y confianza en el trabajo de cada día.
YAHAIRA MARTÍNEZ PACHICANO
16
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
QUÉ NOS DIFERENCIA En la red existen determinados sellos, emitidos por asociaciones o entidades que otorgan “su sello” al asociado que lo solicite y se comprometa a seguir determinadas normas o conductas
éticas, pero ningún tercero independiente certifica el cumplimiento de las mismas. Hasta la fecha, las Websites de e-comercio, además de poseer uno o varios de los sellos anteriores, tratan de transmitir confianza a sus usuarios mediante, certificados digitales, encriptación, y otras variadas fórmulas, con mayor o menor éxito, para el pago de la operación a realizar. WebTrust, además de cubrir la totalidad de los aspectos anteriores, es el único sello en la red, certificado de calidad, homologado a nivel internacional y con vigencia ya en más de 19 países, emitido por Auditores Independientes, y respaldado por las más importantes Agrupaciones de Auditores Internacionales, esto le da una trascendencia, que traspasa, al igual que Internet, todo tipo de frontera pero, p ero, garantizando además que los elevados estandares aplicados, son idénticos para todas las Websites que dispongan del sello,
independientemente del país donde se ubique la empresa de e-comercio. CRITERIO Datos personales Seguridad de los Datos Integridad Transacciones Control Interno Reclamación Cliente Control Permanente Dimensión Internacional Verific. Tercero Independiente
WEBTRUST
ADD
BBB
SECURE
ONLINE
X X
x x
ICSA x
TRUSTE
LABEL SITE
x
x
x
x
CCI
x
X X X
x
x
X X
x
x
X
YAHAIRA MARTÍNEZ PACHICANO
17
Normatividad nacional e internacional de seguridad
Ambito SELLO
de alidez
29 de septiembre de 2014
Dimensión
Audioría
de confianza
Independiente
Privacidad Seguridad Integridad Confidencialidad Disponibilidad ebTrust
Mundial X
X
TRUSTe
Mundial X
BBBOnline
Mundial X
BetterWeb
Privado X
X
Privado
X
erising TrustUK ebValue
UK
X
Privado X
X
España
QWEB
Italia
X
eQW-2001
Italia
X
L@BelSite
Francia X
AGACE
España X
Trust
X
SI
X
NO
X
NO NO
X
NO NO NO NO
X
X
X
NO
X
NO
X
NO
ebAssured Privado X Costumer
X
NO
X
AENOR
X
Singapur X
NO X
X
NO
SYSTRUST
Información general Exámenes SysTrust, también conocidos como SOC como SOC 3 informes cuando se utiliza para organizaciones de servicio, son las certificaciones, basado en los principios de Servicios Fiduciarios y criterios son emitidos por el Comité Ejecutivo de Servicios de Aseguramiento Asegu ramiento del Instituto Americano de Contadores Públicos Certificados. Los servicios sólo pueden ser entregados por una empresa de Contadores Públicos Certificados licencia. Servicios de Confianza diferencian las empresas desde sus competidores demostrando su conocimiento de los riesgos planteados por su entorno y proporcionar la verificación de terceros por una firma de contadores certificados que están equipadas con los controles necesarios para hacer frente a esos riesgos. Beneficiarios de informes de garantía de servicios de confianza son los consumidores, socios comerciales, los acreedores, los banqueros y otros acreedores, reguladores, subcontratistas y los que utilizan los servicios YAHAIRA MARTÍNEZ PACHICANO
18
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
subcontratados, ya cualquier otra entidad que de alguna manera dependen de comercio electrónico (e-commerce) y los sistemas de TI. Todos los compromisos de servicios fiduciarios utilizan una combinación de los siguientes principios y criterios:
Seguridad El sistema está protegido contra el acceso no autorizado (tanto física como lógica).
Disponibilidad El sistema está disponible para la operación y el uso como cometido o acordado.
Integrity Processing Procesamiento del sistema es completa, exacta, oportuna y autorizada.
Confidencialidad Información que se catalogue como confidencial está protegida como cometido o acordado. WebTrust también puede incluir el principio de privacidad. Haga clic aquí para ver el WebTrust el WebTrust descripción del servicio.
SysTrust® Servicios de Revisión Brightline utiliza uno o más de los Servicios de Principios y Criterios (mostrado arriba) fiduciarios, según lo especificado por el cliente, para determinar si un sistema informático gestionado por el cliente está de acuerdo con los principios y criterios seleccionados. El objetivo principal de la revisión es que proporcionará a los usuarios una mayor confianza de que el sistema se controla apropiadamente a través de la verificación de terceros independientes del cumplimiento de un conjunto estandarizado de controles comunes.
SysTrust® El alcance del trabajo de aseguramiento incluye una o más combinaciones de los Servicios a los principios y criterios diferentes al del Fideicomiso - Programa "SysTrust Sistemas de Confiabilidad" se describe a continuación. YAHAIRA MARTÍNEZ PACHICANO
19
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
SysTrust® - Sistemas de Confiabilidad El alcance del trabajo incluye la garantía de la seguridad, la disponibilidad y el proceso de integridad Trust Services Principios y Criterios.
Entregables
Los entregables principales de nuestras opiniones SysTrust® incluyen:
Plan detallado del proyecto para la auditoría
Completa lista de peticiones de información que permita al personal de la organización para reunir la documentación antes del trabajo de campo
El informe del auditor independiente entrega en formato PDF protegido Además, los clientes que cumplan con los criterios SysTrust® seleccionados reciben licencia temporal para exhibir el sello SysTrust® en su página web. Los enlaces sello SysTrust® a una copia del informe del auditor independiente y tiene una validez de un año, después de lo cual el sello debe ser retirado de la página web, a menos que se realiza un nuevo examen. Licencias sello SysTrust® es administrado por un esfuerzo conjunto entre el AICPA y CICA y una cuota de licencia debe ser pagado a fin de utilizar este sello.
¿Q u i é n d e b er ía c o n s i d e r a r u n a r ev i s i ón S y s Tr u s t ® ?
Las siguientes son características del candidato ideal para los servicios de examen SysTrust®:
La organización mantiene un sistema que es una misión crítica para sus clientes.
La reputación de la organización depende en gran medida de su capacidad para mantener la información exacta, segura, privada o confidencial.
La organización desea independiente la verificación de terceros de sus controles.
La organización prefiere una revisión independiente que resulta en un "sello" de terceros que puede ser comercializado abiertamente a los clientes, así como un tercer informe del partido que se puede compartir con los clientes.
YAHAIRA MARTÍNEZ PACHICANO
20
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
La organización tiene ingresos anuales de más de $ 2 millones y la organización cuenta con diez o más empleados. SysTrust® es una marca registrada del Instituto Americano de Contadores Públicos y el Instituto Canadiense de Contadores Públicos.
¿Qué es COBIT? COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez. Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información. COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
PARA QUÉ SIRVE Independientemente de la realidad tecnológica de cada caso concreto, COBIT concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la seguridad, la la calidad, calidad, la la eficacia eficacia y la eficiencia la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos gestionar recursos y YAHAIRA MARTÍNEZ PACHICANO
21
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
medir el desempeño, el desempeño, el el cumplimiento de metas y el nivel de madurez de los procesos de la organización. la organización. Proporciona a gerentes, interventores, y usuarios TI con un juego un juego de medidas generalmente aceptadas, indicadores, aceptadas, indicadores, procesos procesos y las mejores prácticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo el empleo de tecnología de información y desarrollo de la gobernación apropiada TI y el control en una empresa. una empresa. Proporciona ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician de COBIT porque esto provee de ellos de una fundación sobre cual TI las decisiones relacionadas e inversiones e inversiones pueden estar basadas. La toma La toma de decisiones es más eficaz porque COBIT ayuda la dirección en la definición de un plan de TI estratégico, la definición de la arquitectura la arquitectura de la información, la adquisición del hardware del hardwarenecesario necesario TI y el software el software para ejecutar una estrategia una estrategia TI, la aseguración del servicio del servicio continuo, y la supervisión la supervisión del funcionamiento del sistema del sistema TI. TI usuarios se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de información cumplen con COBIT ya que esto implica mandos y la seguridad es en el lugar para gobernar los procesos. COBIT beneficia a interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto empresa. Esto también les ayuda a corroborar sus conclusiones de auditoria. La misión La misión COBIT es " para investigar, desarrollar, hacer público público y prom over un juego autor itario, actualizado actualizado , internacion al de objetivo s de co ntro l de tecno log ía de inform ación ación generalmente aceptados aceptados p ara el emp emp leo cotidiano por directores com erciales erciales e interventores. interventores. " Los gerentes, interventores, y usuarios se benefician del
desarrollo de COBIT porque esto les ayuda a entender sus sistemas sus sistemas TI y decidir el nivel de seguridad (valor) y control que es necesario para proteger el activo de sus empresas sus empresas por el desarrollo de un modelo de gobernación TI.
COBIT FAMILIA COBIT FAMILIA DE PRODUCTO El paquete de programas de programas de COBIT completo es un juego que consiste en seis publicaciones: 1. Resumen(Sumario) Ejecutivo 2. Marco 3. Objetivos de Control YAHAIRA MARTÍNEZ PACHICANO
22
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
4. Directrices de auditoria 5. Instrumento de puesta en práctica 6. Directrices de dirección. Proporcionan una breve descripción breve descripción de cada uno de los susodichos componentes debajo.
Resumen (Sumario) Ejecutivo Las decisiones de negocio están basadas en la información oportuna, relevante y concisa. Expresamente diseñado para directores ejecutivos embutidos de tiempo de tiempo y gerentes, el Resumen (Sumario) COBIT Ejecutivo, consiste en una descripción ejecutiva que proporciona una conciencia una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios. También incluido es un resumen del Marco, que proporciona un entendimiento más detallado de estos conceptos y principios, identificando los cuatro dominios del COBIT (la Planificación (la Planificación y la Organización, la Organización, la Adquisición y la Puesta en práctica, la Entrega y el Apoyo, la Supervisión) y 34 procesos de TI.-
Marco Una organización acertada es construida sobre un marco sólido de datos de datos e información. El Marco explica como los procesos de TI entregan la información que el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel, un para cada proceso cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cuál de los siete criterios de la información (la eficacia, la eficacia, la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la fiabilidad), así como que recursos TI (la gente, usos, tecnología, instalaciones y datos) son importantes para los procesos de TI para totalmente apoyar el objetivo el objetivo de negocio.-
Objetivos de Control La llave al mantenimiento al mantenimiento de la rentabilidad la rentabilidad en un ambiente un ambiente que se cambia tecnológicamente es como bien usted mantiene el control. Los Objetivos de Control del COBIT proveen la perspicacia (idea) crítica (idea) crítica tuvo que delinear una práctica clara de política y buena para mandos de TI. Incluido son las declaraciones de resultados deseados u objetivos para ser alcanzados YAHAIRA MARTÍNEZ PACHICANO
23
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
por poniendo en práctica los 215 objetivos de control específicos, detallados en todas partes de los 34 procesos de TI.-
Directrices De auditoria Analice, evalúa, haga de intérprete, reaccione, el instrumento. Para alcanzar sus objetivos deseados y objetivos usted y coherentemente constantemente debe revisar sus procedimientos. sus procedimientos. Directrices Directrices de auditoria perfilan y aconsejan actividades reales ser realizadas correspondiente a cada uno de los 34 objetivos de control de TI de alto nivel, justificando el riesgo el riesgo de objetivos de control no siendo encontrados. Directrices de auditoria son un instrumento inestimable para interventores de sistemas de información en el aseguramiento de dirección que provee y/o el consejo para la mejora. Instrumento de puesta en práctica
Un Instrumento de Puesta en práctica , que contiene la Conciencia de Dirección de Dirección y el Diagnóstico el Diagnóstico de Control de Control de TI, y la Guía de Puesta en práctica, FAQs, estudios de caso de organizaciones de organizaciones actualmente que usan COBIT, usan COBIT, y y las presentaciones de diapositiva que pueden ser usadas introducir COBIT en organizaciones. El nuevo Juego nuevo Juego de Instrumento es diseñado para facilitar la puesta en práctica de COBIT, relacionar lecciones cultas de organizaciones que rápidamente y satisfactoriamente aplicado COBIT en sus ambientes de trabajo, de trabajo, y y la dirección de plomo(ventajosa) para preguntar sobre cada COBIT tratan: ¿Este dominio ¿Este dominio es importante para nuestros objetivos nuestros objetivos de negocio? ¿Bien es realizado? ¿Quién lo hace y quien es responsable? ¿Son formalizados los procesos los procesos y el control?
Directrices de Dirección Para asegurar una una empresa acertada, usted con eficacia con eficacia debe manejar la unión eficaz entre procesos de negocio y sistemas y sistemas de información. de información. Las Las nuevas Directrices de Dirección son compuestas de Modelos de Modelos de Madurez, ayudar determinar las etapas y los niveles de expectativa de control y compararlos contra normas contra normas de industria; de industria; Factores Factores de Éxito de Éxito Críticos, YAHAIRA MARTÍNEZ PACHICANO
24
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
para identificar las acciones las acciones más importantes para alcanzar control de los procesos de TI; Indicadores TI; Indicadores de Objetivo de Objetivo Claves, para definir los niveles objetivo de funcionamiento; e Indicadores de Funcionamiento Claves, para medir si un proceso un proceso de control de TI encuentra su objetivo. Estas Directrices de Dirección ayudarán a contestar las preguntas de preocupación (interés) inmediata (interés) inmediata a todo los que tienen una estaca (un interés) en el éxito de la empresa.
COMO SE APLICA O COMO SE USA Organizaciones acertadas entienden las ventajas de tecnología de tecnología de información (TI) y usan este conocimiento este conocimiento para conducir el valor el valor de sus accionistas. Ellos reconocen la dependencia crítica dependencia crítica de muchos procesos de negocio sobre TI, la necesidad de cumplir con demandas de cumplimiento crecientes reguladoras y las ventajas de riesgo de riesgo directivo con eficacia. Para ayudar organizaciones en satisfactoriamente la reunión de desafíos de hoy de negocio, el Instituto de Gobernación TI ® (ITGI) ha publicado la versión 4.0 de Objetivos de Control para la Información y ha relacionado la Tecnología (COBIT ®). El acercamiento a la utilización COBIT Lo maneja - riesgos - riesgos relacionados de negocio: YAHAIRA MARTÍNEZ PACHICANO
25
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
· El empleo El empleo bajo sobre objetivos de negocio en el Marco COBIT · seleccionan, procesa y controla TI apropiado por la organización la organización de los Objetivos de Control de COBIT · funcionan del plan del plan de negocio de organización · evalúan procedimientos evalúan procedimientos y los resultados con Directrices de Revisión de cuentas de COBIT · evalúan el evalúan el estado de la de la organización, identifican organización, identifican factores de éxito críticos, miden el funcionamiento con las Directrices de Dirección COBIT Para desarrollar un juego sano de procesos: · escogen los Objetivos de Control que caben los objetivos de negocio · identifican los modelos de industria que proporcionan la dirección para apoyar procesos (CMMI, Poblar (CMMI, Poblar CMM, ITIL) COBIT cubre cuatro dominios:
Planificación y Organización Adquiera e Instrumento
Entregue y Apoyo
Monitor y Evalúa
Planificación y Organización La Planificación La Planificación y el dominio de Organización cubren el empleo de tecnología y como mejor esto puede ser usado en una empresa una empresa ayudar alcanzar los objetivos de la empresa y objetivos. Esto también destaca la forma de organización e infraestructural TI debe tomar para alcanzar los resultados óptimos y generar la mayor parte de ventajas del empleo de TI. La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Organización y la Planificación. OBJETIVOS DE CONTROL NIVEL ALTOS Planificación y Organización PO1 Definen un Plan de TI Estratégico PO2 Definen la Información Arquitectura PO3 Determinan Dirección Tecnológica PO4 Definen los Procesos de TI, Organización y Relaciones PO5 Manejan la Inversión la Inversión TI YAHAIRA MARTÍNEZ PACHICANO
26
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
PO6 Comunican Objetivos de Dirección y Dirección PO7 Manejan Recursos Manejan Recursos TI Humanos PO8 Manejan Calidad PO9 Evalúan y Manejan Riesgos de TI PO10 Manejan Proyectos
Adquiera e Instrumento Identificación de sus exigencias TI, adquiriendo la tecnología, y poniéndolo en práctica (realización) dentro de los procesos de negocio corrientes de la empresa. Este dominio también dirige el desarrollo el desarrollo de un plan de mantenimiento de mantenimiento que una empresa debería adoptar para prolongar la vida de un sistema un sistema TI y sus componentes. La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Puesta en práctica y la Adquisición. OBJ ETIVOS ETIVOS DE CONTROL NIVEL AL TOS Adq uiera e Instrumento
AI1 Identifican Soluciones Identifican Soluciones Automatizadas Automatizadas AI2 Adquieren y Mantienen Software Mantienen Software De aplicación AI3 Adquieren y Mantienen Infraestructura de Tecnología AI4 Permiten Operación y Usan AI5 Procuran Recursos TI AI6 Manejan Cambios AI7 Instalan y Acreditan Soluciones y Cambios
Entrega y Apoyo La Entrega y el dominio de Apoyo enfocan en los aspectos de entrega de la tecnología de información. Esto información. Esto cubre áreas como la ejecución de los usos dentro del sistema TI y sus resultados, así como, los procesos de apoyo que permiten la ejecución eficaz y eficiente de estos sistemas TI. Estos procesos de apoyo incluyen cuestiones de seguridad de seguridad y educación (entrenamiento). (entrenamiento). La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Apoyo y la Entrega.
YAHAIRA MARTÍNEZ PACHICANO
27
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
OBJ ETIVOS ETIVOS DE CONTROL NIVEL AL TOS E n t r eg eg u e y A p o y o
DS1 Definen y Manejan Niveles de Servicio DS2 Manejan Servicios Manejan Servicios de Tercero DS3 Manejan Funcionamiento y Capacidad DS4 Aseguran Servicio Aseguran Servicio Continuo DS5 Aseguran Seguridad de Sistemas DS6 Identifican y Asignan Gastos DS7 Educan y Entrenan a Usuarios DS8 Manejan Escritorio de Servicio e Incidentes DS9 Manejan la Configuración DS10 Manejan Problemas DS11 Manejan Datos DS12 Manejan el Ambiente el Ambiente Físico DS13 Manejan Operaciones
Monitor y Evaluación La Supervisión La Supervisión y el dominio de Evaluación de Evaluación tratan con la estrategia la estrategia de una empresa en la evaluación de las necesidades de la empresa y si realmente la corriente TI el sistema todavía encuentra los objetivos para los cuales fue diseñado y los mandos necesarios de cumplir con exigencias reguladoras. La supervisión también cubre la cuestión de una evaluación independiente de la eficacia de sistema TI en su capacidad de encontrar objetivos de negocio y los procesos de control de la empresa por interventores internos y externos. La mesa siguiente cataloga los objetivos de control nivel altos para la Supervisión del dominio. OBJ ETIVOS ETIVOS DE CONTROL NIVEL AL TOS Mon itor y Ev alúa alúa
ME1 Supervisan y Evalúan Procesos de TI ME2 Supervisan y Evalúan Control Interno ME3 Aseguran Cumplimiento Regulador ME4 Proporcionan Gobernación TI YAHAIRA MARTÍNEZ PACHICANO
28
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
YAHAIRA MARTÍNEZ PACHICANO
29
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
Qué es NIST
El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.
INGEMED Ingeniería nace con el fin de brindar una eficiente solución para su organización introduciendo la simplicidad para cumplir con la normativa vigente, mejorar la eficiencia de los procesos y reducir los costos de funcionamiento. Somos un laboratorio de calibración de instrumentos y equipos de medición implementado en ISO17025”Requisitos generales para la competencias de laboratorios de ensayo y calibración”
formado por 3 Ingenieros Civiles Industriales con vasta experiencia en el sector metrológico, alimenticio, financiero, minero y productivo. INGEMED se destaca por tener equipos de última generación, asegurando el mejor grado de exactitud del mercado.
Misión Prestar servicios de calibración, verificación, confirmación metrología y mantención de equipos de medición en distintos rubros productivos, para tal efecto contamos con tecnología de última generación, infraestructura y capacidad técnica, que nos permiten entregar un servicio de alto nivel y asegurar la plena satisfacción de nuestros clientes.
Visión Posicionar y consolidar a INGEMED como una empresa líder en el rubro rub ro de la metrología y el control de procesos en Chile, para lo cual estamos siempre en constante búsqueda de los últimos avances en la materia, Perfeccionándonos día a día para brindar la mejor calidad en servicio y siempre atentos a las necesidades de nuestros clientes.
YAHAIRA MARTÍNEZ PACHICANO
30
Normatividad nacional e internacional de seguridad
29 de septiembre de 2014
YAHAIRA MARTÍNEZ PACHICANO
31